Je vous explique mon probleme : depuis une semaine maintenant, un programme parasite (spyware, trojan, ??) est installé sur mon système. Cela suite à un téléchargement ‘obscure’… :non:
Concrètement, de manière aléatoire mais très régulière : tout les 15-20 sec j’ai une nouvelle fenêtre Internet de pub qui s’ouvre :ouch:
Un des symptomes est que la plupart de ces pages internet à pour icône un damier noir & blanc.
J’ai essayer avec firewall (kerio), Kaspersky antivirus, Avast!, Spybot, plusieurs tests en ligne… rien n’y fait Seul un des tests online n’a parlé brièvement de win32.canbede : un trojan qui correspondrait à mes symptomes. Problème je ne trouve aucun des fichiers caractéristique, ni les anti-virus :grrr:
L’une de mes grosses erreurs : je n’avais pas d’anti virus sur le moment de l’infection !
HELP
ma config : WinXP SP2 ; ADSL 2+ ; XP 3500+ ; toute neuve…
merci par avance, ça devient TRES agaçant.
Bonne journée.
PS : J’ai effectué aussi un scan avec HijackThis : après analyse il n’y aurait rien d’anormal.
si tu as un trojan il faut le detruire avec un av les anti spy ne servent a rien ce qui m etonne c est que kapersky ne la pas virer .j utilise çà depuis 2 ans et je n ai eu aucun probleme.par contre n oublie pas de virer la restauration si tu en a un avant de scaner
Tu devrais commencer par faire une petite analyse avec Hijack This ! pour déterminer de quoi il s’agit vraiment (poster ensuite le log pour demander conseils) : HiJackThis !
Tutoriel ici
Ensuite, un programme vraiment très efficace pour détecter et éliminer les spywares je trouve est Ewido (version gratuite ou payante : la version complète se désactive au bout de 15 jours si tu n’as pas acheté la licence et passe à la version gratuite moins complète) : ewido (english)
Oui,c’est bizarre car c’est un très bon antivirus. Ewido inclut apparemment la détection des trojans donc je réitère quand même mon conseil (peut être le trojan désactive-t-il kapersky : après tout, c’est un antivirus très connu)
Logfile of HijackThis v1.99.1
Scan saved at 21:09:43, on 25/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Name: Spyware.Cookie.2o7
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].txt
Risk: Medium
Name: Spyware.Cookie.Adtech
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@adtech[2].txt
Risk: Medium
Name: Spyware.Cookie.Falkag
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@as1.falkag[1].txt
Risk: Medium
Name: Spyware.Cookie.Estat
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt
Risk: Medium
Name: Spyware.Cookie.Questionmarket
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@questionmarket[1].txt
Risk: Medium
Name: Spyware.Cookie.Tradedoubler
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[2].txt
Risk: Medium
Name: Spyware.Cookie.Trafficmp
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@trafficmp[1].txt
Risk: Medium
Name: Spyware.Cookie.Weborama
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt
Risk: Medium
Name: Spyware.Cookie.Smartadserver
Path: C:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[1].txt
Risk: Medium
Name: Spyware.UCmore
Path: HKU\S-1-5-21-436374069-583907252-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{44BE0690-5429-47F0-85BB-3FFD8020233E}
Risk: High
Name: Spyware.Look2Me
Path: [1460] C:\WINDOWS\system32\lzcalsec.dll
Risk: High
Name: Spyware.Look2Me
Path: [1892] C:\WINDOWS\system32\lzcalsec.dll
Risk: High
Name: Spyware.Cookie.Tradedoubler
Path: C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@tradedoubler[2].txt
Risk: Medium
Name: Spyware.Cookie.Trafficmp
Path: C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@trafficmp[2].txt
Risk: Medium
Name: Spyware.Cookie.Smartadserver
Path: C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@www.smartadserver[1].txt
Risk: Medium
Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\aspmgr.dll
Risk: High
Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\c8002idmg80a2.dll
Risk: High
Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\dn0601dse.dll
Risk: High
Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\kpdfi.dll
Risk: High
Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\macat32.dll
Risk: High
Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\mdnetobj.dll
Risk: High
Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\mvdocs.dll
Risk: High
Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\mxisip.dll
Risk: High
Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\nrlanui2.dll
Risk: High
Name: Spyware.Look2Me
Path: C:\WINDOWS\system32\wfvdmoe2.dll
Risk: High
C’est énorme, j’ai tout corriger avec le soft, je reboot et vous dit ce que cela donne. encore merci !
(Vous l’avez trouvez comment ewido :??: )
O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\j46m0ej1eho.dll<-- pas bon ça
en mode sans échec >> Ewido ( le télécharger cette fois-ci) /scan et sauvegarde de l’analyse - relancer hijack et fixer la ligne 020 - Relancer Hijack en mode normal et voir si l’entrée 020 persiste
Merci pour les idées : j’ai tout essayer… Même tuer les processus explorer.exe et rundll32 qui utilise les librairies infectées. Rien n’y fait ! :o
Je suis infecté par le spyware Look2me. Avec des recherches sur le Net j’ai constaté qu’il est l’un des plus coriace : énormément de problème pour le retirer. C’est mon cas. Quelqu’un a-t-il une derniere idée pour stopper mon agonie ?
Je m’en doutais que la ligne 020 résisterait, en général si une dll infectée apparait ici, l’Hijack ne peut les corriger
1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
2) affiche les dossiers cachés (important)
Démarrer > Panneau de Configuration > Options des Dossiers >onglet Affichage > Dans la liste des “Paramètre avancés” sous la rubrique “Fichiers et dossiers cachés”
[activer] “Afficher les fichiers et dossiers cachés”
[désactiver] la case " Masquer les extensions des fichiers dont le type est connu"
[désactiver] la case “Masquer les fichiers protégés du système d’exploitation”
Analyser le fichier infecté sur Viruscan <coller dans la fenêtre en haut de la page et "Submit">>Patienter …
C:\WINDOWS\system32\j46m0ej1eho.dll
Ensuite selon le résultat donné, il faudra voir sur Eset>> menu déroulant et chercher s’il y a une antidote et l’exécuter http://www.nod32.com/home/home.htm
>>Relancer Hijack pour vérif
Dans le cas contraire>> détruire la dll avec la KillBox (je te donne déjà la procédure au cas où)
*RelancerHijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée (onglet Main)
*Fixed : O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\j46m0ej1eho.dll Ferme Hijack
*Relancer Ewido/scan/sauvegarde
Ouvir l’Explorateur Wind
rechercher et supprimer (si encore présente) j46m0ej1eho.dll localisé dans System32
>>mode normal
>>Nettoyage complet (temp, corbeille, disque)
>>Refaire les Etapes 1) et 2) dans le sens inverse (important)
et nouveau log hijack pour vérif
Si c’est une infection plus coriace de Look2.me il n’y aura que LM2Fix a tenter (wait and see)
Le virusscan de jotti me donne : “The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file”…
Ce n’est pas très bon signe je pense :grrr: En sachant que j’ai réessayer sans les protection anti virus et firewall.
Sinon, information utile : cette dll change tout le temps de nom. C’est toujours un mélange de chiffres et de lettre, toujours dans system32.
J’ai exactement le même problème, cette dll qui change tout le temps de nom… je suis dessus depuis ce matin, j’arrive pas à la virer, apres avoir tenter un très grands nombre d’anti lourds…
Je suis étonné qu’un removal tool n’existe pas.
bon, si je l’ai choppé, c’est à mon avis car je suis resté un bon mois sans AV…
di nouveau sur ce probleme ? le thread c’est arrété.
[Prudence !! ] Télécharge et exécute Hijackthis pour bien t’assûrer qu’il ne reste aucun processus succeptibles de se répliquer au prochain redémarrage ou dans quelques jours