Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

austrourson

probleme de dowmload/upload intempestifs + log Hijackthis

Messages recommandés

Bonjour à tous et merci d´avance pour votre aide précieuse,

 

j´habite actuellement en Autriche et ici les provider internet sont assez.... grrr....

Bref, hier, ma connexion ne fonctionnait plus. J´essaye donc tout ce que je peux. Etant derrière un routeur je le reconfigure, etc... Mais rin n´y fait. Aussi j´appelle la hotline qui me répond: vous avew un virus qui télécharge beaucoup et envoie beaucoup (ah oui, ici, download et upload limités). Donc, on vous a coupé la ligne jusqu´à ce que vous régliez le problème! Je vous dis pas comment c´est facile de virer un virus sans internet...

 

Cela dit, effectivement, quand je regarde le flux internet, quelque chose envoie des données et en recoit en permanence (et pas qu´un peu!). Bon depuis hier j´ai effectué les procédures suivantes, sans succès toutefois pour virer ce problème:

1) http://roachsystem.free.fr/forum/viewtopic...28474adeef14819

=> quelques spy trouvés

2) utilisation, toujours en sans échec, un par un en prenant soin de désinstaller le précédant à chaque fois de: Ewido, Antivir Perso Freeware et Bit Defender.

=> chacun de ces antivirus me trouve un ou deux spyware pas très méchant. Mais le résultat est toujours le meme au niveau de l´intrusion internet.

3) Utilisation de Ad aware: me trouve uniquement des cookies firefox (style google tracker. Rien d´intéressant)

4) Utilisation de Spy bot. Il m´enlève deux Spy un peu plus intéressants. Toujours pas de mieux au niveau de ces download intempestifs.

5) utilisation de Avast! Home Edition. Cette fois il me trouve une infection dans "service.exe", fichier qui est bien identifié comme un malware. Je lui demande la suppression.

 

Depuis, plus moyen de trouver ma connexion internet... Je soupconne fortement la disparition de "service.exe" qui avait du rediriger l´exécution de ma connexion.

De plus, une des log SpyBot m´indique l´utilisation de "WINotify.dll", qui semble etre un spy également, et trouvé par aucun outil...

Egalement depuis la suppression de "service.exe" mon ordi est devenu subitement très lent au démarrage, lorsqu´il s´agit d´explorer mes disques via l´explorateur de fichiers (alor que via IE ca fonctionne très bien). Après 5mn d´attente, ca fonctionne normalement.

 

Enfin, bref, je tourne en rond là...

 

Voici donc la log HijackThis (vous verrez que "service.exe" est toujours en service à charger):

 

Logfile of HijackThis v1.99.1

Scan saved at 06:58:41, on 11/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\hijackthis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O20 - AppInit_DLLs:

O23 - Service: M-Audio Installer (EvoInstallerService) - Unknown owner - C:\Program Files\M-Audio\Install\EvoInst.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)

 

 

Merci mille fois pour votre aide précieuse.

 

PS: j´ai aussi les logs Spybot si vous les voulez. Et je rappelle que je n´ai pas de connexion internet sur cet ordi, donc pas moyen de faire de scan en ligne...

Modifié par austrourson

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

Suit la procédure préliminaire du forum => ici

 

Elle peut paraitre similaire à celle de Roach, mais je te demande quand même de l'effectuer.

 

Poste le rapport Hijackthis qui en decoulera.

 

Petite question pour aider les prochains intervenants : si j'ai bien compris, ta perte de connexion provient de ton FAI qui te l'enlève due à une trop grande activité, qu'il attribue à un malware ?

 

Bonne journée

Birkoff

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

tout d´abord, grand grand merci Z.Birkoff.

 

je vais donc exécuter la procédure ce midi et envoyer un nouveau log HiJackThis.

 

Le problème est que, comme je n´ai pas internet sur mon PC, je ne pourrais pas faire les MAJ Antivir... Cela dit, j´ai bien pris garde à télécharger la version la plus récente, qui date du 13 septembre. Je sais que 1 mois ca peut etre très long dans le monde de la sécurité mais j´espère que ca sera quand meme suffisant.

 

Sinon, effectivement, mon FAI a coupé la ligne du fait d´une trop grande activité qu´il attribue à un malware. Ce que j´ai pu constater. J´ai bien entendu vérifié qu´il ne s´agissait pas d´une personne de l´immeuble se connectant via mon routeur wireless... Pour cela, j´ai simplement connecté le modem en direct sur mon PC, sans passer par le routeur (le modem en lui meme n´est pas wireless). L´activité suspecte continue sans problème.

 

Merci encore à toi et à tous ceux qui pourront m´aider.

 

PS: je précise que le problème est assez important vu que le FAI ne veut pas rétablir la connexion tant qu´il verra l´activité suspecte. Or ma copine est graphiste freelance et a un besoin urgent de cette connexion.

Partager ce message


Lien à poster
Partager sur d’autres sites

Re,

 

Pour Antivir, je crois que tu peux télécharge le Update Package, qui integre d'office les dernières mises à jour (j'espère ne ps faire d'erreur) => http://www.avira.com/pub/avira/desktop/des...vira_update.exe

 

Utilises donc ce lien pour télécharger avira antivir.

 

Birkoff

Modifié par S.Birkoff

Partager ce message


Lien à poster
Partager sur d’autres sites

Alors, premier point.

Ce midi j´ai testé ceci:

j´ai laissé la connexion internet active, sans connecter mon ordi (donc: modem - > routeur wireless (qui a été paramétré sur ma machine)). Et j´ai testé la connexion sur la machine de ma copine. Et là... également des upload et download à n´en plus finir. Ce qui me parait louche puisque ma copine, utilisant son ordi de manière pro, a une configuration solide, bien protégée: tous softs achetés, windows complètement à jour, firewall et anti virus complètements mis à jour et paramétrés pour etre sévères (AVG Free).

Comme le mien n´est pas mis à jour, et n´a pas de protection, je n´étais pas étonné du tout... Mais là...

 

Bref, je teste la connexion sur son ordi en direct et là... pas de download ni upload.

 

Entre temps, je suis les instructions de ce forum. Antivir. Détecte 5 virus possibles avec méthode heuristique. Les supprime. Quand je redémarre, mon explorateur de fichier a retrouvé sa rapidité. Par contre HijackThis détecte toujours des choses anormales (voir ci-dessous).

 

Je branche le routeur. A nouveau plein de download et upload. Je branche le modem en direct sur mon PC... Aucun problème.

 

Bon, du coup la procédure de nettoyage lancée grace à votre aide précieuse n´est pas inutile - elle offre un PC plus propre et c´est tout bon.

Mais il faut que je me rabatte sur le routeur. 2 possibilités me viennent à l´esprit:

- un piratage de la connexion wireless. Mais j´ai paramétré une clé WEP 128bits. Par acquis de confiance, je l´ai changée ce midi... Mais toujours des download et upload intempestifs de suite après le changement.

- un virus dans le firmware du routeur? C´est possible ca??? Il s´agit d´un Netgear WGR614v6. Bon, je vais faire une petite recherche google sur ca.

 

Cela dit, voilà la log de Antivir:

 

 

 

AntiVir PersonalEdition Classic

Report file date: mercredi 11 octobre 2006 12:10

 

Scanning for 495093 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 1) [5.1.2600]

Username: yoan

Computer name: OURSORDI

 

Version information:

AVSCAN.EXE : 7.0.0.47 200744 21/08/2006 10:06:58

AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 10:56:34

LUKE.DLL : 7.0.0.47 118824 07/09/2006 10:32:34

LUKERES.DLL : 7.0.0.47 9256 07/09/2006 10:56:34

ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 10:35:28

ANTIVIR1.VDF : 6.36.0.9 1424384 06/09/2006 07:12:24

ANTIVIR2.VDF : 6.36.0.10 2048 06/09/2006 07:12:26

ANTIVIR3.VDF : 6.36.0.11 2048 06/09/2006 07:12:28

AVEWIN32.DLL : 7.2.0.14 1827328 04/09/2006 14:23:26

AVPREF.DLL : 7.0.0.2 23592 24/07/2006 12:36:06

AVREP.DLL : 6.36.0.3 794664 06/09/2006 08:04:08

AVRPBASE.DLL : 7.0.0.0 2162728 30/03/2006 08:43:32

AVPACK32.DLL : 7.2.0.0 368680 21/07/2006 06:00:30

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:50

NETNW.DLL : 7.0.0.0 9768 24/07/2006 12:35:56

RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 11:22:58

RCTEXT.DLL : 7.0.0.107 77864 07/09/2006 10:56:34

 

Configuration settings for the scan:

Jobname.......................: Local Hard Disks

Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\alldiscs.avp

Boot sectors..................: C,D,E,F,G

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,1005,

Macro heuristic...............: 1

File heuristic................: 3

Primary action................: 4100

Secondary action..............: 0

 

Start of the scan: mercredi 11 octobre 2006 12:10

 

 

The scan of running processes will be started

5 Processes were scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

Boot sector 'E:\'

[NOTE] No virus was found!

Boot sector 'F:\'

[NOTE] No virus was found!

Boot sector 'G:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 4 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\WINDOWS\system32\lsasss.exe

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as '458dc395.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\WINDOWS\system32\vqfqwssm.exe

[DETECTION] Contains suspicious code HEUR/Crypted

[iNFO] A backup was created as '4592c394.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SYSTEM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SOFTWARE

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\DEFAULT

[WARNING] The file could not be opened!

C:\Documents and Settings\yoan\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\yoan\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\yoan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\yoan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Program Files\QuickTime\qttask.exe

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] A backup was created as '45a0c66e.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\Program Files\Easy CD-DA Extractor 6\lameconfig.exe

[DETECTION] Contains suspicious code HEUR/Crypted

[iNFO] A backup was created as '4599c727.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\Program Files\backups\backup-20060917-123915-487-MSWin.exe

[DETECTION] Contains suspicious code HEUR/Crypted

[iNFO] A backup was created as '458fc78e.qua' ( QUARANTINE )

[iNFO] The file was deleted!

 

 

End of the scan: mercredi 11 octobre 2006 12:56

Used time: 46:29 min

 

The scan has been done completely.

 

5464 Scanning directories

340138 Files were scanned

5 viruses and/or unwanted programs were found

5 files were deleted

0 files were repaired

5 files were moved to quarantine

0 files were renamed

1648 Archives were scanned

16 Warnings

2 Notes

 

Et celle de HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 13:05:58, on 11/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\M-Audio\Install\EvoInst.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\hijackthis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O20 - AppInit_DLLs:

O23 - Service: M-Audio Installer (EvoInstallerService) - Unknown owner - C:\Program Files\M-Audio\Install\EvoInst.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)

 

MERCI BEAUCOUP!!!!!

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour austourson,

 

 

Etrange en effet. Dans le cadre d'une connexion wireless, on peut effectivement penser au "piratage" de ta connexion. Le chiffrement wep est efficace, mais avec un bon niveau il peut tomber en 10min. As tu dans ton routeur une option de filtrer les adresses mac ? Cela te permettrait de n'autoriser que les adaptateurs de ton pc et de celui de ta copine à acceder au routeur.

 

Antivir a quand même fit du boulot, même si certaines de ses detections m'interrogent.

 

En attendant, il faut s'occuper de tout çà, et voir ce qui est connecté.

 

J'essaye de te rédiger une procédure dans les...13 min qui me restent !

 

Birkoff

Partager ce message


Lien à poster
Partager sur d’autres sites

merci beaucoup, ton aide est vraiment super!

 

je vais associer une adresse mac ce soir au PC de ma copine et bloquer tout le reste ce soir pour voir.

 

j´ai fouillé sur le forum Netgear autrement, rien trouvé qui corresponde à mon cas.

 

J´attends ta procédure si tu as le temps. Sinon, ca ne sera que partie remise :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Re,

 

1.

- Télécharge et installe ewido

- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'Aide ewido pour tout problème.

 

 

2. Lance Hijackthis, clique sur "Do a system scan only" et coche les lignes suivantes :

 

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)

O20 - AppInit_DLLs:

 

Ferme toutes les fenêtres, exceptés Hijackthis, et clique sur Fix Checked.

 

3. Télécharge ceci => http://downloads.malwareremoval.com/Nel/FixP.zip

 

-> Extraies tout dans un dossier

 

-> Double clique sur Fix_Protocol_zones_ranges.reg et accepte la fusion avec la bese de registre.

 

4. Redemarre en mode sans échec (aide : ici)

 

Attention => tu n'as plus accès au net en mode sans échec, imprime ou copie les instructions suivantes

 

5. Assure toi d'avoir accès à tous les fichiers/dossiers :

 

-- Ouvre le poste de travail

-- Clic sur le menu outils en haut à droite puis options des dossiers

-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-- Coche dans la liste "Afficher les fichiers cachés"

-- Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"

-- Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.

 

6. Supprime les fichiers suivants (si trouvé):

 

C:\WINDOWS\system32\lsasss.exe <-- fais bien attention à ne pas confondre avec lsass.exe qui est légitime

C:\WINDOWS\system32\vqfqwssm.exe

 

7. Toujours en mode sans échec, scanne avec Ewido :

 

- Ouvre ewido et clic sur l'onglet Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

 

8. Redemarre normalement

 

9.

- Télécharge DiagHelp.zip sur ton bureau

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé DiagHelp

- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)

- Une fenêtre va s'ouvrir, choisis l'option 2

- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

 

10. Poste moi :

 

-> un nouveau rapport hijackthis

-> le rapport d'Ewido

-> le rapport de Diaghelp

 

Bonne aprem

Birkoff

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×