Infecté ou pas ?

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Infecté ou pas ?

Messagede Chris 70 » 26 Déc 2004, 13:21

Bonjour à tous
Ayant été infecté il y a quelques jours par CWSearch, j'ai fait de nombreuses opérations décrites dans les forums, mais j'ai toujours des soucis...
. Qaund j'allume le PC, le message suivant apparait systématiquement:
Aucune connexion à Internet n'est disponible actuellement. Pour afficher le contenu Internet de votre ordinateur, cliquez sur Travailler hors connexion
Il n'y a qu'en cliquant sur recommencer que le message n'apparait plus, sinon, il revient sans cesse.

. Contrairement à il y a quelques jour, l'analyse avec Spybot ne trouve rien. En revanche, AD-Aware me trouve 55 objets critiques, dont 2 menaces CWS élevée. Le problème est que lorsque je lance Ad-Aware, je reçois le message suivant: Ce programe va être arrêté car il a effectué une opération non conforme. Et quand je clique sur Fermer, le programe continue mais le bureau disparait quelques secondes et le même message revient. Je reclique sur Fermer et tout rentre dans l'ordre...
D'autre part, lorsque je veux supprimer les objets critiques, la première phase "Mise en quarantaine" se passe bien, mais je reste bloqué sur la deuxième "Suppression de la selection" et je suis obligé de quitter Ad Aware.

PS: En allant jeter un oeil dans suppression/Ajout de programe, voici la liste de tous ce que je n'avais pas auparavant et dont je ne connais pas la provenance:
. BMSE dbl
. IE help
. IEC system
. Internet Explorer Q889293
. Microsoft Data Access Components KB870669
. SE Assistant
. SE Help
. Search assistant
. Search assistant uninstall
. Search Function
. Sidebar search
. UMSD 1.13

Voilà, je crois que j'ai à peu près fait le tour. Merci d'avance à tous pour votre aide

PS: Je suis sous WIN 98
Chris 70
 
Messages: 32
Inscription: 04 Aoû 2004, 11:34

Messagede Vazkor » 26 Déc 2004, 14:00

Bonjour,

Je te conseille d'appliquer la Mini-manip décrite dans la première Annonce sur le forum Logs HijachThis.
http://assiste.forum.free.fr/viewtopic.php?t=2109
Il faut absolument commencer avec le miniremoval_coolwebsearch_smartkiller , parce qu'il est possible que le fonctionnement correct de CWShredder et des autres utilitaires comme Spybot et Ad-aware soit perturbé par CWSmartkiller.

Des programmes installés que tu ne connais pas, seuls
Internet Explorer Q889293
Microsoft Data Access Components KB870669
me paraissent légitimes.

Tu peux essayer de désinstaller les autres, via Ajout/Suppress.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Chris 70 » 26 Déc 2004, 14:54

OK, j'ai fait la mimi manip, voici le log obtenu.
(Entre temps, des raccourcis se sont installés tous seuls sur mon bureau:Oneline Dating, Cheap Holiday Travel et Free Online Music, et ce n'est pas la première fois !)

Logfile of HijackThis v1.99.0
Scan saved at 14:49:45, on 26/12/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAM FILES\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGBHP.EXE
C:\PROGRAM FILES\WANADOO\ESPACEWANADOO.EXE
C:\PROGRAM FILES\WANADOO\COMCOMP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\WANADOO\WATCH.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\NOTETAB LIGHT\NOTETAB.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Symantec Core LC] C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAM FILES\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TeaTimer.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\cookies.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAM FILES\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAM FILES\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAM FILES\MICROSOFT ACTIVESYNC\INETREPL.DLL
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .psd: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Chris 70
 
Messages: 32
Inscription: 04 Aoû 2004, 11:34

Messagede nickW » 26 Déc 2004, 15:36

Bonjour,

Une analyse "automatique" de ton log par un "robot" se trouve ICI

Il me paraît évident qu'il ne faut pas se ruer pour supprimer tout ce qui est indiqué en rouge ou en orange (le robot, par exemple, ne connaît pas wanadoo, ni free, et les signale en rouge ou orange), mais c'est une bonne base pour étudier soi-même ce qui est susceptible de "clocher".
Tu peux t'aider de la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre des décisions. Voir ICI

Tu dois corriger ton fichier hosts (enlever via un éditeur de texte comme Notepad ou Wordpad toutes les lignes ne commençant pas par 127.0.0.1).
Exemples:
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com


Tu dois corriger (to "fix" en anglais) au moyen d'Hijackthis (cocher la case devant l'élément puis cliquer sur Fix Checked):
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch

Tu peux corriger (to "fix" en anglais) au moyen d'Hijackthis (cocher la case devant l'élément puis cliquer sur Fix Checked):
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Rappel important:
Tout ceci doit être fait
- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items"),
- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI),
- en mode sans échec (voir ICI).
Puis redémarrer l'ordinateur.
Refaire un "log HiJackThis" juste après le redémarrage et le poster à la suite de ce message (pas de nouveau sujet).

Penser à réactiver la restauration système lorsque le problème est résolu (si Windows ME/XP).

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Chris 70 » 26 Déc 2004, 16:00

Merci beaucoup, mais avant de continuer, je ne comprends pas cette manipulation.
Tu dois corriger ton fichier hosts (enlever via un éditeur de texte comme Notepad ou Wordpad toutes les lignes ne commençant pas par 127.0.0.1).
Chris 70
 
Messages: 32
Inscription: 04 Aoû 2004, 11:34

Messagede nickW » 26 Déc 2004, 16:14

Bonjour,

Une page à lire ICI

Pour Windows 98SE, le fichier hosts (écrit exactement ainsi, sans extension) se trouve dans c:\windows
Il faut l'ouvrir avec un éditeur de texte standard (Notepad, Wordpad, ou tout autre) et supprimer toutes les lignes qui n'ont pas la structure: 127.0.0.1 nomdesite, sauf si tu es sûr du couple (adresse IP - nomdesite).

Bonne lecture,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Vazkor » 26 Déc 2004, 16:35

Bonjour,

Le fichier HOSTS est un serveur DNS local existant sur toutes les versions de Windows, mais aussi UNIX, Linux et Mac.
Tu auras toutes les explicaitions sur son fonctionnement sur le site d'Assiste:
http://assiste.com.free.fr/p/internet_c ... /hosts.php

Sous Windows 98, il doit se trouver dans le dossier C:\Windows, si je ne me trompe pas.

La première ligne qui n'est pas un commentaire (c’est-à-dire qui n'est pas précédée d'un #) doit être:
127.0.0.1 localhost
Viennent ensuite des lignes comportant une adresse IP suivie du nom de domaine.
Les lignes commençant par 127.0.01 www.domaine.com correspondent à des sites que l'on veut bloquer.
Si la ligne ne commence pas par 127.0.0.1 c'est cette adresse IP quoi sera utilisée pour accéder au nom de domaine qui la suit.

Ou bien c'est une IP normale, légitime comme celle de Assiste.com, ce qui a pour effet d'accélérer l'accès:
212.24.40.254 assiste.free.fr # adresse IP de Assiste.com chez Free. C'est correct!

Ou bien c'est une IP incorrecte, qui a pour effet d'envoyer toutes les tentatives de connexion à un site vers un autre site:
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
Ces deux lignes envoient les requêtes vers les domaines indiqués vers l'adresse IP 69.20.16.183 qui est l'adresse d'un site piégé
En effet, quand on tape cette adresse directement dans le navigateur on est envoyé sur le site de
h**p://www.look2me.com/cgi-bin/UnInstaller, qui affiche
Unsubscribe to the redirect service by running the Look2Me UnInstaller

En pratique, tu dois localiser ton fichier Hosts et supprimer les lignes indiquées par NickW.
Il ne devrait rester dans ce fichier que des lignes commençant par 127.0.0.1 et des lignes commençant par une IP que tu aurais toi-même ajoutée.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Chris 70 » 26 Déc 2004, 17:04

Merci, je pense avoir avancé un peu, mais je ne suis pas sûr du fichier Host. Voici le contenu de ce que je crois être le mien.

127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com


Et voici le nouveau Log HJT:



Logfile of HijackThis v1.99.0
Scan saved at 16:54:54, on 26/12/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAM FILES\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGBHP.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Symantec Core LC] C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAM FILES\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TeaTimer.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\cookies.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAM FILES\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAM FILES\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAM FILES\MICROSOFT ACTIVESYNC\INETREPL.DLL
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .psd: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Chris 70
 
Messages: 32
Inscription: 04 Aoû 2004, 11:34

Messagede Vazkor » 26 Déc 2004, 17:08

Bonjour,

HJT aurait supprimé les lignes parasites du fichier HOSTS.
Ton log me semble propre maintenant.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Chris 70 » 26 Déc 2004, 17:12

En revanche, j'ai toujours ce message " Aucune connexion etc..." au démarrage, et quand je suis sur le net, j'ai sans cesse des pages qui arrive, du genre: "Loading Website" qui elle même me renvoie sur "mediabuy" quelque chose...
Chris 70
 
Messages: 32
Inscription: 04 Aoû 2004, 11:34

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 19 invités