Danger ! Kruegerware "Colt"

PsYcHoTiK Messages postés 161 Statut Membre -  
PsYcHoTiK Messages postés 161 Statut Membre -
Bonjour,

Après plusieurs manip, j'ai constaté que j'ai un spyware ou plutôt un dialer pas comme les autres et qui arrive à changer de pages
De plus il est codé et invisible ..... d'où la difficulté pour les Spybots et autres adaware de le détecter ......

Et je me demande comment j'ai pu l'attraper autrement que par un ver .... passant à travers les firewall ....Effrayant !

Encore plus terrifiant : J'ai mes communication sous le service Colt .... et surtaxé, alors si vous ne remarquez rien de spécial allez quand même sur un site où il y a l'indication de votre IP ( si il y en a un ..... et surtout une info sur notre communication ... d'indiqué sur un forum .... comme pour le site "Beskid.com"

CE QUI N'EST PAS LE CAS ICI ...... ( Merci ....mais là ça aurait bien servit )

Merci pour ceux qui savent l'enlever mais là j'en doute .....

14 réponses

  1. Utilisateur anonyme
     
    Salute , on peut tjr essayer
    , télécharge hijackthis ici:
    http://www.hijackthis.de/downloads/hijackthis_199.zip

    Dézippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Lancez le puis:
    clic sur "do a system scan and save logfile" (cf demo)
    faire un copier coller du log entier sur le forum

    Démo : (merci a balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage

    A+
    0
  2. PsYcHoTiK Messages postés 161 Statut Membre 1
     
    Salut regis et merci,

    Voilà la liste Hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 10:46:39, on 18.11.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Norton Internet Security\NISUM.EXE
    C:\Program Files\Norton Internet Security\ccPxySvc.exe
    C:\Program Files\ewido\security suite\ewidoctrl.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\PsYcHoSiS\Local Settings\Temp\Répertoire temporaire 7 pour hijackthis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1C888CB5-2563-4556-939B-6A553D23E536}: NameServer = 212.23.224.70 212.23.227.70
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1C888CB5-2563-4556-939B-6A553D23E536}: NameServer = 212.23.224.70 212.23.227.70
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

    Par contre Je t'avertis déjà que si tu supprime l'un ou l'autre des fichiers qui s'occupent de la connexion ... Internet ne fonctionne plus : Apparemment ce troyen kruegerware est indiscociable du reste....

    Voilà encore merci je repasse plus tard vu la chèreté de la connexion .... Mon opérateur ne veut rien entendre sur les reversements qu'il fait à Colt !

    Merci !
    0
  3. Utilisateur anonyme
     
    salut

    de quels fichiers il s'agit ?

    essaye ceci :
    demarrer > connection > clic droit sur ta connection > propriétés
    gestion de reseau
    assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"
    valide avec ok
    0
  4. PsYcHoTiK Messages postés 161 Statut Membre 1
     
    Salut Moe !

    ça va ??

    Donc FAUSSE ALERTE :)

    Pour les fichiers QUE J'ETAIS EN SOUCIS c'était les deux numéros 017 que tu peux voir ci-dessus ...

    Mais ....à part ça tu ne vois rien d'anormal ???

    En tout cas je viens d'apprendre que Colt c'est Suédois .... et que mon hébergeur l'utilise... à mon insu :) ....
    Donc je suis plus ou moin tranquille sauf que ... apparemment et je ne le savais pas ...l'hébergeur nous fait croire qu'on paye une seul fois alors que ce n'est pas le cas puique l'on paye encore lors des factures de téléphonique ..... De toute manière je les quittes et mon adresse e-mail aussi.... ( Je vais devoir me réinscrire ici mais j'aimerais bien garder le Pseudo )

    Voilà, ça va donc un peu mieux mais je demande comment enlever une page qui démarre toujours à mon .... insu et se retracte au bout de 5 seconde pour remettre celle de démarrage.....

    Encore merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. PsYcHoTiK Messages postés 161 Statut Membre 1
     
    Salut Moe et merci !

    Voilà le rapport :

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
    "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "SoundMan" = "SOUNDMAN.EXE" ["Avance Logic, Inc."]
    "PROMon.exe" = "PROMon.exe" ["Intel Corporation"]
    "NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]
    "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
    "Zone Labs Client" = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
    "Motive SmartBridge" = "C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe" ["Motive Communications, Inc."]
    "Mediafour Mac Volume Notifications" = ""C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE" /auto" ["Mediafour Corporation"]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
    "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
    -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

    Euhh... est-ce que vous pouvez mettre sur le site une liste de tout les trucs bizarres qui hantent les processus Windows ???

    Merci beaucoup

    A Bientôt
    0
  7. Utilisateur anonyme
     
    salut

    il n'est pas complet, remet un rapport complet

    le scan chez kaspersky à donné quoi ?

    a+
    0
  8. PsYcHoTiK Messages postés 161 Statut Membre 1
     
    Salut Moe et merci !

    Voilà je te remet après quelques jours de pauses tout ce que j'ai depuis Hijackthis , dis-moi si tu aperçois déjà quelque chose .... silentriders au bas :

    Logfile of HijackThis v1.99.1
    Scan saved at 00:19:39, on 23.11.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\PROMon.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\NMSSvc.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    D:\Program Files\Anti-Cheval3\hijackthis_199\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:/www.google.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Quick Help.lnk = C:\Program Files\Bluewin\Quick Help\bin\matcli.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
    O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{39D43929-101A-47E3-BD2C-1CED6628A130}: NameServer = 212.23.224.70 212.23.227.70
    O17 - HKLM\System\CS1\Services\Tcpip\..\{39D43929-101A-47E3-BD2C-1CED6628A130}: NameServer = 212.23.224.70 212.23.227.70
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
    O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Quand à Kaspersky ... ben Zone Alarm il faudrait carrément le déconnecté ... pour qu'il puisse rentré ....EN COMPAGNIE des autres qui veulent me contaminé :).....

    Mais j'ai fais avast et il n'a rien trouvé ....... et comme c'est un troyen il n'y a aucune chance .....

    Bon ben silentrunners en plus seulement 246 Ko !? ..... C'est un troyen efficace ça !

    "Silent Runners.vbs", revision 40, http://www.silentrunners.org/
    Operating System: Windows XP
    Output limited to non-default values, except where indicated by "{++}"

    Startup items buried in registry:
    ---------------------------------

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
    "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "SoundMan" = "SOUNDMAN.EXE" ["Avance Logic, Inc."]
    "PROMon.exe" = "PROMon.exe" ["Intel Corporation"]
    "NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]
    "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
    "Zone Labs Client" = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
    "Motive SmartBridge" = "C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe" ["Motive Communications, Inc."]

    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
    "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
    -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
    "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
    "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Explorateur de Bureau"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
    "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

    HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
    "SystemCheck2" = "{54645654-2225-4455-44A1-9F4543D34545}"
    -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\vbsys2.dll" [null data]

    Active Desktop and Wallpaper:
    -----------------------------

    Active Desktop is disabled at this entry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

    HKCU\Control Panel\Desktop\
    "Wallpaper" = "C:\Documents and Settings\PsYcHoSiS\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

    Enabled Screen Saver:
    ---------------------

    HKCU\Control Panel\Desktop\
    "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

    Startup items in "PsYcHoSiS" & "All Users" startup folders:
    -----------------------------------------------------------

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
    "Quick Help" -> shortcut to: "C:\Program Files\Bluewin\Quick Help\bin\matcli.exe -boot" ["Motive Communications, Inc."]

    Winsock2 Service Provider DLLs:
    -------------------------------

    Namespace Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
    000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
    000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

    Transport Service Providers

    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
    0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
    %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
    %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

    Miscellaneous IE Hijack Points
    ------------------------------

    C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

    Added lines (compared with English-language version):
    [Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

    Missing lines (compared with English-language version):
    [Strings]: 1 line

    Running Services (Display Name, Service Name, Path {Service DLL}):
    ------------------------------------------------------------------

    Intel(R) NMS, NMSSvc, "C:\WINDOWS\System32\NMSSvc.exe" ["Intel Corporation"]
    NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
    TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]

    ----------

    Voilà apparemment il y a plus là dedans .....
    normalement il y a là une fenêtre qui m'inquiète et qui démarre durant 1 secondes pour remettre la page de démarrage juste après ...

    Merci beaucoup et A toute !

    0
  9. PsYcHoTiK Messages postés 161 Statut Membre 1
     
    Je remet juste mon dernier message en première ligne....
    0
  10. Utilisateur anonyme
     
    salut

    celle ci sont à supprimer avec hijackthis
    O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
    O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

    puis recherche et supprime:
    C:\WINDOWS\System32\vbsys2.dll

    redemarre le pc et reposte un hijack, et dis moi s'il y a du mieux ou pas

    a+
    0
  11. PsYcHoTiK Messages postés 161 Statut Membre 1
     
    Salut Moe !!

    J'espère que ça va !?

    Bon ben merci beaucoup pour ton conseil !
    Par contre c'est quoi exactement ce que tu m'as indiqué ??? .cab ??

    J'ai l'impression que ça un rapport avec cable ?? ;) ?
    on me qu'on dévie à mon insu sur un serveur payant ??

    Bon ben je vais enlever ça et j'espères que ....ça ne va pas .... planter

    A bientôt !
    0
  12. PsYcHoTiK Messages postés 161 Statut Membre 1
     
    Bonsoir, salut Moe,

    J'ai un petit soucis que tout le monde pourras sûrement me répondre ..... :
    Sur quel touche ou touches ?? je dois appuyer pour rentrer dans le Mode sans échec sous XP ???

    Moe, je n'arrive pas donc pas à supprimer C:\WINDOWS\System32\vbsys2.dll ....

    C'est bien sous ce mode qu'on enlève ça ???

    Encore Merci
    0
  13. Utilisateur anonyme
     
    salut psychotik

    c'est la touche f8 ou f5 si ca ne marche pas avec f8
    apres que tu ai redemarré le pc, laisse passer l'ecran du bios, puis tapote sur f8

    a+
    0
  14. PsYcHoTiK Messages postés 161 Statut Membre 1
     
    Yep Moe !

    Ok Merci, mais j'ai pourtant tapé comme un sonné sur toutes les touches et je l'ai même écrasé .... comprends pas !?!?

    Bon ben je ferais ça demain ....

    A deums
    0