[résolu]spywares très résistants

[Gataway]

Bonjour

j'ai un PC protégé par norton internet security. Il y a plusieurs jours, l'apparition de fenêtres de pubs pour des casinos, sites de voyance, sites de rencontres etc .. lors de mes navigations m'a alerté sur la présence de spywares ds mon ordi. j'ai scanné avec ad aware, microsoft anti spyware, les versions d'essai de spy sweeper et de counter spy, spy subtract, et a², qui ont trouvé des dialers comme strip player ou Egroup dialer, les ont supprimé mais ces dialers se réinstallent et les fenêtres de pub continuent à apparaître. Je vous envoie mon dernier log, obtenu après avoir suivi (partiellement) la procédure indiquée par Mégataupe : en effet, je n'ai pas osé installer antivir (pas de signature numérique permettant d'authentifier l'éditeur du logiciel téléchargé en ligne), mais j'ai toutefois nettoyé le disque dur et procédé à des scans en mode sans échec avec ad aware, spybot, microsoft anti spyware et counter spy avant de lancer ce scan HijackThis dont voici les résultats :

 

Logfile of HijackThis v1.99.1

Scan saved at 16:30:03, on 10/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Sunbelt Software\CounterSpy Client\sunasDtServ.exe

C:\Program Files\Sunbelt Software\CounterSpy Client\sunasServ.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [svchostStartup] C:\WINDOWS\WMCRRS.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [qkvjoituba] c:\windows\system32\qkvjoituba.exe -start

O4 - HKLM\..\Run: [sunasDTServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasDtServ.exe

O4 - HKLM\..\Run: [sunasServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasServ.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\RunOnce: [spybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1106675412409

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

Merci par avance pour votre aide

[ipl_001]

Bonjour Gataway, bonjour à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

 

 

 

Je vous envoie mon dernier log, obtenu après avoir suivi (partiellement) la procédure indiquée par Mégataupe : en effet, je n'ai pas osé installer antivir (pas de signature numérique permettant d'authentifier l'éditeur du logiciel téléchargé en ligne), mais j'ai toutefois nettoyé le disque dur et procédé à des scans en mode sans échec avec ad aware, spybot, microsoft anti spyware et counter spy avant de lancer ce scan HijackThis dont voici les résultats :

Grrr

Pourquoi ne pas avoir suivi exactement la procédure ?

Pas de signature numérique pour AntiVir ? -> Tu as chargé d'autres modules bien plus néfastes ! LOL

"des scans en mode sans échec avec ad aware, spybot, microsoft anti spyware et counter spy" ces scans nous sont inutiles... tu as perdu du temps

Par contre, c'est un rapport HJT en mode sans échec qui était demandé !

[Gataway]

Bonjour Gataway, bonjour à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Grrr

Pourquoi ne pas avoir suivi exactement la procédure ?

Pas de signature numérique pour AntiVir ? -> Tu as chargé d'autres modules bien plus néfastes ! LOL

"des scans en mode sans échec avec ad aware, spybot, microsoft anti spyware et counter spy" ces scans nous sont inutiles... tu as perdu du temps

Par contre, c'est un rapport HJT en mode sans échec qui était demandé !

532858[/snapback]

 

eh bien, pas plus tôt inscrit je me fais réprimander .. lol .. mais le rapport HJT a bien été fait en mode sans échec, je confirme

[ipl_001]

Rebonjour Gataway, rebonjour à tous,

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

 

 

Redémarre l'ordinateur en mode sans échec.

 

Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous :

O4 - HKLM\..\Run: [svchostStartup] C:\WINDOWS\WMCRRS.EXE

 

O4 - HKLM\..\Run: [qkvjoituba] c:\windows\system32\qkvjoituba.exe -start

 

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

 

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- Supprime les fichiers/dossiers incriminés (s'ils existent encore).

Relance HijackThis, clique sur "Open the Misc Tools section", clique sur "Delete a file on reboot", montre les fichiers suivants (réponds Non à l'invite de redémararage de l'ordinateur sauf après le dernier fichier) et recommence pour montrer chacun des fichiers :

--- C:\WINDOWS\WMCRRS.EXE

--- c:\windows\system32\qkvjoituba.exe

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Ceci concerne le nettoyage dans une optique malware ; lorsque ton système sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

[ipl_001]

Rebonjour Gataway,

eh bien, pas plus tôt inscrit je me fais réprimander .. lol ..  mais le rapport HJT a bien été fait en mode sans échec, je confirme

532862[/snapback]

LOL Une affaire de Sécurité ne tolère pas les à peu près !

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Sunbelt Software\CounterSpy Client\sunasDtServ.exe

C:\Program Files\Sunbelt Software\CounterSpy Client\sunasServ.exe

C:\Program Files\HijackThis\HijackThis.exe

Que font les processus en gras ici ?

C'est vrai qu'il n'est pas écrit dans la procédure de ne rien lancer d'autres et de fermer toutes les fenêtres autres que HJT !

[Gataway]

Rebonjour Gataway,LOL Une affaire de Sécurité ne tolère pas les à peu près !

Que font les processus en gras ici ?

C'est vrai qu'il n'est pas écrit dans la procédure de ne rien lancer d'autres et de fermer toutes les fenêtres autres que HJT !

532867[/snapback]

 

Je ne connais pas grand chose en informatique, mais ne demande qu'à accroître mon savoir ... Merci pour vos réponses, je vais suivre vos indications et poster mon nouveau log

[ipl_001]

Rebonjour Gataway, rebonjour à tous,

 

Quelques explications relatives à mon post précédent et le mode sans échec...

 

Comme son nom l'indique, le "mode sans échec" est conçu pour lorsque l'ordinateur ne parvient pas à démarrer en mode normal

 

Pour ce faire, seuls les programmes de base strictement nécessaires sont utilisés et, en particulier, pas les multiples modules habituellement lancés au démarrage de Windows (inutiles demandés par les différents constructeurs de matériel, inutiles et douteux demandés par les éditeurs, néfastes demandés par les malwares) !

 

Les malwares sont parfois capables de contrer les programmes chargés de les éradiquer et de masquer leur présence... et sont également capables de démolir les moyens de protection !

Nous utilisons ce mode sans échec dans notre procédure car les malwares ne peuvent plus se charger en mémoire et géner les programmes d'analyse ! Nous y travaillons donc avec une bonne efficacité !

Dans ce mode, seuls les modules qui ne sont pas en gras dans mon post précédent divent être visibles (mais c'est vrai qu'il n'est pas écrit de ne pas démarrer d'autre programme).

[megataupe]

Bonjour IPL . Je pense en effet qu'il serait bon de rajouter la ligne suivante avant l'utilisation d'HijackThis :

 

ne pas lancer, ou arrêter tous les autres programmes en cours, et fermer toutes les fenêtres autres que celle d'HijackThis.

[ipl_001]

D'accord megataupe mais à condition ne ne pas utiliser une longue phrase : quelque chose comme (sans autre fenêtre ouverte que HJT)

[megataupe]

D'accord megataupe mais à condition ne ne pas utiliser une longue phrase : quelque chose comme (sans autre fenêtre ouverte que HJT)

532894[/snapback]

 

Le plus simple me semble être ça :

 

arrêter tous les programmes en cours et fermer toutes les fenêtres

 

puisqu'ensuite nous avons le lancement et l'ouverture de la fenêtre HJT.