Spywares sur le système

[sylesis]

J'ai aujourd'hui constaté que Firefox ouvrait le lien http://www.quiztakers.com/quiz/take?qzid=119213084832321 ainsi que les auters du même domaine en http://newnet.qsrch.com/dpark?s=quiztakers.com&prt=nn01 . J'ai lancé Adaware et spybots mis à jour, ils ont détecté quelques malwares et les ont supprimé. De même, j'ai regardé avec hikackthis et ai recherché sur le web ce qui me semblait étrange, mais le problème survient toujours. Voici le dernier rapport de hijackthis :

 

 

Logfile of HijackThis v1.97.7

Scan saved at 09:18:06, on 15/03/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\FTRTSVC.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\system32\stisvc.exe

C:\Program Files\VMware\VMware Workstation\vmware-authd.exe

C:\WINNT\system32\vmnat.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\vmnetdhcp.exe

C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

C:\Program Files\Logitech\ImageStudio\LogiTray.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\WINNT\system32\RUNDLL32.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINNT\system32\internat.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\OpenOffice.org1.1.2\program\soffice.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINNT\System32\ALERTM~1\ALERTM~1.EXE

C:\PROGRA~1\Wanadoo\Watch.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\utilitaires\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe

O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [msMGR] RTKMSG.exe

O4 - HKLM\..\Run: [MCI driver32] driver32.exe

O4 - HKLM\..\Run: [CEsqseba] vcsvsd.exe

O4 - HKLM\..\Run: [MSLog] MicrosoftLog.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\RunServices: [MCI driver32] driver32.exe

O4 - HKLM\..\RunServices: [CEsqseba] vcsvsd.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MSLog] MicrosoftLog.exe

O4 - HKCU\..\Run: [CEsqseba] vcsvsd.exe

O4 - HKCU\..\Run: [MCI driver32] driver32.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Program Files\OpenOffice.org1.1.2\program\quickstart.exe

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)

O9 - Extra button: Real.com (HKLM)

O9 - Extra button: Wanadoo (HKCU)

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/...38445.160462963

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{06100598-262D-4A61-A3C1-F014B5E1582D}: NameServer = 80.10.246.130 80.10.246.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{06100598-262D-4A61-A3C1-F014B5E1582D}: NameServer = 80.10.246.130 80.10.246.3

 

 

Un p'tit coup de main ?

[pitcat]

bonjour sylesis et bienvenue sur zeb secu

as tu fait ceci avant de poster ton rapport:

http://forum.zebulon.fr/index.php?showtopic=83986

si c'est non applique la et si c'est oui un membre plus experrimenter va analyser ton rapport

d'autres part il me semble que tu n'est pas la derniere version d'hijackthis(1.99.1)

donc je t'invite a suivre la procedure de megataupe decrite dans le lien.il y a l'adresse pour telecharger la derniere version

d'autres part as tu installer MessengerPlus! 3 avec son sponsor?

si c'est oui ou tu ne te rappelle plus ;regarde ici les consequance du dit sponsor:

http://forum.zebulon.fr/index.php?showtopic=85149

voila à+

[sylesis]

Merci pour les infos .

Après avoir appliqué la méthode, et m'être renseigné auprès d'amis, il s'est avéré que mon ordi n'était pas infecté et que c'était en fait le site qui redirigeait ( pour une personne de ma connaissance, le lien d'origine marche pourtant). Se sent un peu idiot

Enfin, j'avais l'ahbitude d'utiliser la combinaison adaware/spybot/avg antivirus/hijackthis/mimine 1.0 et la commande pskill mais j'ai au moins appris une autre méthode .

[pitcat]

re

donc ton pb est resolu?

edite ton premier msg est marque resolue dans le titre

merci à+

[Mark]

Bonjour Pitcat, Sylesis ;

 

La bécane me semble bien infectée :

 

O4 - HKLM\..\Run: [MCI driver32] driver32.exe >> Lire

 

O4 - HKLM\..\Run: [MSLog] MicrosoftLog.exe >> Lire

 

...et j'en passe..

 

Tu devrais suivre les conseils de Pitcat

[pitcat]

re

Qc001:

tu peut pas pousser les gens à faire des chose qu'ils n'ont pas envie?

apparament cela lui convient comme ca!!

domage!!

à+

effectivement tu en passe:

internat.exe

RTKMSG.exe

Modifié le 15 mars 2006 par pitcat