La petite vérole sournoise...

hello Neuya you wrote

Bonjour,

Etonnamment, je pensais être tranquile avec Norton corporate mis à
jour régulièrement, accompagné de Spybot 1.4 (AdAware supprimé...) Et
puis j'ai commencé à avoir beaucoup de fenêtre publicitaires avec des
images (genre gif animés) qui me signalaient que mon PC était
manifestement encombré de spyware. Ca m'a mis la puce à l'oreille et
j'ai installé Spyware Doctor (dans la suite Google) qui m'a annoncé
que j'avais récolté diverses petites véroles, du genre
Adware.Agent.BN, Trojan-Downloader.Tiny.ID, Adwawre.Advertising et
aussi un Trojan.Virtumonde ou un truc dans le genre...

[...]
____________

Tu devrais prendre SSD et faire un scan avant ,( faire la mise à jour
avant )

http://www.clubic.com/telecharger-fiche10965-spybot-search-destroy.html
et tout côcher à la fin de la recherche.


Quand tu en a fini, vaccines...


________________________________


Hé bien :-( à ce stade là tu devrais envoyer un log HiJackThis *ici
sur les news*

http://www.hijackthis.de/index.php?langselect=french ( prends le en haut
à droite de cette page )


Do a scan and save a log file ( et copie colle ici ce fichier log .)

Nota bene: Hijackthis doit être executé à partir d'un emplacement bien à
lui et non pas sur le bureau ( tu crées par exemple un dossier HJT sur
C: sur ton DD et c'est là que tu dois mettre cet utilitaire (ce qui
permettra de faire marche arriere en cas de mauvaise manip car il crée un
backup dans son dossier en cas de gourance.

Et fais un scan ( ne fixes ( éffaces rien ) attends les avis ici.


Courage, on va les avoir ;-)
--
NM

Return adress valid anyway

Je parles de Spybot S&D, car je ne sais pas si tu l'as pris sur le site
officiel qui est celui là :


http://www.safer-networking.org/fr/index.html

A+

"Neuya" <none@club-internet.fr> a écrit dans le message de news:
4713cbd2$0$21144$7a628cd7@news.club-internet.fr...

Bonjour,
hello,

(snip)

un Trojan.Virtumonde ou un truc dans le genre...

Voir site Jesses pour virtumonde/navipromo.

--
hello NM.

Hello,

Merci pour les infos.

Tu devrais prendre SSD et faire un scan avant ,( faire la mise à jour
avant )
http://www.clubic.com/telecharger-fiche10965-spybot-search-destroy.html et
tout côcher à la fin de la recherche.
Quand tu en a fini, vaccines...
J'ai fait tout ça. Il a trouvé le Trijan.Virtumonde et d'autres babioles et

a tout enlevé.
Mais 5 minutes après, Spyware Doctor me dit qu'il a bloqué une tentative
d'Explorer pour lancer un fichier "C:WINDOWSSYSTEM32EKRSICJN.EXE" (je
crois bien que c'est une vérole) avec la menace "Trojan-Downloader.Tiny.ID"
Et ZoneAlarm me donne une tentative d'accès par l'application cnxxbhjw.exe
(programme DCC) à l'adresse 24.244.141.185. Je refuse poliment (je suis bien
élevé ^^) parce que je crois savoir que c'est une saloperie...
Et qu'est-ce que je vois : "cnxxbhjw.exe" est dans la liste des processes
qui tournent... Ah l'enc...
Quand j'essaie de le buter, il se relance tout seul... Je passe par les
services (sévices ?) et je le trouve caché sous DomainService : j'arrête le
service et je finis par tuer le process...

Bref, toujours pareil : j'ai beau dératiser, il y a toujours des saloperies
qui reviennent...

Et le plus étrange, c'est les connexions : explorer tente régulièrement de
se connecter à l'adresse 127.0.0.1. Je crois que c'est du local, alors je
veux bien admettre que je n'ai pas le niveau et que c'est une feinte de
développeur, mais je trouve ça moyen, quand même... Et surtout quand c'est
des applications diverses qui essaient d'accéder à des sites inconnus : ça
rejoint la feinte avec Outlook Express... Typiquement, l'install de Spybot
S&D essaie se connecter au 82.98.235.110 dont je ne trouve aucune référence
(pas d'URL) et ça, je trouve que ça sent pas bon...

Hé bien :-( à ce stade là tu devrais envoyer un log HiJackThis *ici sur
les news*
J'ai installé HijackThis, mais j'avoue que les logs sont restés un peu

bscurs pour moi...
Je peux poster les logs ici ? Je croyais qu'il fallait les mettre sur les
forums HiJackThis ?

Nota bene: Hijackthis doit être executé à partir d'un emplacement bien à
lui et non pas sur le bureau
D'accodac !

Courage, on va les avoir ;-)
Merci pour la cellule de soutien psychologique !!! ;-))

Y.

Hi there !

Voir site Jesses pour virtumonde/navipromo.
Ok, je suis en train de jeter un oeil, ça a l'air pertinent...

Je tâche de poster le résultat...

Merci.

A+

Y

Et fais un scan ( ne fixes ( éffaces rien ) attends les avis ici.

Bon, je me lance, je fais péter le scan de HiJackThis !

Les lignes suivantes me paraissent suspectes :
[...]
C:Documents and SettingsYRAYELocal SettingsTempprocexp.exe

[...]
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyOverride = 127.0.0.1;<local>

[...]
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k

[...]
O4 - HKLM..Run: [SearchIndexer] rundll32.exe
"C:WINDOWSsystem32toxxqveb.dll",sitypnow

[...]
O20 - Winlogon Notify: fccbbcd - fccbbcd.dll (file missing)

[...]

Il y en a sans doute plein d'autres. Z'en dites quoi de celles-ci ? Et du
reste ?
Pour la O20, je crois que c'est moi qui lui ai demandé de faire péter cette
DLL via Avast...

Et si je poste pas au bon endroit, vous avez le droit de le dire, mais tapez
pas trop fort...

Merci d'avance.

Y

--- début log -----
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:50:03, on 16/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1SYMANT~1SYMANT~1DefWatch.exe
C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesIntelWirelessBinRegSrvc.exe
C:Program FilesSpyware Doctorsvcntaux.exe
C:Program FilesSpyware Doctorswdsvc.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wdfmgr.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSSystem32alg.exe
C:Program FilesIntelWirelessBinZcfgSvc.exe
C:Program FilesIntelWirelessBinifrmewrk.exe
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:PROGRA~1SYMANT~1SYMANT~1vptray.exe
C:Program FilesJavajre1.6.0_02binjusched.exe
C:Program FilesFichiers communsLogiShrdLComMgrCommunications_Helper.exe
C:Program FilesLogitechQuickCamQuickcam.exe
C:Program FilesSpyware DoctorSDTrayApp.exe
C:Program FilesZone LabsZoneAlarmzlclient.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesGoogleGoogle UpdaterGoogleUpdater.exe
C:Program FilesFichiers communsLogiShrdLVCOMSERLVComSer.exe
C:Program FilesFichiers communsLogishrdLQCVFXCOCIManager.exe
C:WINDOWSsystem32NOTEPAD.EXE
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:WINDOWSexplorer.exe
C:WINDOWSsystem32taskmgr.exe
C:Documents and SettingsYRAYELocal SettingsTempprocexp.exe
C:yrayeDownloadHiJackThis_v2.exe
C:WINDOWSsystem32wbemwmiprvse.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Internet
Explorer
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyServer = 133.38.0.8:6588
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyOverride = 127.0.0.1;<local>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:PROGRA~1Yahoo!COMPAN~1Installscpnycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 6.0AcrobatActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection -
{53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:Program FilesJavajre1.6.0_02binssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class -
{AE7CD045-E861-484f-8273-0445EE161910} - C:Program FilesAdobeAcrobat
6.0AcrobatAcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO -
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program
FilesGoogleGoogleToolbarNotifier2.1.615.5858swg.dll
O2 - BHO: (no name) - {F02BA00A-2D13-4A59-A66B-4567BA3AEBC6} -
C:WINDOWSsystem32opnoo.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:Program FilesAdobeAcrobat 6.0AcrobatAcroIEFavClient.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:PROGRA~1Yahoo!COMPAN~1Installscpnycomp5_3_18_0.dll
O4 - HKLM..Run: [IntelWireless] C:Program
FilesIntelWirelessBinifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM..Run: [ATIPTA] "C:Program FilesATI TechnologiesATI Control
Panelatiptaxx.exe"
O4 - HKLM..Run: [vptray] C:PROGRA~1SYMANT~1SYMANT~1vptray.exe
O4 - HKLM..Run: [Synchronization Manager]
%SystemRoot%system32mobsync.exe /logon
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program
FilesJavajre1.6.0_02binjusched.exe"
O4 - HKLM..Run: [LogitechCommunicationsManager] "C:Program FilesFichiers
communsLogiShrdLComMgrCommunications_Helper.exe"
O4 - HKLM..Run: [LogitechQuickCamRibbon] "C:Program
FilesLogitechQuickCamQuickcam.exe" /hide
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [SDTray] "C:Program FilesSpyware DoctorSDTrayApp.exe"
O4 - HKLM..Run: [ZoneAlarm Client] "C:Program FilesZone
LabsZoneAlarmzlclient.exe"
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [SearchIndexer] rundll32.exe
"C:WINDOWSsystem32toxxqveb.dll",sitypnow
O4 - HKCU..Run: [NBJ] "C:Program FilesAheadNero BackItUpNBJ.exe"
O4 - HKCU..Run: [swg] C:Program
FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKCU..Run: [MP3 CD Extractor] "C:Program FilesMP3 CD
ExtractorCD-Extractor.exe" hmw
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search &
DestroyTeaTimer.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User
'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User
'SERVICE RÉSEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User
'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User
'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:Program
FilesGoogleGoogle UpdaterGoogleUpdater.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} -
C:Program FilesTitan Pokercasino.exe
O9 - Extra 'Tools' menuitem: Titan Poker -
{49783ED4-258D-4f9f-BE11-137C18D3E543} - C:Program FilesTitan
Pokercasino.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader
3.0 Control) -
https://monsite.club-internet.fr/album_admin/ActiveX/ImageUploader3.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:PROGRA~1FICHIE~1SkypeSKYPE4~1.DLL
O20 - Winlogon Notify: fccbbcd - fccbbcd.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui -
{438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:WINDOWSsystem32browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant -
{8C7461EF-2B13-11d2-BE35-3078302C2030} - C:WINDOWSsystem32browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:Program
FilesFichiers communsAutodesk SharedServiceAdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil
SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil
SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil
SoftwareAvast4ashWebSv.exe
O23 - Service: DefWatch - Symantec Corporation -
C:PROGRA~1SYMANT~1SYMANT~1DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique
(dmadmin) - Unknown owner - C:WINDOWSSystem32dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner -
C:WINDOWSsystem32services.exe
O23 - Service: EvtEng - Intel Corporation - C:Program
FilesIntelWirelessBinEvtEng.exe
O23 - Service: Fax - Unknown owner - C:WINDOWSsystem32fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program
FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program FilesFichiers
communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown
owner - C:WINDOWSsystem32imapi.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:Program FilesFichiers
communsLogiShrdLVCOMSERLVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:Program
FilesFichiers communsLogiShrdLVMVFMLVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:Program FilesFichiers
communsLogiShrdSrvLnchSrvLnch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) -
Symantec Corporation - C:PROGRA~1SYMANT~1SYMANT~1Rtvscan.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner -
C:WINDOWSsystem32services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance
(RDSessMgr) - Unknown owner - C:WINDOWSsystem32sessmgr.exe
O23 - Service: RegSrvc - Intel Corporation - C:Program
FilesIntelWirelessBinRegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel
Corporation - C:Program FilesIntelWirelessBinS24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner -
C:WINDOWSSystem32SCardSvr.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner -
C:Program FilesSpyware Doctorsvcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools -
C:Program FilesSpyware Doctorswdsvc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown
owner - C:WINDOWSsystem32smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
C:WINDOWSsystem32ZoneLabsvsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner -
C:WINDOWSSystem32vssvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:Program
FilesIntelWirelessBinWLKeeper.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner -
C:WINDOWSsystem32wbemwmiapsrv.exe

--
End of file - 10408 bytes

=== fin log =====

hello Neuya you wrote

Hi there !

Voir site Jesses pour virtumonde/navipromo.
Ok, je suis en train de jeter un oeil, ça a l'air pertinent...

Je tâche de poster le résultat...

et celà en plus ?

http://www.infos-du-net.com/telecharger/RogueRemover,0301-7371.html

On Tue, 16 Oct 2007 22:29:45 +0200, "Neuya" <none@club-internet.fr>
wrote:

Bon, je me lance, je fais péter le scan de HiJackThis !

Y a un site pour analyser ça :
hijackthis.de
Et à votre place, j'installerais un vrai AV en version d'éval, mais
vous faites ce que vous voulez....
--
Nina

Y a un site pour analyser ça :
hijackthis.de
Il me semblait aussi, mais j'avais cru comprendre qu'on m'invitait à le

faire ici...
Je vais de ce pas me reporter sur ce site...

Et à votre place, j'installerais un vrai AV en version d'éval,
Les anti-virus n'étant pas mon domaine de prédilection, je veux bien un nom

et éventuellement une version...

mais vous faites ce que vous voulez....
Vous êtes bien urbaine... ^^

Y

Bonjour,

Etonnamment, je pensais être tranquile avec Norton corporate mis à jour
régulièrement, accompagné de Spybot 1.4 (AdAware supprimé...) Et puis j'ai
commencé à avoir beaucoup de fenêtre publicitaires avec des images (genre
gif animés) qui me signalaient que mon PC était manifestement encombré de
spyware. Ca m'a mis la puce à l'oreille et j'ai installé Spyware Doctor
(dans la suite Google) qui m'a annoncé que j'avais récolté diverses petites
véroles, du genre Adware.Agent.BN, Trojan-Downloader.Tiny.ID,
Adwawre.Advertising et aussi un Trojan.Virtumonde ou un truc dans le
genre...

Spyware Doctor les ayant vu et corrigé (sauf Virtumonde) : j'ai essayé
d'autres choses, genre VundoFix. Mais rien à faire, toute la panoplie de
véroles revenait régulièrement. Du coup, j'ai installé ZoneAlarm 7.0 et
Avast 4.7... Avast a repéré les véroles et les a (a priori) éliminé, mais
j'ai des choses encore suspect : en controlant les connexions par ZoneAlarm,
je me suis apperçu que certains programme se connectaient sur des sites qui
n'avaient rien à voir (genre google updater sur un site d'information) voire
des sites dont je n'arrive pas à trouver l'URL. Au final, je m'apperçois que
Outlook Express se connecte à un site qui n'a pas du tout l'adresse du
serveur POP... Je refuse plusieurs fois la connexion, mais sans réussir à
corriger le tir, alors je finis par le laisser se connecter à l'adresse en
question (je sais, c'est pas très malin) : Outlook rapatrie les mails
correctement et ensuite, se remet à utiliser l'adresse du serveur POP... Ca
sent pas très bon... Et maintenant, aucun des antivéroles ne trouve quoi que
se soit... Je sens qu'il doit y avoir quelque chose là-dessous, mais je ne
sais pas quoi...

Quelqu'un a une idée ?

Merki d'avance.

Y.


bonsoir,

ce serait pas cette vérole d'Adware Magic.control ? ou spyware Secure ?
voir ici :
http://www.secuser.com/alertes/2007/spyware-secure.htm

Ce qui me fait penser à ça, c'est votre fichier cnxxbhjw.exe, vous devez
en avoir 4 autres comme ça :
cnxxbhjw.dat
cnxxbhjw_nav.dat
cnxxbhjw_navps.dat

mais pour les trouver...

Vous pouvez aller ici, vous aurez tous les conseils :
http://www.malekal.com/Adware.Magic_Control.php

bon courage, c'est pas si facile à éradiquer...