activite internet suspecte

activite internet suspecte - Sécurité - Windows & Software

Marsh Posté le 21-01-2005 à 21:03:27    

bonjour
 
depuis quelques jours j'ai les leds emission et réception de mon modem qui clignotent des ma connexion lancée...
 
j'ai scanné en sans echec avec nav et là il me trouve un trojan qu'il répare aussitot, jusque là ok, est-il possible qu'un intrus m'ait balancé un programme d'échange de données vers un serveur ??
 
j'ai scanné aussi les spys ,adware, spybot...etc
mon win est à jour (xp pro sp1)
 
je sais plus quoi faire
 
aidez moi please

Reply

Marsh Posté le 21-01-2005 à 21:03:27   

Reply

Marsh Posté le 21-01-2005 à 21:18:38    

Bah je m'y connait pas super bien en securité, mais bon le SP2 est plus benéfique qu'autre chose en matiere de secu, dont je pense que tu pourrait l'installer, sinon dans tout les cas installe un parfeu, t'en a plein gratuit et très bien, comme zonealarm.

Reply

Marsh Posté le 21-01-2005 à 21:25:40    

j'ai oublie de préciser que j'ai zone alarm qui tourne en permanence... je comprends donc encore moins comment ce trojan a pu passer...
 
bon là je suis connecté et mes leds clignotent !!
 
environ 5 mo envoyés en 1/2 h !!!!
 
au secours

Reply

Marsh Posté le 21-01-2005 à 22:03:04    

bonjour,
 
zone alarme est fait pour empecher ce genre de chose.Il ne doit pas etre configuré comme il faut.
 
Le mieux est de poster un log hijackthis que l'on voit ce qui est anormal.

Reply

Marsh Posté le 21-01-2005 à 22:06:38    

Logfile of HijackThis v1.98.2
Scan saved at 22:03:22, on 21/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\anvshell.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
C:\WINDOWS\System32\icp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Kerio\Personal Firewall\PFWADMIN.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\moi\Mes documents\HijackThis.exe
 
voila c'est le icp.exe qui m'interpelle qu'en pensez vous ?

Reply

Marsh Posté le 21-01-2005 à 22:07:38    

j'ai remplacé zalarm par kerio il y a 1/2 h...

Reply

Marsh Posté le 21-01-2005 à 22:12:05    


Poste un log entier...là, il n'y en a pas la moitié.

Reply

Marsh Posté le 21-01-2005 à 22:14:48    

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/red [...] r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/red [...] R}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
O4 - HKLM\..\Run: [Internet Content Publisher] icp.exe
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Content Publisher] icp.exe
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Supervision de Photo Loader.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4103227046
O17 - HKLM\System\CCS\Services\Tcpip\..\{315283D8-68BD-4E71-90E5-1FA27E18C940}: NameServer = 213.36.80.1 213.36.80.1

Reply

Marsh Posté le 21-01-2005 à 22:24:07    

Acrobaze a écrit :

Poste un log entier...là, il n'y en a pas la moitié.


 
et en une seule fois ça aurait été plus sympa :sarcastic:


Message édité par JLDo le 21-01-2005 à 22:24:27
Reply

Marsh Posté le 21-01-2005 à 22:25:13    

desolé

Reply

Marsh Posté le 21-01-2005 à 22:25:13   

Reply

Marsh Posté le 21-01-2005 à 22:25:59    

c'est grave docteur ?

Reply

Marsh Posté le 21-01-2005 à 22:32:56    

O4 - HKLM\..\Run: [Internet Content Publisher] icp.exe  
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe  
O4 - HKCU\..\Run: [Internet Content Publisher] icp.exe  
 
Coche et fixe ces lignes.
 
Puis supprime :
C:\WINDOWS\System32\icp.exe  
en mode sans échec.
 
Poste un nouveau log.

Reply

Marsh Posté le 21-01-2005 à 22:58:26    

Logfile of HijackThis v1.98.2
Scan saved at 22:51:00, on 21/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\anvshell.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\moi\Mes documents\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Supervision de Photo Loader.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4103227046
 
j'ai pas trouvé icp.exe dans system32
toujours le meme probleme, comprends pas et ca commence à me chauffer...
merci pour votre aide

Reply

Marsh Posté le 22-01-2005 à 00:14:48    

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)  
 
Coche, fixe et clique "Fix checked".
 
--------
 
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
lance de nouveau HijackThis -> config -> misc tools -> delete a file on  reboot
sélectionne :  
C:\WINDOWS\System32\icp.exe  
Approuve le redémarrage.
 
Ce doit être terminé.

Reply

Marsh Posté le 23-01-2005 à 10:51:21    

j'ai viré ce que tu m'as dit...ok
 
mais impossible de trouver icp.exe dans system32 (jai bien modifiés les options d'affichage)
j'ai par contre trouvé un icp.exe025654(suite de chiffres)dans le rep windows\prefetch
j'ai donc viré ce fichier...ok
je me retrouve donc avec un log identique au dernier envoyé moins les 3 lignes que tu m'as dit de virer.
J'ai installé kerio, avec lui pas de problemes mes leds restent éteintes au lancement de la connexion, je surfe, outlook...bref impec.
Le hic c'est quand j'enlève kerio j'ai toujours mes leds qui s'affolent quand je me connecte....j'ai meme le dd qui tourne au bout d'un moment !!
je sais plus quoi faire, j'ai viré mon java, firefox, windows mis à jour....
je deviens fou...j'ai chopé une superdaube ou quoi ??
 
merci en tous cas acrobaze si tu as d'autres suggestions ?

Reply

Marsh Posté le 23-01-2005 à 20:41:39    

up svp

Reply

Marsh Posté le 23-01-2005 à 20:59:44    


C'était le seul fichier suspect.
 
Tu peux poster un nouveau log, que l'on voit s'il n'y a rien de nouveau.

Reply

Marsh Posté le 24-01-2005 à 21:16:44    

pas la peine y'a rien de nouveau...
merci quand meme acrobaze
si qq'un d'autre a une idée ?

Reply

Marsh Posté le 24-01-2005 à 21:20:40    

Le fichier C:\Windows\Anvshell.exe me paraît suspect !!

Reply

Marsh Posté le 24-01-2005 à 21:37:44    

Wolfman a écrit :

Le fichier C:\Windows\Anvshell.exe me paraît suspect !!


 
euuuh...
pas vraiment :
http://www.commentcamarche.net/pro [...] l-exe.php3
 

Citation :

anvshell - anvshell.exe
 
Le processus anvshell.exe (anvshell dont la signification est Asus Video Shell) est un processus correspondant à l'icône de la barre des tâches de l'utilitaire de configuration Asus.
 
Il s'agit d'un processus applicatif pouvant être arrêté.


Message édité par LeKeiser le 24-01-2005 à 21:38:13

---------------
"I intend to live the first half of my life.I don't care about the rest."Errol Flynn."The difference between genius and stupidity is that genius has its limits."Albert Einstein
Reply

Marsh Posté le 24-01-2005 à 22:07:01    

yvanoid a écrit :

pas la peine y'a rien de nouveau...
merci quand meme acrobaze
si qq'un d'autre a une idée ?


 
Tu as fait des analyses en ligne ? Par exemple:
 
http://www.ravantivirus.com/scan/

Reply

Marsh Posté le 24-01-2005 à 22:44:18    

LeKeiser a écrit :

euuuh...
pas vraiment :
http://www.commentcamarche.net/pro [...] l-exe.php3
 

Citation :

anvshell - anvshell.exe
 
Le processus anvshell.exe (anvshell dont la signification est Asus Video Shell) est un processus correspondant à l'icône de la barre des tâches de l'utilitaire de configuration Asus.
 
Il s'agit d'un processus applicatif pouvant être arrêté.



Ah bah alors j'ai rien dit alors. :D
Ce qui me semblait étrange c'est qu'il se trouve dans le dossier Windows.

Reply

Marsh Posté le 25-01-2005 à 22:14:49    

pour anvshell je savais ce que c'était...merci qd meme
 
j'ai fait une analyse en ligne avec secuser et rien, nada, nibe...
 
Bon depuis que j'ai ré-installeé firefox et surtout kerio, ca va, plus de plantages et mes leds s'allument quand il le faut... par contre si j'enlève le pare-feu rebelote mes leds s'affolent dès ma connexion lancée !!!
j'ai telechargée les dernières versions (et mis a jour) plusieurs anti-spy, ils m'ont viré quelques espions mais bon rien de bien méchant...
je vais essayer ton site acrobaze, merci.

Reply

Marsh Posté le 25-01-2005 à 22:42:25    


En pricipe, de toute façon, il ne faudrait pas surfer sans parefeu.
J'en suis à des milliers de tentatives d'intrusion avec ZoneAlarm.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed