Spyware detected on your computer

Question

Bonjour,

Ce matin, j'allume mon pc et je lance internet, je vais sur des sites où j'ai l'habitude d'allé et tout à coup un fond d'écran bleu s'installe avec le message "spyware detected on your computer et des win32 en dessous"

J'ai recherché et voilà ce que j'ai fait, sans résultat..



Rapport hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:14:44, on 22/08/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\VTTimer.exe
C:\WINDOWS\System32\VTtrayp.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\rwjz.exe
C:\WINDOWS\system32\lcsass.exe
C:\WINDOWS\system32\sssvcs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\lphc7paj0egfl.exe
C:\WINDOWS\msauc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\pphc7paj0egfl.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Yahoo!\Common\unyt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Chris\Bureau\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {284C7CED-0522-47E4-8B3C-DB96ADECD9A8} - C:\WINDOWS\System32\ci.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [mmsass] rwjz.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [dsgb] C:\WINDOWS\system32\lcsass.exe
O4 - HKLM\..\Run: [fhy] C:\WINDOWS\system32\sssvcs.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\msauc.exe
O4 - HKLM\..\Run: [lphc7paj0egfl] C:\WINDOWS\System32\lphc7paj0egfl.exe
O4 - HKLM\..\Run: [SMrhc3paj0egfl] C:\Program Files\rhc3paj0egfl\rhc3paj0egfl.exe
O4 - HKLM\..\RunServices: [mmsass] rwjz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe
O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe
O4 - HKCU\..\Run: [dsgb] C:\WINDOWS\system32\lcsass.exe
O4 - HKCU\..\Run: [fhy] C:\WINDOWS\system32\sssvcs.exe
O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: poqilz - C:\WINDOWS\SYSTEM32\poqilz32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: .NET Runtime Optimization Service v2.0.50727_X86 clr_optimization_v2.0.50727_32wuauserv (clr_optimization_v2.0.50727_32wuauserv) - Unknown owner - C:\WINDOWS\System32\adsnwu.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

Maro · Answer

Rapport Malwarebytes




Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 5.1.2600 

15:41:04 22/08/2008
mbam-log-08-22-2008 (15-40-56).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 138071
Temps écoulé: 1 hour(s), 14 minute(s), 13 second(s)

Processus mémoire infecté(s): 5
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 15
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 11
Fichier(s) infecté(s): 34

Processus mémoire infecté(s):
C:\WINDOWS\msauc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sssvcs.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lcsass.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lphc7paj0egfl.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\pphc7paj0egfl.exe (Trojan.FakeAlert) -> No action taken.

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\poqilz32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\acleditc.dll (Backdoor.Bifrose) -> No action taken.
C:\WINDOWS\system32\blphc7paj0egfl.scr (Trojan.FakeAlert) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\poqilz (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{284c7ced-0522-47e4-8b3c-db96adecd9a8} (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{284c7ced-0522-47e4-8b3c-db96adecd9a8} (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\secdrv (Rootkit.Agents) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\secdrv (Rootkit.Agents) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\secdrv (Rootkit.Agents) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cgl72 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cgl72 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cgl72 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc3paj0egfl (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\rhc3paj0egfl (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNTIME (Rootkit.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsass driver (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmsass (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\mmsass (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fhy (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fhy (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dsgb (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dsgb (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc7paj0egfl (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhc3paj0egfl (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iexplorer (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
C:\Documents and Settings\Chris\Application Data\rhc3paj0egfl (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Chris\Application Data\rhc3paj0egfl\Quarantine (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Chris\Application Data\rhc3paj0egfl\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Chris\Application Data\rhc3paj0egfl\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Chris\Application Data\rhc3paj0egfl\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Chris\Application Data\rhc3paj0egfl\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Chris\Application Data\rhc3paj0egfl\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Chris\Application Data\rhc3paj0egfl\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Chris\Application Data\rhc3paj0egfl\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Chris\Application Data\rhc3paj0egfl\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\Chris\Application Data\rhc3paj0egfl\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Fichier(s) infecté(s):
C:\WINDOWS\system32\poqilz32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\acleditc.dll (Backdoor.Bifrose) -> No action taken.
C:\WINDOWS\system32\ci.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\helperlcsass.exe (Trojan.SpamBot) -> No action taken.
C:\WINDOWS\system32\helpersssvcs.exe (Trojan.SpamBot) -> No action taken.
C:\WINDOWS\system32\poqilz.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wpx8.cpx (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\secdrv.sys (Rootkit.Agents) -> No action taken.
C:\WINDOWS\system32\drivers\Cgl72.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\Temp\BN1.tmp (Trojan.Zlob) -> No action taken.
C:\WINDOWS\Temp\BN3.tmp (Trojan.Zlob) -> No action taken.
C:\WINDOWS\msauc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wpx9.cpx (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wpx13.cpx (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\rwjz.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\sssvcs.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lcsass.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lich.dat (Stolen.Data) -> No action taken.
C:\WINDOWS\system32\blphc7paj0egfl.scr (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\lphc7paj0egfl.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\phc7paj0egfl.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\pphc7paj0egfl.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\services.exe (Backdoor.ProRat) -> No action taken.
C:\WINDOWS\system32\5_exception.nls (Trojan.Tibs) -> No action taken.
C:\WINDOWS\Temp\BN4.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN5.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN6.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN7.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN8.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN9.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN10.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN11.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\BN12.tmp (Trojan.Agent) -> No action taken.






Et je peux mettre le rapport Ccleaneur si vous le voulez.
Je ne peux aps installer Bitdeffendeur ni spyware doctor (a rencontrer un problème et doit fermer a l'installation)

totobetourne · Answer

record du monde ou pas? ton ordi a ete utiliser pour des test car il y a vraiment bcp de choses etrange.

pas etonnant sans pare feu , antivirus et ad aware qui est completement depasse.cocktail magique.

commencons par cela 

Telecharges malwares bytes anti malwares :

Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm 
fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.

garde le et lance un scan tout les mois comme indique.

si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.

Maro · Answer

je l'ai déjà mais les MAJ n'ont pas pu se faire car "le logiciel a subit un problème et doit fermé" et j'ai fait le scan complet (voir message d'au dessus) d'une heure 15 mais pas en mode sans échec.

J'ai enregistrer le rapport (voir au dessus) puis cliquez sur supprimer la séléection et la encore un "le logiciel a subit un problème et doit fermé" et donc il s'est fermé.

Il me reste donc que le rapport de scan sans suppression ni rien

totobetourne · Answer

1)pour ton rapport maintenant il faut tout supprimer et ainsi ce qui serait en quarantaine.

2)ton analyse a t elle ete effectuee en mode sans echec, si ce n est pas le cas je te conseille de le refaire en mode sans echec.

3)desole je dois bientot partir.
essaye cette outil car il doit te reconnaitre d autres choses car tu en a tout de meme pas mal
apres tout cela refais des rapports hijack pour que l on voit les differences.



pour voir télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.


déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

totobetourne · Answer

va en mode sans echec et fais tout de meme une analyse , on verra ce que te trouve malwarebyte.

Spyware detected on your computer

5 réponses

Votre réponse

Discussions similaires

Newsletters