[résolu]le cheval de troie swizzor.co qui revient

[BipBip07]

salut en attendant ipl_001,

Essais ceci:

Supprime la restauration système : ( aide visuelle ):

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

Cliquez sur OK, redémarrer votre PC

 

Lance ton antivirus (pensez a ne conserver qu'un seul antivirus sur ton PC car je note AVG et Antivir ce qui peu causer des conflits)

 

vas dans ma signature consignes de sécurité et nettois ton PC avec Adaware, Spybot, A2, Easycleaner(registre uniquement), et Ccleaner.

 

Redémarre.

 

Remettre la restauration système :

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Désélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs».

Cliquez sur Appliquer puis sur OK. Redémarre.

 

Et tiens nous informé

Modifié le 28 juillet 2005 par BipBip07

[punkie93250]

g supprimer loption restauration du system depuis 3 jours et je passe spybot deux fois par jour en fait surtout quand je telecharge un logiciel et ya rien il trouve rien jutilise cleanup pour supprimé tous les fichier temporaire.en fait je lisais ce qu'il y avait sur les site mais a chaque fois swizzor ne me loupe pas. je fais meme des analyses en lignes mais rien. je n'ose meme pas remettre restauration du system par peur que swizzor revienne. meme sil loption restauration n'est pas activé il refien quand meme. j'ai supprime tout ce qui pourrai etre a risque et rien. swizzor revient je me demande si ce n'est pas une histoire de port aussi ? ou de porte derobée? mon firewall est kerio mais je n'arrive pas a le configurer. pfffff meme avant que j'aille kerio swizzor revenait toujours. g tout essayer.

ps concernant l'antivirus j'en ai deux mais en fait jutilise antivir pour la protection et AVG pour les analyses.

il n'y a qu'un seul antivirus qui tourne le deuxieme c'est pour une verification. je passe les deux antivirus.de plus avg ne repere swizzor.co

Modifié le 28 juillet 2005 par punkie93250

[ipl_001]

Rebonjour punkie93250, BipBip, rebonjour à tous,

 

Télécharge, installe, mets à jour Ewido -> http://www.ewido.net/en/download/

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

 

 

Redémarre l'ordinateur en mode sans échec.

 

Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous :

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

 

O16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version6/Applet/wchatsign.cab

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://jeuxvideo.wanadoo.fr/components/Metaboli.ocx

O16 - DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} (Upload Class) - http://photos.wanadoo.fr/al/presentation/p...ivex/Ephoto.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Lance un scan antimalware avec Ewido et poste le rapport

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

[punkie93250]

ok je vais le faire

[punkie93250]

voici le rapport edwido par contre je suis etonné d'un spyware

---------------------------------------------------------

ewido security suite - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 20:39:39, 28/07/2005

+ Somme de contrôle: 7C7EE1EB

 

+ Résultats du scan:

 

HKLM\SOFTWARE\Classes\TypeLib\{71EFE583-62FE-4419-9918-CA3B683F7B36} -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\HbTools -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\HbTools\PI -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\HbTools\PI\3.2 -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\Hotbar -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\Hotbar\Install -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{7E66936C-FEA0-4984-AD26-7B6661AC5B2E} -> Spyware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-3381133425-3734077261-1072905290-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A8A997F-BB9F-48F6-AA2B-2762D50F9289} -> Spyware.SmartShopper : Nettoyer et sauvegarder

HKU\S-1-5-21-3381133425-3734077261-1072905290-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{946B3E9E-E21A-49C8-9F63-900533FAFE14} -> Spyware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-3381133425-3734077261-1072905290-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E77EDA01-3C56-4A96-8D08-02B42891C169} -> Spyware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-3381133425-3734077261-1072905290-1005\Software\ShopperReports -> Spyware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-3381133425-3734077261-1072905290-1005\Software\ShopperReports\ShopperReports -> Spyware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-3381133425-3734077261-1072905290-1005\Software\ShopperReports\ShopperReports\PostInstaller -> Spyware.HotBar : Nettoyer et sauvegarder

C:\Documents and Settings\babou\Mes documents\hitch\HijackThis\HijackThis\backups\backup-20050728-200313-638.dll -> Not-A-Virus.PornWare.PopCap.b : Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-3381133425-3734077261-1072905290-500\Dc24.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-3381133425-3734077261-1072905290-500\Dc9.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

 

 

::Fin du rapport

c'est celui qu'il y a ds hijackthis !!! je ne vais pas sur des sites X car je sais que c'est la que lon chope le plus de merde . je tenvoie hijack

[punkie93250]

voici HJT

 

Logfile of HijackThis v1.99.1

Scan saved at 20:44:37, on 28/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\mHotkey.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\UAService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\PROGRA~1\Wanadoo\ALERTM~1.EXE

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\babou\Mes documents\hitch\HijackThis\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - Startup: HotSync Manager.lnk = C:\Program Files\palmOne\HOTSYNC.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{58B90E2E-9185-4D0E-86BB-5BEF2AC4DE70}: NameServer = 80.10.246.1 80.10.246.132

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\system32\UAService.exe

[punkie93250]

swizzor est venu a 22h00 il est venu deux fois d'a filer

ca menerve

[ipl_001]

Rebonsoir punkie93250, rebonsoir à tous,

 

Je suis sur un problème qui me prend tout mon temps mais après, je m'acharnerai sur ton cas (ce que je fais en ce moment servira pour ton problème).

 

@ bientôt !

[punkie93250]

ok je te fais confiance merci

[punkie93250]

pfff swizzor est revenu. actuellement je suis au boulot donc normalement je serai chez moi vers 18h30. alors vous pourriez me donner quelque trucs pour kil ne revienne plus ?

et j'entend bcp parler de Zone alarme commepar feu est ce que c'est mieux que kerio ? car j'ai l'impression que kerio ne fait rien.

merci