Spywares en tout genre et autres petites saletés

:stuck_out_tongue: all :smiley:

ma soeur m a ramené son pc, elle n y connait rien et s est connectée 1 mois sur le net en haut debit … elle a cliqué a gogo de partout et resultat des courses , le pc , pourtant protegé avec Avast maintenu a jour tous les jours, Spybot et Adaware eux aussi a jour, a quand meme reussi a amasser pas mal de saletés …

Le msconfig me tire une liste de programmes bizarres comme p6.exe ou encore adiras , adtools , wusas , specialfile ( y en a une bonne trentaine … ).
les symptomes etaient plantages divers et variés , deconnexions brutales avec impossibilité de se reconnecter a moins de rebooter …
bon j ai fait le menage , mais il reste encore quelques uns de ces programmes dont je n arrive pas a trouver les exe pour les degager, bien que je les ai desactivés dans le msconfig …

ma question est donc :
Que faire pour d’une les virer et de deux proteger l ordinateur ( sous windows XP SP1 ) contre ce genre d infestation dans le futur , sachant que ma soeur est nulle de chez nulle ?

merci :jap:

:smiley: Question que beaucoup doivent se poser …

Pour les virer soit passer des anti-spywares et faire des scans en ligne … et installer un vrai antivirus … [:gugusg]

Mais bon dans certains cas on perd moins de temps avec un format C: lorsque l’infection est importante comme dans ce cas !

Pour la prévention -> installer un firewall , un bon antivirus , un antispyware qui travaille en tache de fond pour empêcher les spywares de s’installer ( genre spyware blaster qui s’en tire pas trop mal en free)

Pour le reste, il faut un peu de bon sens et pas faire n’importe quoi !

Sinon, pour pas perdre trop de temps à chaque fois … un bon ghost … [:yeoh]

pour le bon sens m en parle pas :smiley:

j ai aucun soucis sur ma becane perso , je sais ou ne pas cliquer :smiley:

Sinon son antivirus est pas mauvais ( j aime bien avast! ) , elle n avait pas de firewall ( je ne pensais pas ca necessaire pour son pc … au pire je lui mets Kerio et c est regle ) , par contre ton antispyware qui surveille en permanence me plait bien :smiley:

je mets ca de suite , merci :smiley:

De rien … :smiley: :jap:

?!!

j ai tout desactivé , passé spybot , adaware et spyware blaster , et j ai toujours 3 fenetre IE qui s ouvrent automatiquement au demarrage du pc vers des liens a la … [:toxicavenger]

pourtant j avais fait le menage dans IE ( le cache , les cookies et tout le reste …) , et surtout que ma soeur se sert exclusivement de firefox :’(

je comprends paaaaaas :cry:

:slight_smile: fait un log hijackthis
Hijack 1.99
(screenshot)


http://www.ordi-netfr.org/tutorialhijackthis.html <- en français

  • Le mettre dans 1 dossier ex: C:\HijackThis
  • Le lancer -> Scan -> Save log
  • Récupérer ce log/texte avec le bloc-notes.
  • Le copier/coller ici <-- @+

j y ai bien pensé mais j ai droit a un beau ntkernel machin introuvable en mode sans echec :confused:

je regarde ca :smiley:

tiens vla le log :smiley:

deja j ai repere quelques conneries que je vais m empresser de degager :smiley:


Logfile of HijackThis v1.99.0
Scan saved at 16:34:16, on 12/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\recycler\mActiveX.exe
C:\Documents and Settings\Rydia\figgaz.exe
C:\lc.mus.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM…\Run: [REGRUN] C:\recycler\mActiveX.exe
O4 - HKLM…\Run: [Windows Service Pack Auto Update] C:\Documents and Settings\Rydia\figgaz.exe
O4 - HKLM…\Run: [REGRUN_4] C:\lc.mus.exe
O4 - HKLM…\RunServices: [RSPC Driver D] ghqnj.exe
O4 - HKLM…\RunServices: [pcEXPLODE] specialfile.exe
O4 - HKLM…\RunServices: [Machine Update Soft] wusas.exe
O4 - HKLM…\RunServices: [Sygate Personal Firewall Start] servic.exe
O4 - HKLM…\RunServices: [MSNPluginSrvcs] p6.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip…{3656D0E5-B016-443D-8BFA-F8E552B8BD8B}: NameServer = 192.168.0.1
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Service d’administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d’aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe


bon j ai shooté ces fichiers la :
C:\recycler\mActiveX.exe
C:\Documents and Settings\Rydia\figgaz.exe
C:\lc.mus.exe

et a priori j ai la paix maintenant …

sympa ce petit prog hijack , je ne le connaissais pas :jap:

l ideal serait de trouver une solution preventive pour empecher leur retour maintenant [:paysan]

et ca a part dire a ma soeur de plus toucher son pc , je vois pas :smiley:

Analyse du log …

http://hijackthis.de/logfiles/9907fec67ff9760260dae5ab69c373c1.html

merci pour l analyse :smiley:

mais j avais vu les problemes sans elle :smiley:

de plus le figgaz qu il ne connait pas c est une saleté ( d ailleurs si on pouvait leur signaler ca serait pas plus mal :smiley: )

Ouais mais bon 2 avis valent mieux qu’un … :smiley:

Et puis p6.exe tu ne le mentionnais pas … :o [:superguipom]

Platform: Windows XP SP1 (WinNT 5.01.2600)<–!!
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)<–!! c’pas non plus un bouclier cet OS :smiley:

C:\recycler\mActiveX.exe <–Added by a variant of the WIN32.RBOT WORM
http://castlecops.com/startuplist-6000.html
C:\lc.mus.exe <–très très inconnu lol

  1. tu fais les fix et 2) les suppressions des xxxx.exeS

  2. dans le log fixer (c’est cocher la case devant la ligne)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

Pour les lignes 04

  1. ctrl/alt/supp : arrête ces processus
  2. tu repasses sur le log et tu fixes

O4 - HKLM…\Run: [REGRUN] C:\recycler\mActiveX.exe
O4 - HKLM…\Run: [REGRUN_4] C:\lc.mus.exe
O4 - HKLM…\RunServices: [RSPC Driver D] ghqnj.exe
O4 - HKLM…\RunServices: [pcEXPLODE] specialfile.exe
O4 - HKLM…\RunServices: [Machine Update Soft] wusas.exe
O4 - HKLM…\RunServices: [Sygate Personal Firewall Start] servic.exe <-- Added by the W32/RBOT-RY WORM
http://computercops.biz/startuplist-6909.html
(bien imité le faux Sygate - dingue l’imagination des trojans)
O4 - HKLM…\RunServices: [MSNPluginSrvcs] p6.exe <-- W32/Rbot-V
http://www.sophos.com/virusinfo/analyses/w32rbotvj.html

  1. rechercher et suprimer (explorateur wind.)profite de faire aussi une recherche sur les exeS en 04, ça veut pas dire qu’elles soient pas présentes dans la machine même si elles sont pas listées en C/process

C:\recycler<-- situé dans —> supprime : mActiveX.exe
C:<— situé dans —> supprime : lc.mus.exe

faire :

  1. désactive ta restauration système
    Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

  2. affiche les dossiers cachés :
    Clique sur “Démarrer” >> “Panneau de Configuration” >> “Options des Dossiers”
    Clique sur l’onglet “Affichage”>> Dans la liste des “Paramètre avancés”, sous la rubrique “Fichiers et dossiers cachés”>>[!! coche!!] “Afficher les fichiers et dossiers cachés”
    Pour afficher les autres fichiers cachés>>[ !!décoche!!] la case “Masquer les fichiers protégés du système d’exploitation” *

  3. passe en mode sans échec :
    donne des impulsions rapides dès l’allumage de ton ordi sur la touche F8 ou F5
    http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php

  4. recherche et supprime
    C:\ou/WINDOWS\ou/SYSTEM32… xxxxxx.exe<–supprime

  5. redémarre en mode normal - vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)

  6. réactive ta restauration système

Pour le log :
*ferme TOUS les programmes
*fixe les lignes trouvées dans l’hijack
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

tu refais un nouveau log ensuite pour contrôle :slight_smile:

ok merci pour toute cette explication :jap:

j avais fait les manip citées ci dessus ( un peu dans le desordre , mais bon le principal c est que le log de control ne trouve plus rien :smiley: )

merci a tous encore :jap:

au fait, qui c’est ce figazz z’encore? O4 - HKLM…\Run: [Windows Service Pack Auto Update] C:\Documents and Settings <–coincé ici ??\lui–> ?Rydia\figgaz.exe

Zantka :slight_smile: La Pacman Startup List?
http://assiste.free.fr/p/pacman/pacman_a.php

justement je sais pas trop ce qu il faisait …

edit : si google le connait :smiley:

c est un trojan :smiley:

sûrement encore une m**de , l’inscription [Windows Service Pack Auto Update] n’a pas lieu et encore moins en 04 (run/démarrage)
:oui: le résultat d’un scan antivirus vu sur Google
File C:\DOKUME~1\xxxxxx~1\figgaz.exe infected by “Trojan-Clicker.Win32.Agent.bt” Virus.