Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Sécurité Sécurité Virus est-ce lui qui fait ça ?

est-ce lui qui fait ça ?

28 réponses
Avatar
pmluc
Voilà ce qui m'arrive : je suis sous Win 98 se. Il y a 2 jours en mettant
mon pc en marche je remarque une fenêtre qui s'affiche. Le nom du programme
est Power Scan et j'ai trois boutons : start - stop et clean your pc. Ne
sachant pas comment ce programme est arrivé sur mon pc et ma curiosité
l'emportant, je prends le risque de faire start. Le scan commence et les
fichiers qui s'affichent viennent de Temporary Internet File. Au bout de 3/4
d'heure la liste est impressionnante, ce qui me surprend car je nettoie
régulièrement ce dossier. Je stoppe le scan et clique sur clean. Aucun
message pour me dire si cela c'est bien passé. Je ferme donc le programme.

Hier soir en mettant en marche le programme est toujours là. Je le ferme
aussitôt. Par contre je remarque que mon pc fonctionne comme les clignotants
de ma voiture : environ 3 secondes de marche, environ 5 secondes d'arrêt,
... etc (les clignotants de ma voiture sont plus réguliers).

Je lance mon AV à jour. Après une bonne 1/2 heure de scan (en mode
clignotant) il me trouve un trojan.horse.downloader.istbar.aw puis termine
la vérification sans s'arrêter.

J'ai oublié de préciser que pendant ce temps là j'ai du arrêter à plusieurs
reprises la connexion internet qui se lançait sans que je ne lui demande.

Donc comment Power scan est arrivé sur mon pc et est-ce que le trojan était
dedans et provoquait ce fonctionnement anormal ?

Merci pour vos réponses.

Luc
Signaler un problème avec ce contenu

8 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3
Avatar
Danyd
"joke0" continue de former (ou formater :-)
"" <:
Normalement, en face de chaque entrée, tu as une case. Tu la
coches puis 'Fix'. Tu redémarres si le programme le demande.

c'est vrai que lorsqu'on a compris qu'il faut faire le nettoyage depuis le

scan, c'est quand même plus facile.

C:WINDOWSTWAINTEC.DLL est ok


Il faut regarder à quoi elle est liée (clic droit | propriétés |
version | ...)
c'est une extension de l'application de 136 ko version 0, 1, 4, 19

description www.twain-tec.com

C'est dans la partie "Scripts": "active scripting"

c'est fait

mon cas semble désepéré ?


Pô du tout!
on dirait qu'il y a encore de l'espoir ;-)


Nouveau résultat du scan :


Logfile of HijackThis v1.97.7
Scan saved at 20:12:14, on 26/02/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSSYSTEMMSTASK.EXE
C:PROGRAM FILESGRISOFTAVG6AVGSERV9.EXE
C:WINDOWSEXPLORER.EXE
C:PROGRAM FILESLAVASOFTAD-AWARE 6AD-AWARE.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:SBPCICTMIX32.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:PROGRAM FILESGRISOFTAVG6AVGCC32.EXE
C:WINDOWSSYSTEMSAHAGENT.EXE
C:WINDOWSSYSTEMP2P NETWORKINGP2P NETWORKING.EXE
C:PROGRAM FILESMICROSOFT OFFICEOFFICEOSA.EXE
C:PROGRAM FILESSAGEMSAGEM 800-908DSLMON.EXE
C:WINDOWSSYSTEMSYSTEMIE.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:WINDOWSSYSTEMPSTORES.EXE
C:WINDOWSBUREAUHIJACKTHIS.EXE

R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL http://www.iquicksearch.com/search.htm
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar http://www.couldnotfind.com/search_page.html?&account_idE551
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page http://www.couldnotfind.com/search_page.html?&account_idE551
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.free.fr/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL http://www.supret.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL http://1-se.com/home.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant http://www.couldnotfind.com/search_page.html?&account_idE551
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch http://1-se.com/srchasst.html (obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.search-space.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar http://1-se.com/srchasst.html (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page http://1-se.com/home.html (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL C:WINDOWShomepage.htm
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL http://1-se.com/home.html (obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant http://www.iquicksearch.com/search.htm
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) http://1-se.com/home.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak http://www.free.fr/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP http://www.search-space.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,SearchAssistant http://1-se.com/srchasst.html (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,SearchAssistant http://1-se.com/srchasst.html (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerSearch,(Default) http://1-se.com/srchasst.html (obfuscated)
R3 - URLSearchHook: IncrediFindBHO Class -
{5D60FF48-95BE-4956-B4C6-6BB168A70310} -
C:PROGRA~1INCRED~1BHOINCFIN~1.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:PROGRAM
FILESADOBEACROBAT 6.0READERACTIVEXACROIEHELPER.DLL
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} -
C:WINDOWSTWAINTEC.DLL
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} -
C:PROGRA~1INCRED~1BHOINCFIN~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSYSTEMMSDXM.OCX
O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
O4 - HKLM..Run: [TaskMonitor] C:WINDOWStaskmon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [CreativeMixer] C:SBPCIctmix32.exe /T
O4 - HKLM..Run: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..Run: [NsUpdate] C:WINDOWSNsUpdate.exe UPDATE
O4 - HKLM..Run: [QuickTime Task]
"C:WINDOWSSYSTEMQTTASK.EXE" -atboottime
O4 - HKLM..Run: [Win Server Updt] C:WINDOWSwupdt.exe
O4 - HKLM..Run: [eDonkey2000] C:Program
FileseDonkey2000eDonkey2000.exe -t
O4 - HKLM..Run: [AVG_CC] C:PROGRA~1GRISOFTAVG6avgcc32.exe /STARTUP
O4 - HKLM..Run: [CriticalUpdate] C:WINDOWSSYSTEMwucrtupd.exe -startup
O4 - HKLM..Run: [SAHAgent] C:WINDOWSSYSTEMSahAgent.exe
O4 - HKLM..Run: [P2P NETWORKING] C:WINDOWSSYSTEMP2P NETWORKINGP2P
NETWORKING.EXE /AUTOSTART
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM..RunServices: [Avgserv9.exe]
C:PROGRA~1GRISOFTAVG6Avgserv9.exe
O4 - HKCU..Run: [Babylon Translator] C:PROGRAM FILESBABYLONBabylon.exe
O4 - Startup: Démarrage d'Office.lnk = C:Program FilesMicrosoft
OfficeOfficeOSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:Program FilesMicrosoft
OfficeOfficeFINDFAST.EXE
O4 - Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM
800-908dslmon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -
http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX
Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/fr/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38001.3662152778
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry
Information Class) -
http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9386632C-00D9-440F-A448-E25BE16459B2} (DemoShield DemoX Class) -
http://support.free.fr/assistant/ass/demox.cab
O17 - HKLMSystemCCSServicesVxDMSTCP: Domain = free.fr
O17 - HKLMSystemCCSServicesVxDMSTCP: NameServer 212.27.32.176,212.27.32.177

Ai-je bien travaillé ?

A bientôt




Avatar
joke0
Salut,

"" <:
C:WINDOWSTWAINTEC.DLL est ok



c'est une extension de l'application de 136 ko version 0, 1,
4, 19 description www.twain-tec.com


Désolé, je ne peux t'aider sur ce coup. Regarde avec Google si
ce site est lié à un malware.

C:WINDOWSSYSTEMSYSTEMIE.EXE


Je ne sais pas ce que c'est, mais c'est toujours là. Si tu veux,
tu peux m'en envoyer une copie à pour que je
l'analyse.

Ensuite tu le coches et 'Fix'.

R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL > http://www.iquicksearch.com/search.htm


Si ces entrées R0 et R1 te gênent, tu les coches et 'Fix' pour
t'en débarrasser.

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} -
C:WINDOWSTWAINTEC.DLL


Coche-le dans le doute. Ce truc me paraît autement suspect. Si qqn
pouvait faire une recherche la-dessus, moi je ne peux pas.

O4 - HKLM..Run: [CreativeMixer] C:SBPCIctmix32.exe /T


Je suppose que tu connais ce truc?

O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe


Si tu ne te sers pas du planificateur de tâche, désactive-le, il
peut servir à des bestioles pour se lancer au démarrage de
windows.

--
joke0



Avatar
Danyd
"joke0" infatiguable, continue sa mission de St
Bernard
C:WINDOWSTWAINTEC.DLL est ok

Désolé, je ne peux t'aider sur ce coup. Regarde avec Google si
ce site est lié à un malware.

recherche vaine pour le moment


C:WINDOWSSYSTEMSYSTEMIE.EXE


Je ne sais pas ce que c'est, mais c'est toujours là. Si tu veux,
tu peux m'en envoyer une copie à pour que je
l'analyse.

c'est fait

Ensuite tu le coches et 'Fix'.

pas possible, il n'apparait pas sur le scan, uniquement sur la sauvegarde.

je ne sais pas si ça un intérêt mais à côté de systémie.exe il y a un
systémie.dat et un systémie.dll

R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL > > http://www.iquicksearch.com/search.htm


Si ces entrées R0 et R1 te gênent,


a priori non

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} -
C:WINDOWSTWAINTEC.DLL


Coche-le dans le doute. Ce truc me paraît autement suspect. Si qqn
pouvait faire une recherche la-dessus, moi je ne peux pas.

c'est fait


O4 - HKLM..Run: [CreativeMixer] C:SBPCIctmix32.exe /T


Je suppose que tu connais ce truc?
ce doit être la carte son


O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe


Si tu ne te sers pas du planificateur de tâche, désactive-le, il
peut servir à des bestioles pour se lancer au démarrage de
windows.

désactivé, chef

@ +




Avatar
joke0
Salut,

"" <:
recherche vaine pour le moment


On verra plus tard.

C:WINDOWSSYSTEMSYSTEMIE.EXE




systemie.exe detecté: TrojanSpy.Win32.Sisie

à côté de systémie.exe il y a un systémie.dat et un
systémie.dll


Ils font partie de l'espion, ainsi qu'un 'sysie.dll'.

La bestiole se lance en utilisant la technique
ShellServiceObjectDelayLoad Voir ma FAQ sur les démarrages:
http://www.lacave.net/~jokeuse/usenet/demarrage.html#ssodl

Il faut que tu désactives le processus 'systemie'.

Soit:
1) il se trouve dans la boîte de dialogue quand tu fais
CTRL+ALT+SUPPR, et alors tu fais 'fin de tâche' pour ce
processus.

2) sinon, il faut utiliser Appswat car tous les processus ne
sont pas affichés sous Win9x :-(
http://telecharger.com/windows/Utilitaire/systeme/fiches/11700.html

puis que tu vires l'entrée correspondante dans le registre.
Vire aussi systemie.dll et systemie.exe, met de côté le .dat et
regarde ce qu'il y a dedans avec un éditeur de texte.

La bestiole:
Le .dat doit contenir les données qu'il a collecté. Je ne sais
pas si tu utilises en firewall (si oui lequel), mais l'analyse de
ce .dat me semble urgente. Si tu y retrouves ton numéro de CB ou
tes mots de passe de messagerie et de connection à ton FAI, tu
sais ce qu'il te reste à faire.

--
joke0



Avatar
Danyd
"joke0" tente de résoudre le problème de
"" <:

Il faut que tu désactives le processus 'systemie'.

Soit:
1) il se trouve dans la boîte de dialogue quand tu fais
CTRL+ALT+SUPPR, et alors tu fais 'fin de tâche' pour ce
processus.

il n'est pas dans la boite de dialogue


2) sinon, il faut utiliser Appswat car tous les processus ne
sont pas affichés sous Win9x :-(
http://telecharger.com/windows/Utilitaire/systeme/fiches/11700.html

puis que tu vires l'entrée correspondante dans le registre.
Vire aussi systemie.dll et systemie.exe, met de côté le .dat et
regarde ce qu'il y a dedans avec un éditeur de texte.

Avec Appswat je "kill" le procecus systémie.exe, je fais un nouveau scan

avec Hijackthis et dans running processes je trouve ... 3 systémie.exe. Je
n'ose pas répéter l'opération de peur d'en trouver X ?
Windows ne veut virer ni systémie.exe, systémie.dll, sysie.exe. Il est
d'accord pour systémie.dat mais je le retrouve si je relance le pc.

La bestiole:
Le .dat doit contenir les données qu'il a collecté. Je ne sais
pas si tu utilises en firewall (si oui lequel), mais l'analyse de
ce .dat me semble urgente. Si tu y retrouves ton numéro de CB ou
tes mots de passe de messagerie et de connection à ton FAI, tu
sais ce qu'il te reste à faire.

la seule chose lisible que j'ai pu voir dedans c'est "opel", qui n'est pas

la marque de mon véhicule, le reste c'est pire que de l'hébreux.
--



Avatar
joke0
Salut,

"" <:
Avec Appswat je "kill" le procecus systémie.exe,


Il faut vérifier qu'il ne reviens pas en cliquant sur "Refresh".
S'il revient, c'est qu'il y a un autre processus en mémoire qui
le relance. Par exemple: sysie.exe, systémie.exe.

Dés qu'ils ne réapparaissent plus, déplace-les.

--
joke0

Avatar
Danyd
"joke0" fidèle à lui même continue d'aider son
prochain, aujourd'hui
"" <:
Avec Appswat je "kill" le procecus systémie.exe,


Il faut vérifier qu'il ne reviens pas en cliquant sur "Refresh".
S'il revient, c'est qu'il y a un autre processus en mémoire qui
le relance. Par exemple: sysie.exe, systémie.exe.

Dés qu'ils ne réapparaissent plus, déplace-les.

malgré "kill" et "refresh" systémie.exe revient. Quel serait le processus

qui pourrait le relancer ?
Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:PROGRAM FILESGRISOFTAVG6AVGSERV9.EXE
C:WINDOWSEXPLORER.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:SBPCICTMIX32.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:PROGRAM FILESGRISOFTAVG6AVGCC32.EXE
C:WINDOWSSYSTEMSAHAGENT.EXE
C:WINDOWSSYSTEMMSTASK.EXE
C:PROGRAM FILESMICROSOFT OFFICEOFFICEOSA.EXE
C:PROGRAM FILESSAGEMSAGEM 800-908DSLMON.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:WINDOWSSYSTEMPSTORES.EXE
C:WINDOWSSYSTEMSYSTEMIE.EXE
C:PROGRAM FILESINTERNET EXPLORERIEXPLORE.EXE
C:WINDOWSSYSTEMSPOOL32.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSBUREAUHIJACKTHIS.EXE

Sysie.exe apparait dans Windowssystem seulement et je ne peux pas le
supprimer.
Merci et @ +




Avatar
joke0
Salut,

"" <:
malgré "kill" et "refresh" systémie.exe revient. Quel serait
le processus qui pourrait le relancer ?


La restauration système est désactivée?

C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE


Ça c'est le c½ur de windows

C:PROGRAM FILESGRISOFTAVG6AVGSERV9.EXE
C:PROGRAM FILESMICROSOFT OFFICEOFFICEOSA.EXE
C:PROGRAM FILESSAGEMSAGEM 800-908DSLMON.EXE


Tu peux les laisser sans crainte.

C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:WINDOWSSYSTEMSAHAGENT.EXE
C:WINDOWSSYSTEMMSTASK.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:WINDOWSSYSTEMPSTORES.EXE
C:WINDOWSSYSTEMSPOOL32.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:PROGRAM FILESGRISOFTAVG6AVGCC32.EXE
C:SBPCICTMIX32.EXE


Désactiver (fin de tâche)

C:WINDOWSSYSTEMSYSTEMIE.EXE
C:PROGRAM FILESINTERNET EXPLORERIEXPLORE.EXE


Désactiver!

Regarde dans les 21 points de démarrage automatique s'il n'y en
a pas un qui est utilisé par un programme suspect:
http://www.lacave.net/~jokeuse/usenet/demarrage.html

Tu peux commencer par ouvrir ton registre et faire une recherche
sur la chaîne 'systemie' puis 'sysie'. Supprime les valeurs
correspondantes.

Puis redémarres

--
joke0

1 2 3