Infection par un spyware coriace - tous les spyware inefficaces
15 réponses
Jazzoroastre
Bonjour,
Je pose ici un message car je suis desespéré par un spyware que je n'arrive
pas à détruire.
Je me suis en effet chopé un spyware coriace alors que mon pc est équipé de
Norton AV (certes, une vieille version) + spybot + ad-aware.
Vu le site de hacker où je suis allé cela ne m'étonne qu'à moitié.
depuis, j'ai installé l'anti spyware de microsoft ainsi que a-squared.
J'ai déconnecté le PC du réseau, rebooté en mode sans échec, et lancé
successivement tous les anti spyware que je viens de citer qui m'ont trouvé
des spywares et qui les ont viré.
Mais à chaque fois que je redémarre, et que je relance internet, je vois des
tentatives de connexion, essentiellement sur un site www.ad-a-w-a-r-e.com
sans que je n'arrive à trouver un processus responsable. Il semblerait que
ce soit explorer.exe lui-même qui initie ces connexions.
Pour l'instant, en attendant une solution j'ai activé le filtre de contenu
de MSIE qui empêche au moins le chargement d'autres conneries mais j'en ai
marre et surtout, j'ai toujours réussi à me débarasser des nombreux spyware
qui m'importunaient mais là, franchement, je sèche.
Quelqu'un aurait il une idée ?
En particulier sauriez-vous de quel malware il s'agit ? son petit nom ? et
surtout comment je pourrais m'en débarasser ?
De la plume numérique de kiki, nous vîmes sortir un à un les octets du messages suivant: <news:43ebb67a$0$1148$
Je me permets de poster ici le contenu du log.
Si quelqu'un y voit quelquechose de suspect merci de me l'indiquer.
Logfile of HijackThis v1.99.1 Scan saved at 16:36:20, on 09/02/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
[snip....]
00THotkey.exe : à virer
Pas trop vite ...le nom est louche, mais vu le tas de truc dans la liste, on dirais que c'est un PC toshiba, et ya un des gadget du clavier plein de touche de chez Toshiba qui ressemble beaucoup à ça.
Jazzoroastre pourrait aller voir sur Zébulon.fr le tutorial
d'interprétation d'HijackThis. Jeannot
De la plume numérique de kiki, nous vîmes sortir un à un les octets du
messages suivant:
<news:43ebb67a$0$1148$7a628cd7@news.club-internet.fr>
Je me permets de poster ici le contenu du log.
Si quelqu'un y voit quelquechose de suspect merci de me l'indiquer.
Logfile of HijackThis v1.99.1
Scan saved at 16:36:20, on 09/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
[snip....]
00THotkey.exe : à virer
Pas trop vite ...le nom est louche, mais vu le tas de truc dans la
liste, on dirais que c'est un PC toshiba, et ya un des gadget du clavier
plein de touche de chez Toshiba qui ressemble beaucoup à ça.
Jazzoroastre pourrait aller voir sur Zébulon.fr le tutorial
De la plume numérique de kiki, nous vîmes sortir un à un les octets du messages suivant: <news:43ebb67a$0$1148$
Je me permets de poster ici le contenu du log.
Si quelqu'un y voit quelquechose de suspect merci de me l'indiquer.
Logfile of HijackThis v1.99.1 Scan saved at 16:36:20, on 09/02/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
[snip....]
00THotkey.exe : à virer
Pas trop vite ...le nom est louche, mais vu le tas de truc dans la liste, on dirais que c'est un PC toshiba, et ya un des gadget du clavier plein de touche de chez Toshiba qui ressemble beaucoup à ça.
Jazzoroastre pourrait aller voir sur Zébulon.fr le tutorial
d'interprétation d'HijackThis. Jeannot
popeye
"Jazzoroastre" a écrit dans le message de news: dsi5re$7v5$
Bonjour à tous,
Bon c'est ok je l'ai eu le bougre alors volà j'explique (pour que ça puisse servir à d'autres) et je m'interroge ... Bon d'abord le diagnostic : Plein de popups qui s'ouvrent de façon inconsidérées souvent sur les mêmes sites en particulier : www.ad-a-w-a-r-e.com, paypopup et autre sites commerciaux de m..... Certaines fenêtres sont interceptées par ad-aware d'autres non, allez savoir pourquoi. De plus, malgré tous mes anti spyware, je suis systématiquement réinfecté par d'autres spyware plus classiques après chaque nettoyage du PC. En fait le pb vient d'une petite dll installée je ne sais comment sur un site dont le nom ressemble étrangement à altavista (si vous voyez ce que je veux dire) sur lequel je suis allé me commettre. (c'est à se demander à quoi servent les protections). Cette dll change souvent de nom. J'ai eu par exemple : irj2l51001.dll, puis dn4s01h7e.dll. Elle s'installe dans c:WinXPSystem32 et est loadée dans l'exécutable WinLogon.exe. Elle a en plus par défaut l'attribut read-only activé la bougre. Le pb c'est que pour la supprimer, il faudrait d'abord arrêter winlogon.exe (pour qu'il libère le fichier) et que ça c'est pas possible car windows refuse bien sûr de l'arrêter. Les options supprimer au redémarrage de windows de divers soft anti-spyware, j'ai essayé ça marche pas mieux. On se dit qu'à cela ne tienne
je vais supprimer dans la registry la ligne qui appelle cette dll. Elle est située dans HKLMWindowsNTCurrent
versionWinlogonNotifyMS-DOSMS-Dos options. Mais non : si vous supprimez l'entrée, le process qui tourne en mémoire la remet immédiatement, sans laisser même le temps d'arrêter le PC comme un sauvage (j'ai essayé). C'est bien pensé en fait : on installe une dll qui se crée en permanence sa ligne de redémarrage dans la registry et qui, à partir du moment où elle est chargée n'est plus effaçable et continue pourtant de modifier la registry pour redémarrer. Alors la solution ? simple : le fameux petit exécutable l2mfix.exe qu'on peut télécharger là : http://www.subratam.exe je remercie vraiment ceux qui ont fait cet utilitaire (sûrement entre 3h30 et 6h30 du matin...) : c'est du bon boulot, car tous les autres antispyware classiques (que j'ai testé) sont incapables de virer cette dll. J'en révais, lui l'a fait ! je dis tout simplement bravo !
Tout d'abord, merci pour l'explication et la résolution de votre problème. Avec Google j'ai réussi à trouver le site subratam.org, mais il est plein de petits programmes permettant de se débarrasser de divers spywares.. Pourriez-vous nous communiquer un nouveau lien permettant de télécharger plus ou moins directement le petit programme miracle.
D'avance, merci.
-- Popeye Virez les x pour me répondre
"Jazzoroastre" <jazzoroastreVIREZ_MOI@free.fr> a écrit dans
le message de news: dsi5re$7v5$1@s1.news.oleane.net
Bonjour à tous,
Bon c'est ok je l'ai eu le bougre alors volà j'explique
(pour que ça puisse servir à d'autres) et je m'interroge
...
Bon d'abord le diagnostic :
Plein de popups qui s'ouvrent de façon inconsidérées
souvent sur les mêmes sites en particulier :
www.ad-a-w-a-r-e.com, paypopup et autre sites commerciaux
de m..... Certaines fenêtres sont interceptées par
ad-aware d'autres non, allez savoir pourquoi. De plus, malgré tous mes
anti spyware, je suis
systématiquement réinfecté par d'autres spyware plus
classiques après chaque nettoyage du PC.
En fait le pb vient d'une petite dll installée je ne sais
comment sur un site dont le nom ressemble étrangement à
altavista (si vous voyez ce que je veux dire) sur
lequel je suis allé me commettre. (c'est à se demander à
quoi servent les protections). Cette dll change souvent
de nom. J'ai eu par exemple : irj2l51001.dll, puis
dn4s01h7e.dll. Elle s'installe dans c:WinXPSystem32 et
est loadée dans l'exécutable WinLogon.exe. Elle a en plus
par défaut l'attribut read-only activé la bougre. Le pb
c'est que pour la supprimer, il faudrait d'abord arrêter
winlogon.exe (pour qu'il libère le fichier) et que ça
c'est pas possible car windows refuse bien sûr de
l'arrêter. Les options supprimer au redémarrage de
windows de divers soft anti-spyware, j'ai essayé ça
marche pas mieux. On se dit qu'à cela ne tienne
je vais supprimer dans la registry la ligne qui appelle
cette dll. Elle
est située dans HKLMWindowsNTCurrent
versionWinlogonNotifyMS-DOSMS-Dos options. Mais non
: si vous supprimez l'entrée, le process qui tourne en
mémoire la remet immédiatement, sans laisser même le
temps d'arrêter le PC comme un sauvage (j'ai essayé). C'est bien pensé en
fait : on installe une dll qui se
crée en permanence sa ligne de redémarrage dans la
registry et qui, à partir du moment où elle est chargée
n'est plus effaçable et continue pourtant de modifier la
registry pour redémarrer.
Alors la solution ? simple : le fameux petit exécutable
l2mfix.exe qu'on peut télécharger là :
http://www.subratam.exe je remercie vraiment ceux qui ont
fait cet utilitaire (sûrement entre 3h30 et 6h30 du
matin...) : c'est du bon boulot, car tous les autres
antispyware classiques (que j'ai testé) sont incapables
de virer cette dll. J'en révais, lui l'a fait ! je dis
tout simplement bravo !
Tout d'abord, merci pour l'explication et la résolution de votre problème.
Avec Google j'ai réussi à trouver le site subratam.org, mais il est plein
de petits programmes permettant de se débarrasser de divers spywares..
Pourriez-vous nous communiquer un nouveau lien permettant de télécharger
plus ou moins directement le petit programme miracle.
"Jazzoroastre" a écrit dans le message de news: dsi5re$7v5$
Bonjour à tous,
Bon c'est ok je l'ai eu le bougre alors volà j'explique (pour que ça puisse servir à d'autres) et je m'interroge ... Bon d'abord le diagnostic : Plein de popups qui s'ouvrent de façon inconsidérées souvent sur les mêmes sites en particulier : www.ad-a-w-a-r-e.com, paypopup et autre sites commerciaux de m..... Certaines fenêtres sont interceptées par ad-aware d'autres non, allez savoir pourquoi. De plus, malgré tous mes anti spyware, je suis systématiquement réinfecté par d'autres spyware plus classiques après chaque nettoyage du PC. En fait le pb vient d'une petite dll installée je ne sais comment sur un site dont le nom ressemble étrangement à altavista (si vous voyez ce que je veux dire) sur lequel je suis allé me commettre. (c'est à se demander à quoi servent les protections). Cette dll change souvent de nom. J'ai eu par exemple : irj2l51001.dll, puis dn4s01h7e.dll. Elle s'installe dans c:WinXPSystem32 et est loadée dans l'exécutable WinLogon.exe. Elle a en plus par défaut l'attribut read-only activé la bougre. Le pb c'est que pour la supprimer, il faudrait d'abord arrêter winlogon.exe (pour qu'il libère le fichier) et que ça c'est pas possible car windows refuse bien sûr de l'arrêter. Les options supprimer au redémarrage de windows de divers soft anti-spyware, j'ai essayé ça marche pas mieux. On se dit qu'à cela ne tienne
je vais supprimer dans la registry la ligne qui appelle cette dll. Elle est située dans HKLMWindowsNTCurrent
versionWinlogonNotifyMS-DOSMS-Dos options. Mais non : si vous supprimez l'entrée, le process qui tourne en mémoire la remet immédiatement, sans laisser même le temps d'arrêter le PC comme un sauvage (j'ai essayé). C'est bien pensé en fait : on installe une dll qui se crée en permanence sa ligne de redémarrage dans la registry et qui, à partir du moment où elle est chargée n'est plus effaçable et continue pourtant de modifier la registry pour redémarrer. Alors la solution ? simple : le fameux petit exécutable l2mfix.exe qu'on peut télécharger là : http://www.subratam.exe je remercie vraiment ceux qui ont fait cet utilitaire (sûrement entre 3h30 et 6h30 du matin...) : c'est du bon boulot, car tous les autres antispyware classiques (que j'ai testé) sont incapables de virer cette dll. J'en révais, lui l'a fait ! je dis tout simplement bravo !
Tout d'abord, merci pour l'explication et la résolution de votre problème. Avec Google j'ai réussi à trouver le site subratam.org, mais il est plein de petits programmes permettant de se débarrasser de divers spywares.. Pourriez-vous nous communiquer un nouveau lien permettant de télécharger plus ou moins directement le petit programme miracle.
D'avance, merci.
-- Popeye Virez les x pour me répondre
Rodpod
Dernierement ,je suis tombé sur un cas similaire avec le spyware navipromo qui se recreait tou seul sans que le fichier de base ne soit reconnu par nod32,microsoft antispyware et spybot. C'est l'antispyware ewindo qui m'a donné la puce a l'oreille en trouvant un fichier DAT .
Pour ton probleme ,connais tu la source du "virus " ?
-- A + Rodolphe
Adresse Anti-Spam
Dernierement ,je suis tombé sur un cas similaire avec le spyware navipromo
qui se recreait tou seul sans que le fichier de base ne soit reconnu par
nod32,microsoft antispyware et spybot.
C'est l'antispyware ewindo qui m'a donné la puce a l'oreille en trouvant un
fichier DAT .
Pour ton probleme ,connais tu la source du "virus " ?
Dernierement ,je suis tombé sur un cas similaire avec le spyware navipromo qui se recreait tou seul sans que le fichier de base ne soit reconnu par nod32,microsoft antispyware et spybot. C'est l'antispyware ewindo qui m'a donné la puce a l'oreille en trouvant un fichier DAT .
Pour ton probleme ,connais tu la source du "virus " ?
-- A + Rodolphe
Adresse Anti-Spam
germa
Jazzoroastre nous a exposé avec brio :
Alors la solution ? simple : le fameux petit exécutable l2mfix.exe qu'on peut télécharger là : http://www.subratam.exe je remercie
La bonne adresse est http://www.downloads.subratam.org/l2mfix.exe
Deuxièmement, selon vous hormis l'abstinence, comment se prémunir au mieux contre de telle incidents ? oui je sais, utiliser autrechose que MSIE ou même que windows, ça je sais déjà... mais sérieux il y a pas un soft qui fait du monitoring un peu plus judicieux concenant les inscriptions dans les zones sensibles de la base de registre ?
Voir Prevx home et surtout System Safety Monitor à http://babin.nelly.free.fr/ssm.htm
Le deuxième est un peu difficile à apprivoiser mais quand tu le maitrises tu controles tout ce qui se passe sur le PC. Je te le conseille car apparemment tu fais souvent des balades en terrain miné :-D
Ou alors Tea Timer puisque tu as Spybot. -- Germa
Notre humour n'est pas celui que l'on croit posséder mais celui que les autres feignent souvent de nous attribuer.
Jazzoroastre nous a exposé avec brio :
Alors la solution ? simple : le fameux petit exécutable l2mfix.exe
qu'on peut télécharger là : http://www.subratam.exe je remercie
La bonne adresse est http://www.downloads.subratam.org/l2mfix.exe
Deuxièmement, selon vous hormis l'abstinence, comment se prémunir au
mieux contre de telle incidents ? oui je sais, utiliser autrechose
que MSIE ou même que windows, ça je sais déjà... mais sérieux il y a
pas un soft qui fait du monitoring un peu plus judicieux concenant
les inscriptions dans les zones sensibles de la base de registre ?
Voir Prevx home et surtout System Safety Monitor
à http://babin.nelly.free.fr/ssm.htm
Le deuxième est un peu difficile à apprivoiser mais quand tu le
maitrises tu controles tout ce qui se passe sur le PC.
Je te le conseille car apparemment tu fais souvent des balades en
terrain miné :-D
Ou alors Tea Timer puisque tu as Spybot.
--
Germa
Notre humour n'est pas celui que l'on croit posséder mais celui que les
autres feignent souvent de nous attribuer.
Alors la solution ? simple : le fameux petit exécutable l2mfix.exe qu'on peut télécharger là : http://www.subratam.exe je remercie
La bonne adresse est http://www.downloads.subratam.org/l2mfix.exe
Deuxièmement, selon vous hormis l'abstinence, comment se prémunir au mieux contre de telle incidents ? oui je sais, utiliser autrechose que MSIE ou même que windows, ça je sais déjà... mais sérieux il y a pas un soft qui fait du monitoring un peu plus judicieux concenant les inscriptions dans les zones sensibles de la base de registre ?
Voir Prevx home et surtout System Safety Monitor à http://babin.nelly.free.fr/ssm.htm
Le deuxième est un peu difficile à apprivoiser mais quand tu le maitrises tu controles tout ce qui se passe sur le PC. Je te le conseille car apparemment tu fais souvent des balades en terrain miné :-D
Ou alors Tea Timer puisque tu as Spybot. -- Germa
Notre humour n'est pas celui que l'on croit posséder mais celui que les autres feignent souvent de nous attribuer.
Ascadix
De la plume numérique de Cénotoire, nous vîmes sortir un à un les octets du messages suivant: <news:dsiqt7$2fcq$
Ascadix wrote:
00THotkey.exe : à virer
Pas trop vite ...le nom est louche, mais vu le tas de truc dans la liste, on dirais que c'est un PC toshiba, et ya un des gadget du clavier plein de touche de chez Toshiba qui ressemble beaucoup à ça.
http://minilien.com/?NzJ6QMaEWS après une petite recherche à suivre
Mais je disais ça de tête car j'ai nettoyé un tosh il y a qq temps et j'ai souffert un peu à cause justement de la bonne douzaine de softs alakon dans le genre e celui-ci, installé à des emplacement mal identifés, avec des noms à la con, et même pire, certains des executable ne sont pas signés ni même renseigné au niveau des commentaires de compilation.
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
De la plume numérique de Cénotoire, nous vîmes sortir un à un les octets du
messages suivant:
<news:dsiqt7$2fcq$1@talisker.lacave.net>
Ascadix wrote:
00THotkey.exe : à virer
Pas trop vite ...le nom est louche, mais vu le tas de truc dans la
liste, on dirais que c'est un PC toshiba, et ya un des gadget du
clavier plein de touche de chez Toshiba qui ressemble beaucoup à ça.
http://minilien.com/?NzJ6QMaEWS
après une petite recherche
à suivre
Mais je disais ça de tête car j'ai nettoyé un tosh il y a qq temps et j'ai
souffert un peu à cause justement de la bonne douzaine de softs alakon dans
le genre e celui-ci, installé à des emplacement mal identifés, avec des noms
à la con, et même pire, certains des executable ne sont pas signés ni même
renseigné au niveau des commentaires de compilation.
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
De la plume numérique de Cénotoire, nous vîmes sortir un à un les octets du messages suivant: <news:dsiqt7$2fcq$
Ascadix wrote:
00THotkey.exe : à virer
Pas trop vite ...le nom est louche, mais vu le tas de truc dans la liste, on dirais que c'est un PC toshiba, et ya un des gadget du clavier plein de touche de chez Toshiba qui ressemble beaucoup à ça.
http://minilien.com/?NzJ6QMaEWS après une petite recherche à suivre
Mais je disais ça de tête car j'ai nettoyé un tosh il y a qq temps et j'ai souffert un peu à cause justement de la bonne douzaine de softs alakon dans le genre e celui-ci, installé à des emplacement mal identifés, avec des noms à la con, et même pire, certains des executable ne sont pas signés ni même renseigné au niveau des commentaires de compilation.
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
