un trojan dans un film?

[Matheo]

Salut à tous,

 

Je viens de regarder ce soir même un film en divx (sans commentaires ), et à un moment, le docteur watson (mon dieu qu'est-ce que c'est que ce logiciel byzarre??? ) intervient... et ferme le film. Bon... je décalle le curseur pour finir mon visionnage.. non mais.

 

Seulement, je remarque un truc byzarre après : ma connexion manuelle à l'adsl est modifiée : paramètres : numéro de tel, identifiant, mdp...

 

Bon... ça sent le virus à plein nez, je vire ma connexion au cas ou, je la reparamètre, et je balance AVG 6.0, A², secuser en ligne... rien. nada.. que dalle...

 

Par contre, les paramètres ont encore été changés, après reconnexion...

 

Je lancé un "SFC /scannow", pour voir, mais je voudrais déjà avoir vos avis à chaud, si ça vous dit quelque chose...

 

Merci d'avance,

Modifié le 28 août 2004 par Matheo

[angelique]

change d'anti virus =====scan en ligne chez secuser.com

[Matheo]

J'ai déjà fait un scan en ligne

 

Précisions des symptômes : en fait je me connecte, puis au bout de quelques instant, mes paramètres de connexions sont modifiés automatiquement, comme ça :

 

 

Ca se sont les paramètres modifiés, évidement ça marche plus du tout, par contre, si je rentre mon identifiant avec ce faux numéro (??) ça marche quand même, alors que le numéro de base pour se connecter c'est 0.86...

 

Bref j'y capte rien.. Quelqu'un à une idée?

[angelique]

tu t'es chopé un "dialer"qui te redirige vers 1 n°surtaxé.

Je cherche 1 lien pour virer ça.

En attendant passe 1 coup de ad-aware et spybot.

tu trouveras sur ce site des anti trojan ,spyware,dialer:mais la plupart st des shareware(version demo),mais ça peut toujours aider.

http://www.bootdisk.com/utility.htm

Essayes aussi le log A2.Il y a 1 version gratuite.

Modifié le 28 août 2004 par angelique

[Matheo]

tu t'es chopé un "dialer"qui te redirige vers 1 n°surtaxé.

euh.. numéro surtaxé? lol... avec l'adsl illimité je sais pas ou ça envoi les factures!

et pourtant c'était pas un film porno!

 

Bref.. après, dans l'ordre : la suppresion de la connexion, un second scan a² (infructueux), un SFCscannow, un redémarrage, et quelques connexion pour revérifier tout ça... ça semble redevenu normal.

 

Si ça me revient j'essayerais les autres spywares et si ça marche pas je remonterais le sujet!

 

Merci bien!

[Invité tesgaz]

Salut,

 

arrêtes de télécharger des films, tu n'auras plus de trojan

[Clafouti]

Vérifie dans les options Internet, onglet "Connexions", bouton "Paramètres réseau", si par hasard une des 2 cases ne serait pas cochée : "Détecter automatiquement les paramètres de connexion" et "Utiliser un script de connexion". Si oui, décoche-la.

[Matheo]

Salut,

 

Je n'utilise plus ie, mais firefox. J'ai vérifié quand même, mais ces cases sont décochées.

 

J'ai fait un scan avec ad-aware, il m'a trouvé une clé de registre:

 

ALEXA

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

obj[0]=RegKey : SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

 

Supprimée, mais, après réinstallation de ma connexion manuelle, ça modifie toujours mes paramètre au bout d'un moment.

 

Promis Tesgaz maintenant ça ne sera plus que des mangas

 

Est-ce que quelqu'un aurait une idée de comment virer ce "dialer"? je vais tester d'autres anti-trojan..

[Invité tesgaz]

passes un coup de hijackthis, et fais le ménage

[Matheo]

Ok, voila le résultat de mon log (je vais jeter un oeil au tuto mais si vous voyez des trucs qui font mal aux yeux... ) :

 

Logfile of HijackThis v1.98.2

Scan saved at 11:41:17, on 29/08/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG6\avgserv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE

C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe

C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\WINDOWS\System32\rmctrl.exe

C:\WINDOWS\system32\explorer.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

D:\Fichier d'extraction temporaire\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c7 -w7

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...meInstaller.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CCDFC3F-4B6C-48AF-ADF1-9411B5CBFE26}: NameServer = 80.10.246.130 80.10.246.3