spyware bloquant ma connexion internet Fermé

Question

Bonjour, 
Depuis une dizaine de jours ma connexion internet est devenue très lente et je soupçonne fortement un spyware.
Spybot, ad-aware, avg antivirus n'ont rien détecté.

Quelqu'un peut-il m'aider ? 

Merci d'avance à vous tous.

Delcopette

Voici mon log de hijackthis : 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\FlashGet\flashget.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

nardino · Answer

Bonjour.

Pas trace d'infection dans ce rapport.
Télécharge Avira AntiRootkit Tool et dézippe-le sur ton bureau : http://dl.antivir.de/down/windows/antivir_rootkit.zip
 
Ouvre le dossier antivir_rootkit créé, double-clique sur le fichier "setup.exe", et suis les instructions d'installation du programme. 
Lorsque c'est terminé, tu psupprimes le dossier du bureau et tu lances l'outil par le menu Démarrer / Tous les programmes / Avira RootKit Detection / Avira RootKit Detection.
Vérifie que les cases "Scan files", "Scan registry", "Scan processes", "Scan all drives" et "Show progress" soient bien cochées. 
Clique à présent sur "Start scan" et patiente.
Lorsque le scan est terminé, clique sur "View report" et dans ta prochaine réponse, poste le contenu du rapport qui s'est ouvert.

Delcopette · Answer

Merci pour ta réponse Nardino.

Voici le rapport de Antivir rootkit (apparemment tout va bien...) : 

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
 - Scan started jeudi 4 octobre 2007 - 11:57:02
========================================================================================================

--------------------------------------------------------------------------------------------------------
   Configuration:
--------------------------------------------------------------------------------------------------------
 - [X] Scan files
 - [X] Scan registry
 - [X] Scan processes
 - [ ] Fast scan
 - Working disk total size : 31.25 GB
 - Working disk free size : 2.77 GB (8 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/53387
Registry items: 0/269165
Processes: 0/35
Scan time: 00:04:08
--------------------------------------------------------------------------------------------------------
Active processes:
  - kuixiyoi.exe     (PID 3892) (Avira AntiRootkit Tool - Beta)
  - notepad.exe      (PID 3872)
  - firefox.exe      (PID 588)
  - System           (PID 4)
  - smss.exe         (PID 632)
  - csrss.exe        (PID 704)
  - winlogon.exe     (PID 740)
  - services.exe     (PID 784)
  - lsass.exe        (PID 796)
  - ati2evxx.exe     (PID 948)
  - svchost.exe      (PID 960)
  - svchost.exe      (PID 1064)
  - MsMpEng.exe      (PID 1156)
  - svchost.exe      (PID 1200)
  - svchost.exe      (PID 1256)
  - svchost.exe      (PID 1368)
  - ati2evxx.exe     (PID 1396)
  - spoolsv.exe      (PID 1696)
  - explorer.exe     (PID 1808)
  - MSASCui.exe      (PID 272)
  - avgcc.exe        (PID 288)
  - realsched.exe    (PID 348)
  - fwsrv.exe        (PID 356)
  - msnmsgr.exe      (PID 364)
  - msmsgs.exe       (PID 372)
  - aawservice.exe   (PID 260)
  - avgamsvr.exe     (PID 344)
  - avgupsvc.exe     (PID 660)
  - avgemc.exe       (PID 1244)
  - slserv.exe       (PID 656)
  - svchost.exe      (PID 1500)
  - alg.exe          (PID 2568)
  - flashget.exe     (PID 3760)
  - usnsvc.exe       (PID 3072)
  - avirarkd.exe     (PID 3728)
========================================================================================================
 - Scan finished  jeudi 4 octobre 2007 - 12:01:11
========================================================================================================

Utilisateur anonyme · Answer

Bonsour,
Télécharge sur le bureau : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

= Double-Clic navilog1.zip
= Extraire tout ( ou extraire sans confirmation ou unzip)
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1 ( = taper 1 )
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

le rapport se trouve dans c:\fixnavi.txt

tu postes ce rapport.

delcopette · Answer

Merci Dorgane.
Voilà le rapport Navilog. Apparemment, rien non plus... 

Delcopette

Search Navipromo version 3.2.1 commencé le 04/10/2007 à 13:01:21,96

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 03.10.2007 a 20h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Gr‚gory\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\GRGORY~1\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan C:\DOCUME~1\GRGORY~1\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche cles registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 04/10/2007 à 13:02:30,01 ***

nardino · Answer

Bonjour Dorgane

Je suis sur le coup et si Avira Antirootkit n'a rien trouvé ce n'est pas navilog1 qui trouveras quelque chose de plus.

Delcopette

Tu ne tiens pas compte du message de dorgane.

Donc rien dans les rapports présentés, il faut chercher autre part.
Peux-tu faire un test de bande passante:
https://www.speedtest.net/
Speedtest.net - 

Et aussi contacter ton fournisseur d'accès.
Certains comme Free, Club-Internet donne l'état du réseau sur leur site.
Cela vaut ce que cela vaut mais peut parfois fournir une indication.

delcopette · Answer

En fait je n'arrive meme pas à accéder à speedtest.net, ça fait une heure que j'essaie ça ne donne rien.

Ma connection monte à 6 ou 7 ko/s durant quelques secondes, puis plus rien. Si j'actualise la page, ça recommence, ça télécharge quelques secondes à un tout petit débit, puis ça bloque. Quel bazar !

Sinon mon téléphone freebox fonctionne bien. Et pas de pb sur le réseau de free, j'ai vérifié.

Nardino, vois-tu une autres piste ? Ou bien "format c:" ? 

merci encore pour ta disponibilité

delcopette

delcopette · Answer

J'ai oublié de dire que sur speednet, après un sacré bout de temps pour charger la carte du monde, j'arrive à entamer la procédure de test du ping, et puis ça bloque systématiquement.

delcopette · Answer

Un truc super bizarre, je ne sais pas si ça pourra aider : 

Mon firewall (jetico) bloque sans arrêt des attaques sur les ports 16088 et 135. Ce qui est bizarre, c'est que le port 16088 est le port que  aléatoirement choisi dans mon logiciel de p2p "utorrent". Pourtant utorrent n'est pas ouvert et donc ne télécharge rien du tout. Mais il y a sans arrêts des attaques bloquées sur ce port et sur le port 135.

Et si je change le port dans utorrent et que je le ferme ensuite, les attaques continuent sur le nouveau port choisi, bien que Utorrent ne soit pas actif. 

Je ne sais pas si je me fais bien comprendre...

Merci encore pour vos réponses.

nardino · Answer

Bonsoir.

Et si tu arrêtes ton programme d P2P, que donne la vitesse de connexion ?

delcopette · Answer

Il est arrêté. Depuis que mon internet "rame"' je ne l'allume plus.

Spyware bloquant ma connexion internet

10 réponses

Discussions similaires