[méchants trojans je vous hais!] Résolu

Question

Salut les docteurs del'infoJ'ai un ... des problèmes avec mon PC. Il est "vérolé" par des trojans. Alexa, Windupdates, DyFuCa, etc selon que j'utilise spybot, adaware ou microsoft ASW.Je joints mon hijackthis bien que je n'y comprenne rien du tout. Mais ca me semble utile pour vous.Logfile of HijackThis v1.99.1Scan saved at 19:35:29, on 06/06/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\RunDll32.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Microsoft AntiSpyware\gcasServ.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Norton Internet Security\ISSVC.exeC:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeC:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\System32\wuauclt.exeC:\Documents and Settings\fardeau\Bureau\HijackThis.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NSMdtr.exeC:\WINDOWSegedit.exeC:\Program Files\Outlook Express\msimn.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO1 - Hosts: 201.238.64.130 ibank.barclays.co.ukO1 - Hosts: 201.238.64.130 online-business.lloydstsb.co.ukO1 - Hosts: 201.238.64.130 online.lloydstsb.co.ukO1 - Hosts: 201.238.64.130 www.halifax-online.co.ukO1 - Hosts: 201.238.64.130 www.ukpersonal.hsbc.co.ukO1 - Hosts: 201.238.64.130 www.nwolb.comO1 - Hosts: 201.238.64.130 banesnet.banesto.esO1 - Hosts: 201.238.64.130 extranet.banesto.esO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ihap] C:\WINDOWS\ihap.exeO4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [adiras] adiras.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{914D1789-B613-4E7D-9D0F-29F2238D350F}: NameServer = 212.27.54.252 213.228.0.212O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeC'est ma première expérience de dépannage sur ce site et même sur le net, alors j'attends.Merci.PS Ca fait un mois que je galère...

jean38 · Answer

bonsoir,

avant toute opération, faits un petit nettoyage:

(si tu ne l'as pas déjà fait sinon tiens moi au jus)

imprime ce qui suit pour ne rien oublier:

A/ si tu ne les as pas, telecharge:
ad-aware et spyboot
http://www.florensac-chasse-trap.com

pointe ton curseur sur « section virus » sans cliquer
click sur le menu qui apparaît et charge
ad-aware et spyboot
ainsi que CleanUp312.exe
ne les utilise pas tout de suite

idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/

met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

execute cleanup312.exe

tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

vide ta poubelle et redemarre en mode normal pour retrouver la config de départ.

redemarre

refait hijack et fais un copier coller du log entier ici.

A+

Jean

farman · Answer

Jai des Hosts avec des adresses de banque??? Banesto, llyod, etcQu'est-ce?Merci.

jean38 · Answer

spy ware, fait les manip puis reviens après pour verif.Jean

farman · Answer

Merci,J'essaye tout ca et je te recontacte.Ca fais plaisir de se sentir mois seul.

farman · Answer

Jean es-tu encore là?J'étais parti coucher mes 3 gosses, me revoilà aprés 2 reboot.Je n'arrive pas à activer a2. Il me dit que qu'un compte existe deja avec mon email...

jean38 · Answer

s'il te dit celà c'est que tu as du dejà telecharger ce programme, verifie, si tu l'as dejà lance le simplement et actualise sa base, je vais devoir m'absenter je suis en retard sur toi, je dois coucher les 2 miens... lol

que de boulot *

@+
jean

farman · Answer

a tout a l'heure.je fais ce que tu m'as dit.Merci.Manu.

farman · Answer

voilà j'ai tout fait comme tu m'as dit.Voici mon Hijack:Logfile of HijackThis v1.99.1Scan saved at 22:52:42, on 06/06/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\RunDll32.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Microsoft AntiSpyware\gcasServ.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\Program Files\a2\a2guard.exeC:\WINDOWS\System32\alg.exeC:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Norton Internet Security\ISSVC.exeC:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeC:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\System32\wuauclt.exeC:\WINDOWS\System32\wbem\wmiprvse.exeC:\WINDOWS\System32\wuauclt.exeC:\Documents and Settings\fardeau\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO1 - Hosts: 201.238.64.130 ibank.barclays.co.ukO1 - Hosts: 201.238.64.130 online-business.lloydstsb.co.ukO1 - Hosts: 201.238.64.130 online.lloydstsb.co.ukO1 - Hosts: 201.238.64.130 www.halifax-online.co.ukO1 - Hosts: 201.238.64.130 www.ukpersonal.hsbc.co.ukO1 - Hosts: 201.238.64.130 www.nwolb.comO1 - Hosts: 201.238.64.130 banesnet.banesto.esO1 - Hosts: 201.238.64.130 extranet.banesto.esO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ihap] C:\WINDOWS\ihap.exeO4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [adiras] adiras.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeSinon dès que je me connecte j'ai un message de Outlook ou symantec me parlant de client de messagerie par defaut, bref je ne comprend pas cette fenetre donc je la ferme.J'attends de tes nouvelles

farman · Answer

SpyBot détecte Dyfuca et n-case mais lorsque je fais corriger il n'arrive pas à les virer. Ad aware et A2 ne les detectent pas.

Utilisateur anonyme · Answer

salut farman,normalspybot=anti spywarea²=anti trojana+

farman · Answer

Excuses moi quelle est la différence entre spyware et trojan?Merci d'etre venu Regisfarman

farman · Answer

Que penses-tu de mon Hijack?

Utilisateur anonyme · Answer

salut,
Un espiogiciel (en anglais spyware) est un programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (on parle de profilage).

Les récoltes d'informations peuvent ainsi être :

la traçabilité des URL des sites visités,
le traquage des mots-clés saisis dans les moteurs de recherche,
l'analyse des achats réalisés via internet,
voire les informations de paiement bancaire (numéro de carte bleue / VISA)
ou bien des informations personnelles.
Les spywares s'installent généralement en même temps que d'autres logiciels (la plupart du temps des freewares ou sharewares). En effet, cela permet aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d'informations statistiques, et ainsi permettre de distribuer leur logiciel gratuitement. Il s'agit donc d'un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel.

Les spywares ne sont pas forcément illégaux car la licence d'utilisation du logiciel qu'ils accompagnent précise que ce programme tiers va être installé ! En revanche étant donné que la longue licence d'utilisation est rarement lue en entier par les utilisateurs, ceux-ci savent très rarement qu'un tel logiciel effectue ce profilage dans leur dos.

Par ailleurs, outre le préjudice causé par la divulgation d'informations à caractère personnel, les spywares peuvent également être une source de nuisances diverses :

consommation de mémoire vive,
utilisation d'espace disque,
mobilisation des ressources du processeur,
plantages d'autres applications,
gêne ergonomique (par exemple l'ouverture d'écrans publicitaires ciblés en fonction des données collectées).
Les types de spywares

On distingue généralement deux types de spywares :

Les spywares internes (ou spywares internes ou spywares intégrés) comportant directement des lignes de codes dédiées aux fonctions de collecte de données.
Les spywares externes, programmes de collectes autonomes installés Voici une liste non exhaustive de spywares non intégrés :
Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin, Conducent Timesink, Cydoor, Comet Cursor, Doubleclick, DSSAgent, EverAd, eZula/KaZaa Toptext, Flashpoint/Flashtrack, Flyswat, Gator / Claria, GoHip, Hotbar, ISTbar, Lop, NewDotNet, Realplayer, SaveNow, Songspy, Xupiter, Web3000 et WebHancer

Les chevaux de Troie

On appelle "Cheval de Troie" (en anglais trojan horse) un programme informatique effectuant des opérations malicieuses à l'insu de l'utilisateur. Le nom "Cheval de Troie" provient d'une légende narrée dans l'Iliade (de l'écrivain Homère) à propos du siège de la ville de Troie par les Grecs.

La légende veut que les Grecs, n'arrivant pas à pénétrer dans les fortifications de la ville, eurent l'idée de donner en cadeau un énorme cheval de bois en offrande à la ville en abandonnant le siège.

Les troyens (peuple de la ville de Troie), apprécièrent cette offrande à priori inoffensive et la ramenèrent dans les murs de la ville. Cependant le cheval était rempli de soldats cachés qui s'empressèrent d'en sortir à la tombée de la nuit, alors que la ville entière était endormie, pour ouvrir les portes de la cité et en donner l'accès au reste de l'armée ...

Un cheval de Troie (informatique) est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté en ouvrant une porte dérobée (en anglais backdoor), par extension il est parfois nommé troyen par analogie avec les habitants de la ville de Troie.

A la façon du virus, le cheval de Troie est un code (programme) nuisible placé dans un programme sain (imaginez une fausse commande de listage des fichiers, qui détruit les fichiers au-lieu d'en afficher la liste).

Un cheval de Troie peut par exemple

voler des mots de passe ;
copier des données sensibles ;
exécuter tout autre action nuisible ;
etc.
Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brêche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se connectant de l'extérieur.

Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est-à-dire permettant à son concepteur de s'introduire sur votre machine par le réseau en ouvrant une porte dérobée. C'est la raison pour laquelle on parle généralement de backdoor (littéralement porte de derrière) ou de backorifice (terme imagé vulgaire signifiant "orifice de derrière" [...]).

Un cheval de Troie n'est pas nécessairement un virus, dans la mesure où son but n'est pas de se reproduire pour infecter d'autres machines. Par contre certains virus peuvent également être des chevaux de Troie, c'est-à-dire se propager comme un virus et ouvrir un port sur les machines infectées !

Détecter un tel programme est difficile car il faut arriver à détecter si l'action du programme (le cheval de Troie) est voulue ou non par l'utilisateur.

Les symptômes d'une infection

Une infection par un cheval de Troie fait généralement suite à l'ouverture d'un fichier contaminé contenant le cheval de Troie (voir l'article sur la protection contre les vers) et se traduit par les symptomes suivants :

activité anormale du modem ou de la carte réseau : des données sont chargées en l'absence d'activité de la part de l'utilisateur ;
des réactions curieuses de la souris ;
des ouvertures impromptues de programmes ;
des plantages à répétition ;
Principe du cheval de Troie

Le principe des chevaux de Troie étant généralement (et de plus en plus) d'ouvrir un port de votre machine pour permettre à un pirate d'en prendre le contrôle (par exemple voler des données personnelles stockées sur le disque), le but du pirate est dans un premier temps d'infecter votre machine en vous faisant ouvrir un fichier infecté contenant le troyen et dans un second temps d'accèder à votre machine par le port qu'il a ouvert.

Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit généralement en connaître l'adresse IP. Ainsi :

soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de particuliers connecté par câble, ...) auquel l'adresse IP peut être facilement récupérée
soit votre adresse IP est dynamique (affectée à chaque connexion), c'est le cas pour les connexions par modem ; auquel cas le pirate doit scanner des adresses IP au hasard afin de déceler les adresses IP correspondant à des machines infectées.

etc...

Utilisateur anonyme · Answer

Bonjour,

Méthode a suivre dans l'ordre...
---------------------------------------------------------------------------------------
¤Télécharge ces 3 logiciels mais que tu n utilises pas tout de suite:

1/Ad-Aware : sur le site de balltrap, si tu ve le lien jte le filerais si tu trouves pas

2/Spybot : idem

3/Clean Up 312:
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
-----------------------------------------
¤Démarre en mode sans echec :
Pour cela, tu tapote la touche F8 des le debut de l allumage du pc sans t arreter
Une fenetre va souvrir tu te deplaces avec les fleches du clavier sur demarrer en mode sans echec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------
¤Désactive ta restauration systeme:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer !
---------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as telecharger avant)
3/http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
--------------------------------------------
¤Relance Hijack This, coche les cases devant ces lignes et ensuite clik sur fix:
O1 - Hosts: 201.238.64.130 ibank.barclays.co.uk
O1 - Hosts: 201.238.64.130 online-business.lloydstsb.co.uk
O1 - Hosts: 201.238.64.130 online.lloydstsb.co.uk
O1 - Hosts: 201.238.64.130 www.halifax-online.co.uk
O1 - Hosts: 201.238.64.130 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 201.238.64.130 www.nwolb.com
O1 - Hosts: 201.238.64.130 banesnet.banesto.es
O1 - Hosts: 201.238.64.130 extranet.banesto.es

O4 - HKLM\..\Run: [ihap] C:\WINDOWS\ihap.exe

O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe << c est un ver

------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers

C:\WINDOWS\ihap.exe
C:\WINDOWS\system32\syshost.exe

---------------------------------
Passe adaware et vire tous se qu il trouve
----------------------------------
Passe spybot et vire tous se qu il trouve
-----------------------------------
Tu vide ta poubelle et tu redemarre en mode normal et refait un Hijack
.
-----------------------------------------------

Precise tes soucis si il en restes....

Tiens moi au courant

a+

farman · Answer

Mais tu es une véritable encyclopédie Régis. Si tu n'es pas prof, alors t'as raté ta vocation.
Bravo.

Vu que mon modem transmet systématiquement un flux sortant lorsque je navigue, que ma souris fait parfois des bonds et que mon PC plante régulièrement, je pencherai plutôt pour le Trojan.

Que penses-tu de la ligne :
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe

de mon Hijack?

Merci.

farman · Answer

Désolé je n'avais pas lu la suite.Mais, putain tu vas me foutre des cauchemars avec tes vers qui bouffent mon PC. C'est bien syshost, c'est ca.Mais que sais-tu de ihap.exe?farman

Utilisateur anonyme · Answer

tu sais ce que je t ai marqué , c est un copier coller de la base de recherche CCM

pour ca-->C:\WINDOWS\ihap.exe <----inconnu partout

et ca:
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe

regarde la:
http://securityresponse.symantec.com/avcenter/venc/data/w32.francette.worm.html

a+

farman · Answer

Je ne suis pas assez curieux.Bon j'ai fait ce que tu m'as dit.Voici mon Hijack :Logfile of HijackThis v1.99.1Scan saved at 01:14:52, on 07/06/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\RunDll32.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Microsoft AntiSpyware\gcasServ.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\a2\a2guard.exeC:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\WINDOWS\System32\alg.exeC:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Norton Internet Security\ISSVC.exeC:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeC:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\System32\wuauclt.exeC:\WINDOWS\System32\wbem\wmiprvse.exeC:\WINDOWS\System32\wuauclt.exeC:\Documents and Settings\fardeau\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [adiras] adiras.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeSinon une les fixations faites sur Hijackje n'ai pas trouvé les fichiers ihap.exe et SYShost.exe.Bilan de spybot: N-case

Utilisateur anonyme · Answer

ok nikel,quel est ton soucis?a+

farman · Answer

n-case
hkey users\1-5-18\software\salm
hkey users\default\software\salm

Et

DyFuCa.Internetptimizer
hkeys users\1-5-18\software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt
hkeys users\Default\software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt

Qu'en penses-tu?

Farman

farman · Answer

Regis je te remercie de tes conseils.Vraiment très impréssionnant et très efficace.Si j'ai bien compris je n'est plus de ver.Pour le bilan de spyBot, je verrai demain car là il est très tard et demain le boulot ca va être dur!!Merci encore et à bientôt surement.Farman.Bonne nuit.

Utilisateur anonyme · Answer

salut,essai ces liens pour ncase, un a la fois et tu scan avec spybot apres:http://www.n-case.com/ncaseaduninstall.html le lien direct:*http://www.n-case.com/Downloads/Uninstall/nCASEAdsUninstaller.exe ou(si ca marche pas)télécharge ceci Registry Search Tool http://www.billsway.com/vbspage/ decompresse le et tape nCase et copie colle le resultat dans le bloc note et donne le a+

farman · Answer

Bonjour,Ca y est j'ai fait ce que tu a dit. Ncase desunstall ne fonctionne pas et voici le rapport de regetry seach:REGEDIT4; RegSrch.vbs © Bill James; Registry search results for string "nCase" 07/06/2005 09:18:40; NOTE: This file will be deleted when you close WordPad.; You must manually save this file to a new location if you want to refer to it again later.; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)[HKEY_USERS\S-1-5-21-2025429265-1757981266-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]"d"="C:\Documents and Settings\fardeau\Mes documents\nCASEAdsUninstaller.exe"[HKEY_USERS\S-1-5-21-2025429265-1757981266-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]"c"="C:\Documents and Settings\fardeau\Mes documents\nCASEAdsUninstaller.exe"[HKEY_USERS\S-1-5-21-2025429265-1757981266-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]"C:\Documents and Settings\fardeau\Mes documents\nCASEAdsUninstaller.exe"="nCASEAdsUninstaller"Qu'en penses-tu?Farman

Utilisateur anonyme · Answer

salut,supprime l uninstallerC:\Documents and Settings\fardeau\Mes documents\nCASEAdsUninstaller.exepuis rend toi a ces 3 cles:[HKEY_USERS\S-1-5-21-2025429265-1757981266-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache[HKEY_USERS\S-1-5-21-2025429265-1757981266-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*HKEY_USERS\S-1-5-21-2025429265-1757981266-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exeet dis moi si quelque chose se rapporte a Ncase , si oui supprime, mais attention, fais ca bien sans te tromper !! c est delicata+

farman · Answer

Deja au boulot Regis.Je viens de suprimer les 3clés Ncase.Regestry seacrh ne les trouve plus.Que penses-tu de DyFuCa?Spyware méchant ou pas?

Utilisateur anonyme · Answer

re,pour DyFuCa.Internetptimizer , tes mises a jour spybot sont a jour?sinon dur dur de le supprimer apparemment mais essai d aller sur les cles de registre et de voir si tu le trouveet aussi utilise la fonction rechercher avec regedit avec le mot DyFuCa.Internetoptimizer a+

farman · Answer

comment fait-on pour rechercher avec regedit?

Utilisateur anonyme · Answer

ds regeditedition<recherchera+

farman · Answer

J'ai virer une clé dyfuca.Je redemarre un spybot et tjs le même résultat :n-case hkey users\1-5-18\software\salm hkey users\default\software\salm Et DyFuCa.Internetptimizer hkeys users\1-5-18\software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt hkeys users\Default\software\Microsoft\Windows\CurrentVersion\Policies\AMeOptEt impossible de les virer avec spybot. Quand je clic sur le lien de l'éditeur de registre sur le résultat spybot, ca m'adresse directement au fichier responsable? Puis le supprimer ainsi?Merci.Farman.

Utilisateur anonyme · Answer

re,au fait c est les nouvelles versions dont tu disposes??a+

farman · Answer

J'ai spybot 1.3Je ne sais pas si c'est la dernière version.Dis-moi.

Utilisateur anonyme · Answer

re,les nouvelles versions:Spybot S&D 1.4 et Ad-Aware SE 1.06 http://www.lavasoftusa.com/software/adaware/ http://www.safer-networking.org/fr/index.html peut etre qu il va te le virer, on sait jamais....a+

farman · Answer

J'ai fait les manipulations. En effet, spybot 1.4 est plus performant car il a virer ncase et dyfuca.J'ai mis à jour windows avec le pack2. Ai-je bien fait?Apparement tout fonctionne normalement...Wait and see.En attendant un grand merci à Régis59 pour sa patience, sa connaissance et son intuition.Encore BRAVO!!@+Farman.

Utilisateur anonyme · Answer

ah cool, la je suis raviiiiiiiiiiiii qu il te les virermoi qui doutais des performances de la nouvelle version, tu me confirmes qu elle est au top, merci a toiet pour le pack 2 oui tu as bien fait pour moisi tu as des questions, n hesites pasa+

[méchants trojans je vous hais!]

34 réponses

Votre réponse

Discussions similaires

Newsletters