Forums Zebulon.fr: probleme de dowmload/upload intempestifs + log Hijackthis - Forums Zebulon.fr

Bonjour à tous et merci d´avance pour votre aide précieuse,

j´habite actuellement en Autriche et ici les provider internet sont assez.... grrr....
Bref, hier, ma connexion ne fonctionnait plus. J´essaye donc tout ce que je peux. Etant derrière un routeur je le reconfigure, etc... Mais rin n´y fait. Aussi j´appelle la hotline qui me répond: vous avew un virus qui télécharge beaucoup et envoie beaucoup (ah oui, ici, download et upload limités). Donc, on vous a coupé la ligne jusqu´à ce que vous régliez le problème! Je vous dis pas comment c´est facile de virer un virus sans internet...

Cela dit, effectivement, quand je regarde le flux internet, quelque chose envoie des données et en recoit en permanence (et pas qu´un peu!). Bon depuis hier j´ai effectué les procédures suivantes, sans succès toutefois pour virer ce problème:
1) http://roachsystem.free.fr/forum/viewtopic...28474adeef14819
=> quelques spy trouvés
2) utilisation, toujours en sans échec, un par un en prenant soin de désinstaller le précédant à chaque fois de: Ewido, Antivir Perso Freeware et Bit Defender.
=> chacun de ces antivirus me trouve un ou deux spyware pas très méchant. Mais le résultat est toujours le meme au niveau de l´intrusion internet.
3) Utilisation de Ad aware: me trouve uniquement des cookies firefox (style google tracker. Rien d´intéressant)
4) Utilisation de Spy bot. Il m´enlève deux Spy un peu plus intéressants. Toujours pas de mieux au niveau de ces download intempestifs.
5) utilisation de Avast! Home Edition. Cette fois il me trouve une infection dans "service.exe", fichier qui est bien identifié comme un malware. Je lui demande la suppression.

Depuis, plus moyen de trouver ma connexion internet... Je soupconne fortement la disparition de "service.exe" qui avait du rediriger l´exécution de ma connexion.
De plus, une des log SpyBot m´indique l´utilisation de "WINotify.dll", qui semble etre un spy également, et trouvé par aucun outil...
Egalement depuis la suppression de "service.exe" mon ordi est devenu subitement très lent au démarrage, lorsqu´il s´agit d´explorer mes disques via l´explorateur de fichiers (alor que via IE ca fonctionne très bien). Après 5mn d´attente, ca fonctionne normalement.

Enfin, bref, je tourne en rond là...

Voici donc la log HijackThis (vous verrez que "service.exe" est toujours en service à charger):

Logfile of HijackThis v1.99.1
Scan saved at 06:58:41, on 11/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab
O20 - AppInit_DLLs:
O23 - Service: M-Audio Installer (EvoInstallerService) - Unknown owner - C:\Program Files\M-Audio\Install\EvoInst.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)


Merci mille fois pour votre aide précieuse.

PS: j´ai aussi les logs Spybot si vous les voulez. Et je rappelle que je n´ai pas de connexion internet sur cet ordi, donc pas moyen de faire de scan en ligne...

Ce message a été modifié par austrourson - 11 octobre 2006 - 07:48 .

Bonjour,

Suit la procédure préliminaire du forum => ici

Elle peut paraitre similaire à celle de Roach, mais je te demande quand même de l'effectuer.

Poste le rapport Hijackthis qui en decoulera.

Petite question pour aider les prochains intervenants : si j'ai bien compris, ta perte de connexion provient de ton FAI qui te l'enlève due à une trop grande activité, qu'il attribue à un malware ?

Bonne journée
Birkoff

Bonjour,

tout d´abord, grand grand merci Z.Birkoff.

je vais donc exécuter la procédure ce midi et envoyer un nouveau log HiJackThis.

Le problème est que, comme je n´ai pas internet sur mon PC, je ne pourrais pas faire les MAJ Antivir... Cela dit, j´ai bien pris garde à télécharger la version la plus récente, qui date du 13 septembre. Je sais que 1 mois ca peut etre très long dans le monde de la sécurité mais j´espère que ca sera quand meme suffisant.

Sinon, effectivement, mon FAI a coupé la ligne du fait d´une trop grande activité qu´il attribue à un malware. Ce que j´ai pu constater. J´ai bien entendu vérifié qu´il ne s´agissait pas d´une personne de l´immeuble se connectant via mon routeur wireless... Pour cela, j´ai simplement connecté le modem en direct sur mon PC, sans passer par le routeur (le modem en lui meme n´est pas wireless). L´activité suspecte continue sans problème.

Merci encore à toi et à tous ceux qui pourront m´aider.

PS: je précise que le problème est assez important vu que le FAI ne veut pas rétablir la connexion tant qu´il verra l´activité suspecte. Or ma copine est graphiste freelance et a un besoin urgent de cette connexion.

Re,

Pour Antivir, je crois que tu peux télécharge le Update Package, qui integre d'office les dernières mises à jour (j'espère ne ps faire d'erreur) => http://www.avira.com/pub/avira/desktop/des...vira_update.exe

Utilises donc ce lien pour télécharger avira antivir.

Birkoff

Ce message a été modifié par S.Birkoff - 11 octobre 2006 - 10:31 .

encore une fois: merci!

ok, je file à la maison essayer tout ca.

Je viens de tester => Il faut d'abord télécharger Avira "normalement" et l'installer, puis télécharger ce package et l'installer par dessus.

Alors, premier point.
Ce midi j´ai testé ceci:
j´ai laissé la connexion internet active, sans connecter mon ordi (donc: modem - > routeur wireless (qui a été paramétré sur ma machine)). Et j´ai testé la connexion sur la machine de ma copine. Et là... également des upload et download à n´en plus finir. Ce qui me parait louche puisque ma copine, utilisant son ordi de manière pro, a une configuration solide, bien protégée: tous softs achetés, windows complètement à jour, firewall et anti virus complètements mis à jour et paramétrés pour etre sévères (AVG Free).
Comme le mien n´est pas mis à jour, et n´a pas de protection, je n´étais pas étonné du tout... Mais là...

Bref, je teste la connexion sur son ordi en direct et là... pas de download ni upload.

Entre temps, je suis les instructions de ce forum. Antivir. Détecte 5 virus possibles avec méthode heuristique. Les supprime. Quand je redémarre, mon explorateur de fichier a retrouvé sa rapidité. Par contre HijackThis détecte toujours des choses anormales (voir ci-dessous).

Je branche le routeur. A nouveau plein de download et upload. Je branche le modem en direct sur mon PC... Aucun problème.

Bon, du coup la procédure de nettoyage lancée grace à votre aide précieuse n´est pas inutile - elle offre un PC plus propre et c´est tout bon.
Mais il faut que je me rabatte sur le routeur. 2 possibilités me viennent à l´esprit:
- un piratage de la connexion wireless. Mais j´ai paramétré une clé WEP 128bits. Par acquis de confiance, je l´ai changée ce midi... Mais toujours des download et upload intempestifs de suite après le changement.
- un virus dans le firmware du routeur? C´est possible ca??? Il s´agit d´un Netgear WGR614v6. Bon, je vais faire une petite recherche google sur ca.

Cela dit, voilà la log de Antivir:



AntiVir PersonalEdition Classic
Report file date: mercredi 11 octobre 2006 12:10

Scanning for 495093 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-WURGE-0001
Platform: Windows XP
Windows version: (Service Pack 1) [5.1.2600]
Username: yoan
Computer name: OURSORDI

Version information:
AVSCAN.EXE : 7.0.0.47 200744 21/08/2006 10:06:58
AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 10:56:34
LUKE.DLL : 7.0.0.47 118824 07/09/2006 10:32:34
LUKERES.DLL : 7.0.0.47 9256 07/09/2006 10:56:34
ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 10:35:28
ANTIVIR1.VDF : 6.36.0.9 1424384 06/09/2006 07:12:24
ANTIVIR2.VDF : 6.36.0.10 2048 06/09/2006 07:12:26
ANTIVIR3.VDF : 6.36.0.11 2048 06/09/2006 07:12:28
AVEWIN32.DLL : 7.2.0.14 1827328 04/09/2006 14:23:26
AVPREF.DLL : 7.0.0.2 23592 24/07/2006 12:36:06
AVREP.DLL : 6.36.0.3 794664 06/09/2006 08:04:08
AVRPBASE.DLL : 7.0.0.0 2162728 30/03/2006 08:43:32
AVPACK32.DLL : 7.2.0.0 368680 21/07/2006 06:00:30
AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36
NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:50
NETNW.DLL : 7.0.0.0 9768 24/07/2006 12:35:56
RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 11:22:58
RCTEXT.DLL : 7.0.0.107 77864 07/09/2006 10:56:34

Configuration settings for the scan:
Jobname.......................: Local Hard Disks
Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\alldiscs.avp
Boot sectors..................: C,D,E,F,G
Scan memory...................: 1
Process scan..................: 1
Scan all files................: 1
Scan archives.................: 1
Recursion depth...............: 20
Smart extensions..............: 1
Skipped archive types.........: 1000,1001,1002,1003,1004,1005,
Macro heuristic...............: 1
File heuristic................: 3
Primary action................: 4100
Secondary action..............: 0

Start of the scan: mercredi 11 octobre 2006 12:10


The scan of running processes will be started
5 Processes were scanned

Start scanning boot sectors:

Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!
Boot sector 'G:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( 4 files ).


Starting the file scan:

C:\pagefile.sys
[WARNING] The file could not be opened!
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\lsasss.exe
[DETECTION] Contains suspicious code HEUR/Malware
[INFO] A backup was created as '458dc395.qua' ( QUARANTINE )
[INFO] The file was deleted!
C:\WINDOWS\system32\vqfqwssm.exe
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] A backup was created as '4592c394.qua' ( QUARANTINE )
[INFO] The file was deleted!
C:\WINDOWS\system32\config\system.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\software.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\default.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SYSTEM
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SOFTWARE
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\DEFAULT
[WARNING] The file could not be opened!
C:\Documents and Settings\yoan\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Documents and Settings\yoan\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\yoan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Documents and Settings\yoan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\Program Files\QuickTime\qttask.exe
[DETECTION] Contains suspicious code HEUR/Malware
[INFO] A backup was created as '45a0c66e.qua' ( QUARANTINE )
[INFO] The file was deleted!
C:\Program Files\Easy CD-DA Extractor 6\lameconfig.exe
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] A backup was created as '4599c727.qua' ( QUARANTINE )
[INFO] The file was deleted!
C:\Program Files\backups\backup-20060917-123915-487-MSWin.exe
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] A backup was created as '458fc78e.qua' ( QUARANTINE )
[INFO] The file was deleted!


End of the scan: mercredi 11 octobre 2006 12:56
Used time: 46:29 min

The scan has been done completely.

5464 Scanning directories
340138 Files were scanned
5 viruses and/or unwanted programs were found
5 files were deleted
0 files were repaired
5 files were moved to quarantine
0 files were renamed
1648 Archives were scanned
16 Warnings
2 Notes

Et celle de HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 13:05:58, on 11/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\M-Audio\Install\EvoInst.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab
O20 - AppInit_DLLs:
O23 - Service: M-Audio Installer (EvoInstallerService) - Unknown owner - C:\Program Files\M-Audio\Install\EvoInst.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)

MERCI BEAUCOUP!!!!!

Bonjour austourson,


Etrange en effet. Dans le cadre d'une connexion wireless, on peut effectivement penser au "piratage" de ta connexion. Le chiffrement wep est efficace, mais avec un bon niveau il peut tomber en 10min. As tu dans ton routeur une option de filtrer les adresses mac ? Cela te permettrait de n'autoriser que les adaptateurs de ton pc et de celui de ta copine à acceder au routeur.

Antivir a quand même fit du boulot, même si certaines de ses detections m'interrogent.

En attendant, il faut s'occuper de tout çà, et voir ce qui est connecté.

J'essaye de te rédiger une procédure dans les...13 min qui me restent !

Birkoff

merci beaucoup, ton aide est vraiment super!

je vais associer une adresse mac ce soir au PC de ma copine et bloquer tout le reste ce soir pour voir.

j´ai fouillé sur le forum Netgear autrement, rien trouvé qui corresponde à mon cas.

J´attends ta procédure si tu as le temps. Sinon, ca ne sera que partie remise

Re,

1.

Citation

2. Lance Hijackthis, clique sur "Do a system scan only" et coche les lignes suivantes :

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O20 - AppInit_DLLs:

Ferme toutes les fenêtres, exceptés Hijackthis, et clique sur Fix Checked.

3. Télécharge ceci => http://downloads.mal...om/Nel/FixP.zip

-> Extraies tout dans un dossier

-> Double clique sur Fix_Protocol_zones_ranges.reg et accepte la fusion avec la bese de registre.

4. Redemarre en mode sans échec (aide : ici)

Attention => tu n'as plus accès au net en mode sans échec, imprime ou copie les instructions suivantes

5. Assure toi d'avoir accès à tous les fichiers/dossiers :

Citation

6. Supprime les fichiers suivants (si trouvé):

C:\WINDOWS\system32\lsasss.exe <-- fais bien attention à ne pas confondre avec lsass.exe qui est légitime
C:\WINDOWS\system32\vqfqwssm.exe

7. Toujours en mode sans échec, scanne avec Ewido :

Citation

8. Redemarre normalement

9.

Citation

10. Poste moi :

-> un nouveau rapport hijackthis
-> le rapport d'Ewido
-> le rapport de Diaghelp

Bonne aprem
Birkoff