Virus/spy ou pas?

salut
(dsl ca devrait etre dans antivirus mais je bug avec les selections.)

dans la plupart des demande de ce genre on demande des eclaircissements, je les donne maintenant=

donc les symptomes=
internet lent/telechargements nazes/messages d’erreure dans un temps inderterminer parlant de "thread ne peut pas etre read (avec des numeros et lettres), je clique 3 fois dessu no ou yes peu importe= je reboot auto…le message est anglais/francais. vous suivez?
des ".exe.lnk " dans mes icones raccourcis alors que normalement c’etait .exe simplement, dans la liste des taches, des services automatiques alors qu’ils sont normalement desactivés (aleatoires mais touchant le controle du pc a distance bien sur)des .exe de fichiers qui etaient en telechargements ineffacables, sur le bureau ou autres fichiers…
j’en oubli.(vous suivez toujours? )

mes essais d’eradication en NORMAL ou SANS ECHEC,restaur desactivée=

uc pas 100%.
svchosts bouffants pas trop d’uc (6000 max pour 1 seulement)
petites precisions= via faber toys, je constate qu’un svchost (le +chargé , qui prend 2processeurs dans la liste des taches)est dans System32 (S maj) les autres porcessus sont dans system32 (s minus)
est-ce un indice ou c’est normal?

deplus, le pf signal un process “generique host…ect” ca fait parti de svchost ok, mais est ce le bon?(je le bloque en attendant vos eclaircissements)vous etes encore la?
ass normal,
verif via faber toy pour les services executés,
derriere looknstop, (jeu "evolué)
ports soi-disant stealth (peu importe quand on est sur emule, meme si les ports sont differents…) -vous suivez toujours?

verifications via kasper,panda en ligne.(le telechargement fonctionne sur certains sites pas d’autres)
verif BR via regcleaner/regseeker=clefs trouvees mais changeantes constamment, meme via highjackthis,jamais les memes.
verif avec spybot,adaware,a2.
verif via msconfig,demarrage=trouvé, mais le nom change constament,(bluestreak je crois)
la restauration donne rien ca continu quand meme.

le log hijack si besoin=

Logfile of HijackThis v1.98.1
Scan saved at 01:19:18, on 07/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\antvr\av\kaper\Kaspersky Anti-Virus Personal\kav.exe
D:\antvr\av\kaper\Kaspersky Anti-Virus Personal\kavsvc.exe
D:\antvr\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\antvr\spybot\SPYBOT~1\SPYBOT~1\SDHelper.dll (filesize 744960 bytes, MD5 ABF5BA518C6A5ED104496FF42D19AD88)
O4 - HKLM…\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto (filesize 160768 bytes, MD5 8CB106CE4C4E21511EA98A0CF0D8B5DD)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} -
O17 - HKLM\System\CCS\Services\Tcpip…{52769F20-1D14-4D69-A780-F4E5EB82ECA6}: NameServer = 80.10.246.130 80.10.246.3

wuauclt=(juste apres hijack)puis un autre wim(je sais pu quoi mais un service “normal”) apres l’arret de wu

les “dpf” evidement j’ai virer, mais y’aura autre choses a la place tout a l’heure…

ma claque de verifier les noms bizares sur goggle, car je tombe sur des sites ou kasper pete les cables a chaque fois.(“intrusions” diverses-land,hkern,autres.)

moi je sais pu quoi faire et si vous avez lu normalement, vous pourrez pas dire que j’ai rien foutu avant de poster…

merci de m’aider si vous avez le temp(nan, pas format c: )

salut, le mieux aurai ete si tu avais poster le log “complet” avant d’avoir tout enlever …la raison; au cas ou tu aurai ete infecté, on aurai pu voir quels fichiers à supprimer…
bref, c’est plus le cas…
la seule chose que je puisse dire, est d’utiliser un nettoyeur, ccleaner ou regseeker…;de nettoyer tes fichiers “temp” et internet" de faire 1 nettoyage du DD ainsi 1 bon defrag…( nettoyage en mode sans echec etla restosysteme déactivé)…@+

Si j’étais toi, je ferais deux choses:

-Un scan anti troyen avec un scanneur AT “industriel”, TDS, tu peux choper une demo fonctionelle ici:
http://tds.diamondcs.com.au/

-Une recherche d’un eventuel rootkit…là ca se corse…
Telecharge regdatxp:
http://www.sharewareconnection.com/regdatxp.htm
Installe le et recherche des clés “cachés” qui pourraient indiquer un rootkit, “Compare” > “Selected Keys” et coche “hiddens”, si tu trouves des clés que tu peux pas voir avec regedit alors ca sent pas bon > format
sinon, tu peux aussi utiliser Rootkit Detector, ici:
http://www.3wdesign.es/entrada.html

Bonjour,
Confirmation des conseils de stin07

Pas oublier de mettre à jour I.E. et MS
Après nettoyage,
CCleaner: http://www.ccleaner.com/ccdownload.php
Faire un scan démarrage sans echec
HijackThis 1.99:
http://www.spywareinfo.com/~merijn/downloads.html
Bonne journée

re
pour hijack le log etait complet avant que je supprime les 3dpf.

regseeker deja utilisé(voir le post)

j’avai oublier de precisé=, les fichiers temporaires, ceux d’internet via option internet c’est fait x fois/jour chez moi.

les maj sont faites depuis un moment, sauf les logiciels dont leurs serveurs sont souvent saturés mais je vais voir pour hijack.

je vais donc mettre hijack 1.99+ccleaner+tds+rootkit, mais a ce niveau j’aurai des questions je suppose.
merci pour votre aide, et si quelqu’un a une idee concernant le svchost (voir le post)car ca m’intrigue.

dsl d’inssister mais vu que mon probleme persdiste…

voici le log hijack (j’ai laissé tel quel)

Logfile of HijackThis v1.99.0
Scan saved at 14:20:56, on 07/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\antvr\firewall\lknstop pf\looknstop\looknstop.exe
D:\antvr\spybot\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
D:\antvr\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\antvr\spybot\SPYBOT~1\SPYBOT~1\SDHelper.dll
O4 - HKLM…\Run: [Look ‘n’ Stop] “D:\antvr\firewall\lknstop pf\looknstop\looknstop.exe” -auto
O4 - HKCU…\Run: [SpybotSD TeaTimer] D:\antvr\spybot\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\antvr\av\kaper\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

Ton log a l’air normal, mais si c’est un rootkit (sans être parano, les erreurs de thread sont bizarres) ca apparaitra pas vu que ces saloperies modifient Windows au niveau du kernel, il faut utiliser des outils speciaux comme Regdat.

ouais, je veux bien mais je trouve pas de faq/explications du fonctionnement en francais pour regdat.
ce merdier est apparu le 1/02 quand je recherchait des explications pour un patch d’un jeu, c’est certain.

ca m’apprendra a chercher par moi meme.

sinon si t’as le courage regarde les logs ici=
http://forum.clubic.com/forum2.php?config=clubic.inc&post=28179&cat=6&cache=&sondage=0&owntopic=0&p=1&trash=0&subcat=

hm, bon, j’ai essayé avec regdat, que ce soit en normal ou sans echec , rien trouvé.
par contre pratique ce soft pour des verifs.

bref, si c’est un probleme facile a resoudre pour vous , pas pour moi, vous pouvez m’indiquer d’autres solutions svp?

je suis très très étonnée par ton log, tu aurais donc selon les : Running processes : 3 logiciels dans ta machine ? = XP (dont I-E), 1 firewall (Look n’stop) et 1 anti-spys (Spybot S&D) et on ne retrouve en 04 RUN (programmes lancés au démarrage) que ton firewall et spybot ? Kasper apparait en O23 - Service (programmes externes à Microsoft) et n’est même pas actif en 04 ?? [:merlot]

ah sauf erreure de hijack, c’est bien comme ca que ca “fonctionne” chez moi pour le moment.

j’ai desactivé des services qui me sont inutiles, via les faqs sur d’autres sites. (je suis en mono pc, donc les services reseaux, niet.)

par contre pour kaspersky je me posait la meme question= sur le log il apparait pas.

si tu pouvait m’aider ce serait sympas, je te fais voir un autre log hijack, 1.99 au cas ou tu voudrait bien=

Logfile of HijackThis v1.99.0
Scan saved at 13:35:32, on 08/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\antvr\spybot\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
D:\antvr\firewall\lknstop pf\looknstop\looknstop.exe
D:\antvr\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\antvr\spybot\SPYBOT~1\SPYBOT~1\SDHelper.dll
O4 - HKLM…\Run: [Look ‘n’ Stop] “D:\antvr\firewall\lknstop pf\looknstop\looknstop.exe” -auto
O4 - HKCU…\Run: [SpybotSD TeaTimer] D:\antvr\spybot\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O17 - HKLM\System\CCS\Services\Tcpip…{52769F20-1D14-4D69-A780-F4E5EB82ECA6}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: kavsvc - Kaspersky Lab - D:\antvr\av\kaper\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

mes questions existencielles :ange:

oui, pourquoi je vois les 2 “kav” dans mon gestionnaire, et pas sur ce log?
et c’est quoi le service plug & play qui etait jamais affiché avant mes “problemes” sur les logs?
et le dpf, ca viendrait pas de windows ?
je prefererai comprendre

edit=tiens il manque aussi 2svchost
en tous j’ai=
16 process/177 threads/handles 4598/ma charge cpu etant de 120 mo (ca fluctu avec le temp bien sur hors securité je demarre a 85mo environ)

rien a faire meme en cochant dans “misc” le log reste le meme pour moi.

c’est ok ça /O23 - Service :C:\WINDOWS\system32\services.exe / Le processus services.exe (Windows Service Controller) est un processus générique de Windows NT/2000/XP permettant de reconnaître et d’adapter les modifications matérielles du système sans intervention de l’utilisateur.(Source : CCM)

ce qui est étonnant c’est que tu en es si peu en 023 même, on ne parle même pas des “presque rien” en 04 et plus grand chose en C: process - Les O16 - DPF <-- c’est tout a fait normal pour les utilisateurs d’I-E se sont des contrôles ActivX (on peut y retrouver l’update Microsoft/des scans online, des applications java ou des ActivX installés par des spywares (sites zarbis etc …) - Le log ne revèle toujours rien

A force de vouloir optimiser ton système, tu n’en aurais pas fait un peu trop ?

ici rien d’inscrit ? R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = -->[??]

Pour KAV tu n’aurais pas désactivé le Kaspersky Anti-Virus —>Monitor ??

Si tu rames encore, tu devrais revoir ta politique “optimisation système” peut être ?

Désactiver les Services “inutiles” Voir ici

Hijack/screenshot<-- regarde surtout le Tuto de Bleeping

re,
ca t’a surement raison,a force de vouloir etre trop “propre” pour l’uc ca jouerai peut etre.
ce qui est bizar c’est que personne me l’a dit avant, et ca fait bien 2ans que je fonctionne sous ce principe=

-d’uc au demmarrage+securité ensuite=moyenne optim/secu. quand on est multimedia ou jeux comme moi;je croyait que c’etait un bon compromis.

sinon pour les process, j’ai juste besoin de quoi surfer,utiliser mon scan,imprimante, le multimedia,la secu (toute relative sur ce virus windows)
donc je croyait que desactivé le reste etait bon dans mon cas.
ca m’enchante guere,car je croyait bien faire.
mais je dois revoir ca.

le monitor de kasper c’est bien protection temp reel active? si c’est le cas oui c’est activé.

je vais voir via tes liens, merci de tes eclaircissements.

bon dsl mais les problemes persistent

j’ose pu donner de details car je sais que c’est pas lus si le message est trop long.

dison simplement que j’ai encore +de “problemes” qu’avant
auncuns des logiciels donné ici ou sur mes autres posts (en anglais parfois et sans explications)ne semblent detectés ce truc.