Sujet Précédent Sujet Suivant

Virus de cul

Nico -  
lautx Messages postés 5 Statut Membre -
Hello tout le monde.
G été affecté par un virus, ki place des icones de cul sur mon bureau..et sur le net, des sites de cul s'ouvrent tous seuls..
Et un message en anglais s'est affiché, disant ke qqn avait accès a "mes documents", heureusement il n'y a rien preske , dedans.
merci pour votre aide.
voici le message : "Detected SPYware! YOU ARE IN REAL DANGER!

Your IP address is 195.93.102.38. Using this address a remote computer '83.116.72.11' has gained an access to your computer and is collecting the information about the sites you've visited and the files contained in the folder 'My Documents'. Attention! Choose and download the software to kill this spyware.

Your private info is collected by winSock.cfg

ISP of trnsmission: AOL
Your IP address: 195.93.102.38
They know you're using: Mozilla/4.0 (compatible; MSIE 6.0; AOL 8.0; Windows NT 5.1; snprtz|T04023554434114)
Your computer is: Windows XP
Referred URL: http://antispy.specialgoods.info/index.php?qq=antivirus&id=30777&said=ad0509
Risk status for further investigation: VERY HIGH RISK
Time of investigation: 09/09/05 19:58:10 PDT "

Nico
A voir également:

5 réponses

Réponse 1 / 5
jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
 
salut,

soit tu mets un slip à ton ordi, il sera plus presentable, soit commence par:

A/ si tu ne les as pas, télécharge:

Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

puis Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite

idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/

met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
décoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du système d'exploitation.

3) démarre en mode sans échec.
Soit tu tapotes sur la touche F8 au lancement de Windows et tu choisis sans échec (pas d’inquiétude pour l’aspect de l’écran)

4) exécute cleanup40.exe

tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

vide ta poubelle et redemarre en mode normal, c'est à dire avant de redémarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.

redemarre
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

aide en image:(Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

A+

Jean
0
Utilisateur anonyme
 
Hello,

Euh... Jean, pendant 1/2 fraction de seconde je me suis demandé "Un slip pour ordi ? C'est quoi ? Un patch ? Un AV ? Un anti spy ? Un FW ? Une PC-card ?!!! Jamais entendu parler de cet outil informatique"... Puis j'ai compris lol (pfeuh !)

Sinon, j'ai bien compris que Nico avait un vrai problème d'adware/spyware et que le message de mise en garde qu'il reçoit utilise de réelles données de son système, mais pour autant,<vraie question sérieuse> est-ce que le risque de protection qu'on lui annonce est vrai ou alors du bluff pour le faire flipper et l'inciter à télécharger un logiciel "miracle" pour s'en débarrasser en payant ? </vraie question sérieuse>

Merci de ton attention, j'essaie de me former au sujet Sécu internet. Je referme la parenthèse pour ne pas gêner plus longtemps le post de Nico.

Bubye !
0
lautx Messages postés 5 Statut Membre
 
SALUT JEAN C EST LAURENT
merci j ai progresse mais tjs search 1 element !!!!!




Logfile of HijackThis v1.99.1
Scan saved at 23:15:58, on 09/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Laurent\Mes documents\Unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\Anti-Spyware\fsaswreg.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /dropdisc
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Contrôle d'AcDcToday) - file://C:\Program Files\AutoCAD LT 2000i Fra\AcDcToday.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Gestion d'AcPreview) - file://C:\Program Files\AutoCAD LT 2000i Fra\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{32583629-E096-4496-AAD5-7E4BBE9415C2}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{32583629-E096-4496-AAD5-7E4BBE9415C2}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Program Files\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Unknown owner - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
0
Réponse 2 / 5
Utilisateur anonyme
 
salut lili

Dans certains cas, le service "affichage des message", s'il est utilisé par certains site à des fin publicitaire, peu generer ce genre de pop-up destiné à faire peur.
Et bien entendu un lien vers le prog miracle et payant, promet d'arranger tout ca.
http://www.ade21.net/article.php?sid=417&mode=thread&order=0&thold=0

mais je crois que dans son cas il s'agit d'un spy ou trojan, car si c'était juste pour le faire flipper, il n'aurait pas des icones qui se seraient crées sur son bureau et son fond d'écran n'aurait pas été modifié au moment de l'alerte.
voir un exemple ici:
http://www.webhelper4u.com/CWS/CWSdropper_exe_msgs.html

a+++++
0
Utilisateur anonyme
 
Hello Moe, comment vas-tu ?
Merci pour tes précisions, c'est bon à savoir et faire suivre à l'occasion ;-)
0
Réponse 3 / 5
Utilisateur anonyme
 
salut lili

ca va tres tres bien,
content de lire tes posts sur le forum secu ;-)

a++++
0
Utilisateur anonyme
 
MES posts sur virus sécu ??? Comme tu y vas Moe, t'es trop généreux... lol
Le seul post que je pense pouvoir aider sans avoir à vous embêter, c'est çui de Burckel pour Trend PC-Cillin à désinstaller (je suis monomaniaque gniark gniark gniark)
J'arrive à intervenir avec plus d'assurance sur forum Logiciel ou Windows, mais un jour vous verrez, je saurai faire autre chose que de raconter mes déboires sur Virus/Sécurité ! ;-)
0
Réponse 4 / 5
Utilisateur anonyme
 
lol

bah, je suis sur que tu n'ose pas t'avancer...
meme si tu a un début de reponse...

a+
0
Utilisateur anonyme
 
Ah Moe ! Ne commence pas à me parler par énigmes même si j'adore çà ! lol
Au fait, puisque je te tiens (après j'arrête de polluer le post de Nico... mes plates excuses), fais un saut au Café, des bises de remerciement et un modeste hommage t'y attendent !
http://www.commentcamarche.net/forum/affich-1780294-A-m%F4ssieur-Balltrap-rappel-%E0-Quentin-et-Moe

;-)

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
Utilisateur anonyme
 
mdr, je vois que tu m'a bien cerné
lol, j'avais pas vu ce post
C'est vraiment sympa de ta part d'avoir pris le temps de remercier ce qui ont essayés de t'aider (meme si, perso, je crois pas avoir fais grand chose il me semble).
Et en plus c'est fait avec humour, you know what ??
I'm very very happy

a+++
0
Utilisateur anonyme
 
(vous avez essayé, et c çà que je n'oublierai pas :-) bises !)
0

Discussions similaires

Opposition site JM-PLANCUL et PAYERBEST
jsuisanxieuxla -
bazfile -

3 réponses
Jm se désabonner
Michaelay -
MPMP10 -

1 réponse
Coment se désabonner de jm plan cul
Aperte -
MPMP10 -

1 réponse
comment enlever ma photo et nom sur JM plan cul
ROMY -
MPMP10 -

1 réponse
Arnaque Jacquie et Michel (J&m contact)
seththefly -
bazfile -

1 réponse