Spyware récurrent

[pouletdobrasil]

Bonjour à tous,

 

Depuis quelques jours j'ai un programme qui souhaite s'installer de manière récurrente. Il s'agit d'un exe portant le nom 127021.exe. Au vu de l'icone, il semblerait que ce soit un programme a connotation pornographique! Malgré l'utilisation de ad-aware et spybot (qui le reconnait et le vire), ce programme se réinstalle automatiquement au bout de quelques minutes et m'affiche une fenêtre me demandant de choisir mon pays... Quelquefois, il me lance une fenêtre Firefox (mon navigateur par défaut) qui affiche un échec de connexion. J'ai également passé Norton Antivirus mais rien n'y fait!!! C'est impossible à virer! J'utilise beaucoup Emule, peut-être en est-ce la cause?

En tout cas merci d'avance pour votre aide.

 

Pour info voici mon log Hijackthis.

 

Logfile of HijackThis v1.99.0

Scan saved at 12:25:18, on 01/02/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\PDesk\PDesk.exe

C:\WINDOWS\System32\sstray.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\Microsoft IntelliType Pro\type32.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\WINDOWS\System32\prvdi.exe

C:\Program Files\PyGrenouille\pygrenouille.exe

c:\127021.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\mgabg.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Download\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGrab.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: HomePageCtrl Class - {1B9CB0F8-118B-49C1-956D-B703E976F8E3} - C:\Program Files\STHomePage\STHomePage.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: STLinksCtrl Class - {B54BFA47-D897-49CA-9657-05EC9F80A32B} - C:\Program Files\STLinks\STLinks.dll (file missing)

O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [nsywot] C:\WINDOWS\System32\zraspl.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe

O4 - Global Startup: PyGrenouille.lnk = C:\Program Files\PyGrenouille\pygrenouille.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1101044724216

O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Modifié le 1 février 2005 par pouletdobrasil

[Leon2]

Salut

 

Ben faut pas visiter les sites pornos

 

Plus serieusement attends la reponse de tesgaz pour ton log

 

@+

[gayboyfr]

tu as pensé à désactiver la restauration du système avant de nettoyer ta machine ? voilà ce que c'est d'aller sur des sites cochons hétéros...

[Sew-Oszka]

Coucou petit cochon pirate!

 

Colle donc ton post ici. Tu y verra plus clair !

 

Essaie aussi de virer ce virus avec spybot ou ad-adware en mode sans échec, sans oublier, comme le dit gayboyfr, de désactiver la restauration système...

 

Bonne chance!

[Jumpin'JAck FLash]

slt

 

c'est clair que c'est un problème de restauration du sytème tjrs actif

 

désactive le comme ca : clique droit sur poste de travail> propriété > onglet restauration du systeme>coche "désactiver..."

 

sinon ton log hijackthis analyse le ici :

 

http://hijackthis.de/index.php?langselect=french

 

mme si c'est pas parfait c'est tjr mieu de faire par sois meme

 

++

[pouletdobrasil]

Bonsoir,

 

J'ai donc essayé de scanner le disque avec ad-aware après avoir désactivé la restauration du système. Il a viré les fichiers habituels mais le truc s'est réinstallé quelques minutes plus tard... Par contre j'ai viré 3 fichiers suspects avec hijackthis, ça me semble ok pour le moment. A suivre...

Merci pour vos infos.

[pouletdobrasil]

Putain de bordel de ... Pardon!

Le truc est revenu, j'ai essayé toutes les manipulations conseillées. Mais c'est un spyware ou un virus? C'est de la folie un truc comme ça! Comment se fait-il qu'il puisse se réinstaller automatiquement?

SVP, avez-vous d'autres conseils? Merci d'avance...

Sinon je laisse tomber et je formate, ça me saoule....

[Apollo]

Essaye le Spysubtract pour voir...

http://download.intermute.com/?p=sp&o=1005A

Profites-en pour télécharger le cwshredder en même temps.

Le spysubtract est valable un mois gratos mais est très utile.

 

Bonne nuit.

[Invité tesgaz]

Salut,

 

tu démarres ton pc en mode sans echec (appuyer sur la touche F8 de ton clavier au démaarage)

 

ensuite tu vas sur executer et tu tapes : msconfig

dans l'onglet "démarrage" tu décoches ces lignes :

 

C:\WINDOWS\System32\prvdi.exe

C:\Program Files\PyGrenouille\pygrenouille.exe

c:\127021.exe

 

 

maintenant, tu relances hijackthis :

et tu fixes ces lignes :

 

 

O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGrab.dll

O2 - BHO: HomePageCtrl Class - {1B9CB0F8-118B-49C1-956D-B703E976F8E3} - C:\Program Files\STHomePage\STHomePage.dll (file missing)

O2 - BHO: STLinksCtrl Class - {B54BFA47-D897-49CA-9657-05EC9F80A32B} - C:\Program Files\STLinks\STLinks.dll (file missing)

 

O4 - HKLM\..\Run: [nsywot] C:\WINDOWS\System32\zraspl.exe

O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe

O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe

O4 - Global Startup: PyGrenouille.lnk = C:\Program Files\PyGrenouille\pygrenouille.exe

 

voila, ensuite, tu fermes et tu vas dans l'explorateur et tu supprimes ces fichiers :

 

C:\WINDOWS\System32\prvdi.exe

c:\127021.exe

C:\Program Files\PyGrenouille\pygrenouille.exe

C:\WINDOWS\BTGrab.dll

C:\WINDOWS\System32\zraspl.exe

C:\Program Files\STHomePage\STHomePage.dll < le dossier

C:\Program Files\STLinks\STLinks.dll < le dossier

 

voila, tu redémarres en mode normal

[pouletdobrasil]

Bonjour,

 

Merci bcp pour les infos. J'ai respecté scrupuleusement les indications. Le truc a disparu quelques heures puis rebelote, le revoilà... c'est de la pure folie! A croire qu'il s'installe automatiquement (style blaster). Je précise que je ne surfe sur aucun site porno (contrairement à ce que peuvent penser certains ), donc le truc ne peut pas venir de là!!! Par contre j'utilise Emule ( ), y'a t-il un risque de se faire pirater? Norton ne voit rien. Ad-aware et Spybot voient un truc, l'enlèvent mais il revient plus tard...

ça sent le formatage, ce truc....