Virus, spyware et tout ce qui s'en suit

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Virus, spyware et tout ce qui s'en suit

DroX

Bonjour tout le monde
Ben j'explique mon problème, car je n'y comprend rien >_<

Ce matin, je réinstalle halo sur ma bécane. Pour laisser jouer mon frangin, je décide de télécharger un no-cd sur la mule.(J'ai acheter ce jeu, je n'ai rien à me reprocher).

Une fois télécharger, je me méfie et analyse l'archive .rar avec mon antivirus McAfee (mis a jours) et celui-ci ne détecte rien. Parfait, je met le patch, tout marche impec.
J'éteint mon pc pour aller manger, je revient et là je constate que ça rame à mort. J'analyse direct mon PC et je découvre une 12aine de scripts, virus et autres spywares. Il ne mes les supprimes pas tous car certain sont en execution, je les retire par le gestionnaire des taches et puis c'est bon. Je vais voire d'ou vient toute cette merde (C:\Xtrm et C:\winnt). Chichier caché bien sur, je supprime tout, je réanalyse et je reboot. Rien à faire, apres reboot, tout ce re-crée. Je ne parvient pas à comprendre d'ou cela vient et j''essaye tout ce queje sais faire, mais rien n'y fait.

Le temps de tout retirer (application vérolés... il me faut pas loin de 10 minutes pour pouvoir acceder à internet de façon "sécurisé" (entre guillemenets car il ce relance perpétuelement...)

Donc si vous aviez un quelconque programme pour m'enlever ça de manière féfinitive, j'en serai bien heureseux et vous en remercierais grandement :love:

Merci d'avance

DroX

Edit :
Je vient de faire le log de HijackTisn je vous le met au cas ou

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 16:46:58, on 28/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\servicetask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
D:\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\winnt\system32\dllcache\userlist.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\xtrm.exe
C:\Documents and Settings\DroX\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [usbdrv] servicetask.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunServices: [usbdrv] servicetask.exe
O4 - HKLM\..\RunOnce: [usbdrv] servicetask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [usbdrv] servicetask.exe
O4 - HKCU\..\RunOnce: [usbdrv] servicetask.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Adobe reader\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Je sais pas trop comment cela marche, mais j'ai au moin remarquer à la fin un des trucs qui fout la *****

DroX

Message édité par DroX le 28-04-2005 à 17:02:29

Publicité

jeremy_pailhes

j'fais des fautes et alors...

bon tu as un antivirus à jour, c bien (même très bien) mais télécherge toi un logiciel antispyware comme Microsoft AntiSpyware Beta1 (gratuit) ou Spyhunter ou Spybot S&D.
Sinon utilise le logiciel Hijackthis et analyse ton log sur www.hijackthis.de/fr.

Et la prochaine fois fais plaisir à tous sur ce forum, essaye la fonction rechercher et tape spyware, ainsi tu verra la longue, très longue, extrèmement trop longue de topic sur le sujet, et tous te donne ce conseille. Ainsi on evite de flooder le forum avec des doublons de message.

DroX

Salut jeremy_pailhes

Pour ce qui est de l'antispyware, j'ai Ad-Aware, je sais pas trop ce qu'il vaut, mais il me trouve parfois des p'tits trucs .
Sinon, je vient d'éditer mon post avec le log de hijackthis, mais c'est pas telement francais pour moi.

En fouillant vite fait, je vient de voir le problème de jesaisplus qui "topic : trojan remanent" je crois. C'est apparement le même trojan qui est la cause, mais je ne vois pas ce qu'il à fait pour supprimer le tout (d'ailleur, ca ne marche toujour pas je crois).

Enfin bon, désolé pour le post

DroX

ps: Je ne savais même pas qu'un hijack ça existait, comme quoi

Message édité par DroX le 28-04-2005 à 17:00:06

acrobaze

C:\WINDOWS\System32\servicetask.exe

Ceci est un trojan!

DroX

Et mon anti virus qui ne détecte toujour rien >_<.

Je vient de regarder plusieurs sujet et a chaque fois vous recommandez d'utiliser hijakThis, mais je ne sais pas comment procéder ensuite ou bien si mon log est bon... Je ne sais pas l'analyser quoi.
Le fait de reboot en mode sans echec pour supprimer des fichier est définitif ?

>_<

Sinon, je vient de supprimer ce trojan, est-ce que deshormais les répetoirs xtrm et winnt avec toute leur saleperie ne s'executerons plus ou ben c'est à part ?

DroX

Message édité par DroX le 28-04-2005 à 18:38:59

DroX

Après plusieurs tentative dans le registre et une bonne doxaine de clé supprimés, il n'en reste que certaines (du même dossier) que je ne puisse effacer :

-FireDaemon Service: eventsec
-FireDaemon Service: ntsysvers
-FireDaemon Service: runbatch

J'ai une erreure lors de l'effacement de la clé : donc je ne peux la modifier...

J'ai aussi fait annalyser le hijackthis log par le site web proposé et il s'avère que firedaemon fou bien la merde.

DroX

PS: je vient de refaire le log :

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 22:01:10, on 28/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\nvsvc32.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\System32\svchost.exe
F:\Steam\Steam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\DroX\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Adobe reader\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Tout semble correct d'après l'analyse, mais je doute du résultat vus qu'il reste encore des clé malfaisante.

Une petite aide :heink:
DroX

Message édité par DroX le 28-04-2005 à 22:03:08

FORUM HardWare.fr

Windows & Software

Sécurité

Virus, spyware et tout ce qui s'en suit

Sujets relatifs
Virus , vers ou pirate ou erreur OS ???	Pb de néophyte avec un trojan, spyware etc...
Probleme Virus	virus/bug démarrage windows 2000 pro
virus, demande d'analyse de mon log svp [RESOLU]	Gros problème ==> virus?
virus ou pas ???	Virus et mot de passe connexion
Identifier un virus	Virus NoPir (No peer-to-peer)
Plus de sujets relatifs à : Virus, spyware et tout ce qui s'en suit

Page générée en 0.080 secondes