Sujet Précédent Sujet Suivant

Problèmes de trojan et spy

Fermé
Starling - 21 sept. 2005 à 11:26
 Utilisateur anonyme - 26 sept. 2005 à 21:09
Bonjour à toutes et à tous !

Malgré un AV et un Spybot à jour, je n'arrête pas de recevoir un message au bas de l'écran me disant qu'une activité spyware est détectée et que mon statut de protection AV est mauvais.
Lorsque je fais des scans, je ne trouve rien pour l'AV ( même en désactivant puis réactivant la restauration), et toujours le même spyware (Findspy1) pour Spybot.

En ce qui concerne Hijack1.99, je n'y comprends absolument rien:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fr.msn.be/default.asp?DC=true
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {1358E11F-ADE8-4D2B-9135-1A4CB9A23D7B} (Install Class) - https://genius.belgacom.be/esupport/download/IPGInstaller.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://selfcare.belgacom.net/static/pc/dlbridgesy/SymDlBrg.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {E87A6788-1D0F-4444-8898-1D25829B6755} - http://sc.communities.msn.com/controls/chat/msnchat4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{121A3E71-9482-4A61-BAD2-E71719EB0933}: NameServer = 195.95.218.1 85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3A3A792-0F47-4B2A-8D66-3DA73927308D}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = skynet.be
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = skynet.be
O17 - HKLM\System\CS2\Services\Tcpip\..\{121A3E71-9482-4A61-BAD2-E71719EB0933}: NameServer = 195.95.218.1 85.255.112.7
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = skynet.be
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = skynet.be
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\DJSNETCN.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Netropa NHK Server - Unknown - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Quelles conclusions tirées de toutes ces données ?

Dernier petit détail: à chaque fois que je me connecte à Internet, mon PC détecte un fichier avec trojan
(C:\WINDOWS\System32\hclean32.exe - toujours le même). L'accès lui est bien entendu refusé, mais il revient à chaque fois.
Que faire ?
Merci beaucoup de votre aide et de vos précieux conseils !
A voir également:

7 réponses

Réponse 1 / 7
Utilisateur anonyme
21 sept. 2005 à 11:35
Salut,
Tu peux deja telecharger ceci:
A² free: (anti trojan,gratuit)
a² free

ad aware: (gratuit)
Ad-aware

voilà ce que tu peux ajouter à votre " defense" avec ton anti virus et votre pare feu! :)

Puis tu peux deja fixer ceci de ton log:

O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{121A3E71-9482-4A61-BAD2-E71719EB0933}: NameServer = 195.95.218.1 85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3A3A792-0F47-4B2A-8D66-3DA73927308D}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = skynet.be
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = skynet.be
O17 - HKLM\System\CS2\Services\Tcpip\..\{121A3E71-9482-4A61-BAD2-E71719EB0933}: NameServer = 195.95.218.1 85.255.112.7
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = skynet.be
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = skynet.be

@+
0
starling
21 sept. 2005 à 16:00
Merci beaucoup boulepate

J'avais déjà téléchargé ad-aware, mais je ne l'utilisais plus car je croyais que c'était devenu payant. Je me suis apparemment trompée ( sauf pour le ad-watch).

Quant à a2, j'ai créé un compte, mais je n'arrive pas à l'activer.

Je vais aller sur hijack pour fixer les éléments que tu m'as donnés.

Merci de tout coeur et à +
0
Utilisateur anonyme > starling
26 sept. 2005 à 14:03
Salut,

Je viens au nouvelles alors comment ce porte ton pc depuis la derniere fois?

Spybot, ad-aware et a² free sont totalement gratuit :)

tu peux telecharger ceci si tu veux CCleaner(gratuit en français):
il va te permettre d'alleger ton systeme des fichiers temporaires qui prennent de la place et qui sont inutiles.
http://www.filehippo.com/download_ccleaner.html

Bon surf ;)
0
Starling > Utilisateur anonyme
26 sept. 2005 à 19:16
Ah, j'ai retrouvé mon post initial !
Cela va me permettre d'éviter de squatter celui de plouf plus longtemps.

J'ai donc retrouvé le lien vers Outlook. Heureusement, car je n'ai pas de cd xp ( il n'y en avait pas à l'achat ). Et cela m'aurait fait une belle jambe pour réinstaller Outlook.

Au sujet des autres mises à jours Windows, tu en penses quoi ?
0
Utilisateur anonyme > Starling
26 sept. 2005 à 19:22
Au niveau des autres mise à jour, si tu y connais rien je te conseille de tout installer de toute façon ça ne peut pas faire de mal. :)
Et ton Pc sera amplement protegé maintenant que tu as le sp2, j'espere que ton probléme sera réglè ;)
0
Starling > Utilisateur anonyme
26 sept. 2005 à 19:25
Mille merci pour tes précieux conseils, Boulepate !

Je vais installer les nouvelles mises à jour et je te tiens au courant.

Merci encore et à +
0
Réponse 2 / 7
Utilisateur anonyme
26 sept. 2005 à 20:20
salut starling, boulepate

starling : tu as pu te debarrasser de hclean32.exe ?

a+
0
Starling
26 sept. 2005 à 20:27
Salut ??? Es-tu moe1 ou Boulepate ?

Quoiqu'il en soit, je pense ne pas encore être débarrassée dudit fichier.
Ce trojan revient à l'attaque à chaque fois que je lance Internet Explorer.
0
Utilisateur anonyme > Starling
26 sept. 2005 à 20:30
hop me revoila ..
Salut moe1

Remet un log hijack s'il te plait Starling
0
Starling > Utilisateur anonyme
26 sept. 2005 à 20:41
Voici :


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fr.msn.be/default.asp?DC=true
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1358E11F-ADE8-4D2B-9135-1A4CB9A23D7B} (Install Class) - https://genius.belgacom.be/esupport/download/IPGInstaller.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://selfcare.belgacom.net/static/pc/dlbridgesy/SymDlBrg.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {E87A6788-1D0F-4444-8898-1D25829B6755} - http://sc.communities.msn.com/controls/chat/msnchat4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{121A3E71-9482-4A61-BAD2-E71719EB0933}: NameServer = 195.95.218.1 85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{121A3E71-9482-4A61-BAD2-E71719EB0933}: NameServer = 195.95.218.1 85.255.112.7
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\DJSNETCN.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Netropa NHK Server - Unknown - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
0
Réponse 3 / 7
Utilisateur anonyme
26 sept. 2005 à 20:56
salut starling

Ta version d'hijackthis date un peu, telecharge la derniere en date ici:
http://www.merijn.org/files/hijackthis.zip
et reposte un rapport.

Telecharge aussi silentrunners ici:
http://www.silentrunners.org/Silent%20Runners.vbs
lance le et quand norton va te le demander, autorise le script
poste le rapport de silentrunners

telecharge ce prog ici:
http://cjoint.com/?jAu7RJ0V1J
dezippe le et lance hc.bat, le bloc note va s'ouvrir, copie et colle le contenu ici.

et surtout ne redemarre pas le pc pour l'instant.

a+
0
Réponse 4 / 7
Utilisateur anonyme
26 sept. 2005 à 20:57
Re,fixe ceci:
dsl jvoulais dire moe31 taleur!

O1 - Hosts: localhost 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{121A3E71-9482-4A61-BAD2-E71719EB0933}: NameServer = 195.95.218.1 85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{121A3E71-9482-4A61-BAD2-E71719EB0933}: NameServer = 195.95.218.1 85.255.112.7
O16 - DPF: {1358E11F-ADE8-4D2B-9135-1A4CB9A23D7B} (Install Class) - https://genius.belgacom.be/esupport/download/IPGInstaller.CAB
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

as tu encore a²free, si ou fait un scan avec stp!
sinon retelecharge le ici:
A² free: (anti trojan,gratuit)
a² free

puis apres avoir fixer et le scan remet un rapport Hijack stp
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Utilisateur anonyme
26 sept. 2005 à 21:01
lol, pas grave
0
Réponse 6 / 7
Starling
26 sept. 2005 à 21:09
OK Boulepate !

Je ferai ça plus tard.

En attendant, bonne soirée et à+
0
Réponse 7 / 7
Utilisateur anonyme
26 sept. 2005 à 21:09
mdrr, désolé j'ai pas fait expres promis..
Refait un scan avec l'Hijack de Moe31, Starling :) stp
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment éliminer manuellement virus trojan?
ballag -
RClog -

12 réponses