Informatique Pratique

Toute l'aide dont vous avez besoin !!!
http://forums.infoprat.fr/

Bureau masqué suite a tentative d elimination trojan

http://forums.infoprat.fr/viewtopic.php?f=22&t=28365

Page 1 sur 1

Posté : 26 janv. 2005, 22:22:00
par fairlane032
bonjour,

Apres plusieurs alertes de mon norton a-v concernant l installation de programmes dangereux à  mon insu, ainsi que la detection d un "downloader.trojan", des raccourcis se sont installées sans mon consentement sur mon bureau, dans mes favoris, le menu démarrer.

Voici le nom de ceux-ci :

! Protect Your Data

! Smart Security

! Secure Yourself

En plus de cela, une image sur fond noir s'est installée au dessus de mon image de bureau et m invitait a prendre un anti spyware. Cette image avait comme propriete un renvoi sur un site vantant les merites d un logiciel anti spyware (http://213.159.117.130/?affid=NAT-5)

Apres un petit tour ds ma base de registre, un effacement des fichiers crées sur mon disque dur lors de mon probleme, scan anti-virus et anti trojan, plus de raccourcis ni de trojan, mais l image sur fond noir a fait place a un fond blanc...
Ce fond blanc ne presente rien de special, si ce n est qu il masque mon image de bureau et que pour apercevoir une partie de celle-ci j ai du monter ma resolution en 1152 x 864.

Changer mon image de bureau ne résoud rien a l affichage. Peut etre devrais je faire une réinstallation, mais cela me parait un peu exessif...

Au delà  de ce problème plutot visuel, ne resterait il rien de malicieux sur mon disque ?

Merci de vos conseils

Posté : 27 janv. 2005, 15:09:00
par Titus
Salut,

Va voir ww.titus.be.tf , rubrique HijackYhis, fais un scan et copie/collle-le dans ta réponse.

Tu as essayé un scan avec spybot et ad-aware? Les liens de télechargement sont au bas de la page du site.

Posté : 28 janv. 2005, 03:48:00
par fairlane032
salut,

tout dabord merci de ton intérêt sur ce problème <IMG SRC="/images/smiles/icon_rolleyes.gif">

voici le log :

Logfile of HijackThis v1.99.0
Scan saved at 3:19:35, on 28/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsSymantec SharedccSetMgr.exe
C:Program FilesFichiers communsSymantec SharedSNDSrvc.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesD-Toolsdaemon.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesFichiers communsSymantec SharedccProxy.exe
C:WINDOWSSystem32RUNDLL32.EXE
C:Program FilesHPhpcoretechhpcmpmgr.exe
C:Program FilesHewlett-PackardHP Software UpdateHPWuSchd.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:Program FilesNorton Internet Security ProfessionalNorton AntiVirusnavapsvc.exe
C:Program FilesNorton Internet Security ProfessionalNorton AntiVirusAdvToolsNPROTECT.EXE
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32oodag.exe
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32wdfmgr.exe
C:Program FilesNorton Internet Security ProfessionalNorton AntiVirusSAVScan.exe
C:Program FilesMessengermsmsgs.exe
C:WINDOWSSystem32rsvp.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesTrojanHunter 4.1THGuard.exe
C:Documents and SettingsFairlane032Mes documentshijackthis_199HijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = <a href="viewtopic.php?topic=28015&forum=22&5" target="_blank">viewtopic.php?topic=28015&forum=22&5</a>
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:Program FilesFichiers communsSymantec SharedAdBlockingNISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program FilesNorton Internet Security ProfessionalNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:Program FilesFichiers communsSymantec SharedAdBlockingNISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:Program FilesNorton Internet Security ProfessionalNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [DAEMON Tools-1033] "C:Program FilesD-Toolsdaemon.exe" -lang 1033
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec SharedccApp.exe"
O4 - HKLM..Run: [Advanced Tools Check] C:PROGRA~1NORTON~1NORTON~1AdvToolsADVCHK.EXE
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [URLLSTCK.exe] C:Program FilesNorton Internet Security ProfessionalUrlLstCk.exe
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [CloneCDElbyCDFL] "C:Program FilesElaborate BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 - HKLM..Run: [THGuard] "C:Program FilesTrojanHunter 4.1THGuard.exe"
O4 - HKLM..Run: [HP Component Manager] "C:Program FilesHPhpcoretechhpcmpmgr.exe"
O4 - HKLM..Run: [HP Software Update] "C:Program FilesHewlett-PackardHP Software UpdateHPWuSchd.exe"
O4 - HKLM..Run: [HPDJ Taskbar Utility] C:WINDOWSSystem32spooldriversw32x863hpztsb09.exe
O4 - HKCU..Run: [Symantec NetDriver Monitor] C:PROGRA~1SYMNET~1SNDMon.exe
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - <a href="res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000" target="_blank">res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000</a>
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:Program FilesYahoo!Messengeryhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:Program FilesYahoo!Messengeryhexbmes.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengerMSMSGS.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - <a href="http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab" target="_blank">http://a840.g.akamai.net/7/840/537/2004 ... n53.cab</a>
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:Program FilesHPhpcoretechcomphpuiprot.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedccSetMgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:WINDOWSSystem32dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:WINDOWSsystem32services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:WINDOWSSystem32imapi.exe
O23 - Service: Partage de Bureau à  distance NetMeeting - Unknown - C:WINDOWSSystem32mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:Program FilesNorton Internet Security ProfessionalNorton AntiVirusnavapsvc.exe
O23 - Service: DDE réseau - Unknown - C:WINDOWSsystem32netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:WINDOWSsystem32netdde.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:Program FilesNorton Internet Security ProfessionalNorton AntiVirusAdvToolsNPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:WINDOWSSystem32oodag.exe
O23 - Service: Plug-and-Play - Unknown - C:WINDOWSsystem32services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à  distance - Unknown - C:WINDOWSsystem32sessmgr.exe
O23 - Service: SAVScan - Symantec Corporation - C:Program FilesNorton Internet Security ProfessionalNorton AntiVirusSAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:PROGRA~1FICHIE~1SYMANT~1SCRIPT~1SBServ.exe
O23 - Service: Prise en charge des cartes à  puces - Unknown - C:WINDOWSSystem32SCardSvr.exe
O23 - Service: Carte à  puce - Unknown - C:WINDOWSSystem32SCardSvr.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedSNDSrvc.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:WINDOWSsystem32smlogsvc.exe
O23 - Service: Telnet - Unknown - C:WINDOWSSystem32tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:WINDOWSSystem32vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:WINDOWSSystem32wbemwmiapsrv.exe

j ai passé ad aware pro, spybot, trojan hunter et norton et ils ne trouvent plus de mouchard. Cependant cette saleté de rectangle blanc est toujours là ... ( quand je passe mon curseur dessus il devient gris, je sais pas si ca peut aider à  identifier ce coco pour le virer, on sait jamais...)
Personnellement, je pense que c'est la société dont j ai donné l adresse plus haut qui est responsable de cette situation plutot qu un eventuel trojan. Belle mentalité de que de faire du racket pour supprimer leur pub sur votre écran <IMG SRC="/images/smiles/devil_smile46.gif">

Posté : 28 janv. 2005, 11:32:00
par julien712
essai un bloquer de popup pourquoi pas !!

Posté : 28 janv. 2005, 16:15:00
par Titus
Salut,

En tous cas, ton log, bien que volumineux ne contient rien de mauvais (à  mon sens, du moins), ce n'est probalement pas de ce cà´té que se trouve la source de tes ennuis. Cherche (manuellement, via l'explorateur, si tu n'as pas un dossier suspect (dans program files, application data...).

Posté : 04 févr. 2005, 21:30:00
par fairlane032
salut,

attention accrochez vous c est pas triste <IMG SRC="/images/smiles/icon_rolleyes.gif">

en voulant changer mon image de bureau celle-ci a disparue et c est retrouvée en partie dans mon rectangle blanc de départ. Mon rectangle blanc"originel" s est trouvé doté de barre de defilement horizontale et verticale par la même occasion ainsi que d'un "nouveau" rectangle blanc masquant en partie l image apparue dans l'ancien (vous suivez toujours...?) Cette partie d image me donne comme indication en faisant un clic droit qu elle se trouve dans mon fichier c:/windows/acd%20Wallpaper.bmp et là , pas mal non plus, l'image n'est pas la bonne...elle se trouve en fait dans le dossier o๠me renvoient les propriétés du "petit" rectangle qui donne : C:Documents and SettingsFairlane032Application DataMicrosoftInternet Explorer

Bien, ceux qui ont tenu le coup jusqu'ici méritent déjà  une friandise lol

Cependant revenons à  mes moutons !

dans le dossier C:Documents and SettingsFairlane032Application DataMicrosoftInternet Explorer il y a un fichier appelé Desktop.htt qui attire mon attention. Il peut être édité que je lis. Alors éditons parbleu ! Trop évident bien sà»r, me voilà  maintenant avec une erreur Microsoft Frontpage disant que : "un composant activeX de cette page a rencontré une erreur interne. sa représentation ne sera pas exacte" . Je suis pas contrariant, moi, je fais ok (2x) et j arrive sur mon image masquée avec un énorme rectangle (gris <IMG SRC="/images/smiles/devil_smile46.gif"> )
Je clique sur le rectangle, des points de redimensionnement apparaissent <IMG SRC="/images/smiles/tounge_smile46.gif"> , donc je tente le coup (réduire le rectangle a fond...) ca marche, là  j enregistre...Crac! erreur lors de la tentative d ecriture du fichier <IMG SRC="/images/smiles/angry_smile46.gif"> . Dans un dernier sursaut je renomme le fichier htt d origine pour le remplacer par ma trouvaille et là  RIEN...quoique...mais je suis aussi épuisé à  faire du bricolage que vous de me lire...je vous raconterai la suite (y en a une... <IMG SRC="/images/smiles/cry_smile46.gif"> ) que si vous insistez très fort <IMG SRC="/images/smiles/wilted_rose46.gif">

ca m aiderai si l un de vous avait une idée de ce qui se passe sur mon %#§@` de bureau

Merci

Posté : 04 févr. 2005, 21:46:00
par manubandit1200
salut pourquoi ne pas faire une restauration systeme avant ce probleme la
des fois à§a marche et si à§a marche pas reviens au point de depart
à§a coute rien
a+
ps: cree un point de restauration si tu as de nouveau travaux sur ton pc
manubandit
Heures au format UTC+01:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/