Probleme de spy et trojan - Sécurité - Windows & Software
Marsh Posté le 19-02-2006 à 17:41:37
W32/RBOT-PN WORM
supprime
F:\WINDOWS\System32\Sygate.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe
----------------------------------------------------------------
démarrer => Exécuter => "regedit"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Sygate Personal Firewall = "Sygate.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Sygate Personal Firewall= "Sygate.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Sygate Personal Firewall = "Sygate.exe"
W32/Rbot-PN also attempts to set the following registry entries:
HKLM\SOFTWARE\Microsoft\Ole\
EnableDCOM = "N"
HKLM\SYSTEM\ControlSet001\Control\Lsa\
restrictanonymous = 1
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
restrictanonymous = 1
@+
Marsh Posté le 19-02-2006 à 21:15:01
Bonsoir,
ton probleme c'est cette ligne F:\WINDOWS\System32\Sygate.exe
C'est un programme indésirable.
Ce dossier est identifié comme programme qui est indésirable pour avoir le fonctionnement sur votre ordinateur. Ceci se compose des programmes qui sont fallacieux, nocifs, ou indésirables.
Nom de fichier: Sygate.exe
Sygate.exe est un Trojan W32.Rbot-ASO.
==========================================================
A faire avant de fixer les lignes avec Hijackthis
- Télécharger et installer
cleanup http://www.stevengould.org/software[...]p/download.html Tuto http://www.tutoriaux-excalibur.com/[...]s_cleaunup!.htm
- Télécharger et installer
RegSeeker 1.45 http://www.01net.com/telecharger/w [...] 29399.html
dézipper dans un dossier nommé C:\Regseeker Tuto http://www.zebulon.fr/articles/regseeker-1.php
-Fait Ctrl+alt+suppr/clique sur processus/et cherche Sygate.exe fait un clique droit et clique sur terminer le processus.
1 - Poste de travail menu Outils - Option des dossiers - onglet Affichage
2 - Cocher Afficher les Fichiers et dossiers cachés
3 - Décocher Masquer les fichiers protégés du système d'exploitation (recommandé)
4 - Décocher Masquer les extensions dont le type est connu
5 - clique sur Appliquer et Ok pour valider les changements
============================================================
- Désactive la restauration systéme
- Redémarre ton PC en mode sans échec impératif !!!
- Relances Hijackthis, clique sur le bouton Scanner seuleument
- Coche la case devant ces lignes et clique sur le bouton Fixer obget
O4 - HKLM\..\Run: [Smapp] F:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe
=============================================================
Recherche et supprime ce fichier => Sygate.exe
- Utilise Cleanup pour nettoyer ton disque dur des fichiers inutiles
==============================================================
- Redémarre en mode normal
- Utilise Regseeker pour nettoyer le registre
* Vérifie en bas à gauche que la case devant Backup avant suppression est bien cochée
* Clique à gauche sur Nettoyer le registre
* Décoche la case devant Scanner disques pour anciens EXE et clique sur OK!
* Le scan fini clique en bas sur Sélectionner tout et Sélectionner éléments verts
* Clic droit sur les éléments sélectionnés et choisis Supprimer les éléments sélectionnés
===============================================================
quand tout ceci sera fait reposte un log ici dans une prochene reponse pour controle.
tiens nous au courant.
bonne soirée.
Marsh Posté le 19-02-2006 à 21:41:11
Re bonsoir , merci pour votre aide , boxer4 en attendant ta réponse j'ai fais autre chose alors du coup je sais pas si je dois faire tout ce que tu dis, j'ai lancé Ccleaner et nettoyé le pc, jai fais adaware qui ma trouvé une multitude de fichiers pourris , puis en mode sans echec jai lancé ewido qui pareil ma trouvé et supprimé les merdouilles, et jai bien viré sygate de la liste des processus.... jai redémarré mais jai toujours en fond d'ecran une alerte de spy ke je peux pas virer....
j'aurai du attendre davoir ta reponse avant de me lancer peut etre.
sinon voila le nouvo log de hjt:
Logfile of HijackThis v1.99.1
Scan saved at 21:40:29, on 19/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Program Files\Analog Devices\SoundMAX\SMTray.exe
F:\WINDOWS\System32\LVCOMSX.EXE
F:\Program Files\Logitech\Video\LogiTray.exe
F:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\InstantTimeZone\InstantTimeZone.exe
F:\Program Files\Logitech\Video\FxSvr2.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
F:\Program Files\ewido anti-malware\ewidoctrl.exe
F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Outlook Express\msimn.exe
F:\Program Files\Internet Explorer\iexplore.exe
F:\Documents and Settings\CHACHA\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] F:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVGNT.EXE" /min
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] F:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] F:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PCLEPCI] F:\PROGRA~1\PINNAC~1\PPE\PPE.EXE
O4 - HKLM\..\Run: [Firewall Update System1] WinedowsUpdater1.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] F:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\RunServices: [Firewall Update System1] WinedowsUpdater1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Firewall Update System1] WinedowsUpdater1.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: InstantTimeZone.lnk = F:\Program Files\InstantTimeZone\InstantTimeZone.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - F:\Program Files\AIM\aim.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "F:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\PROGRAM FILES\AVGUARD.EXE (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Program Files\AVWUPSRV.EXE (file missing)
O23 - Service: ewido security suite control - ewido networks - F:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - F:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
voila merci d'avance pour votre aide, je desespere !!! a mort les virus !
Marsh Posté le 19-02-2006 à 21:41:59
boxer4 a écrit : |
Bonsoir,
Mieux vaut un point de restauration infecté que pas de point du tout. A désactiver uniquement si un scan fait apparaître une infection dedans et même, BitDefender en ligne s'en charge.
Il faudrait pas aussi lui faire mettre à jour son OS?
Marsh Posté le 19-02-2006 à 23:19:14
Oui, Service pack 2 à installer, sans oublier toutes les dernières mises à jour de sécurité.
Marsh Posté le 19-02-2006 à 16:39:25
Bonjour à tous,
Je suis nouvelle sur le forum , en fait j'ai un probleme de spy voire de trojan ou je sais pas koi!
comme je ne m'y connais pas vraiment j'ai trop besoin de votre aide , on m'a conseillé de faire un log avec hijackthis , je vous le transmet si vous pouviez me dire koi cocher parce que j'y comprend rien.
Merci d'avance
Logfile of HijackThis v1.99.1
Scan saved at 15:53:35, on 19/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Program Files\Analog Devices\SoundMAX\SMTray.exe
F:\WINDOWS\System32\LVCOMSX.EXE
F:\Program Files\Logitech\Video\LogiTray.exe
F:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
F:\WINDOWS\System32\Sygate.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\InstantTimeZone\InstantTimeZone.exe
F:\Program Files\Logitech\Video\FxSvr2.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Windows Media Player\wmplayer.exe
F:\Documents and Settings\CHACHA\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] F:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVGNT.EXE" /min
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] F:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] F:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PCLEPCI] F:\PROGRA~1\PINNAC~1\PPE\PPE.EXE
O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\Run: [Firewall Update System1] WinedowsUpdater1.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] F:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\RunServices: [Firewall Update System1] WinedowsUpdater1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Firewall Update System1] WinedowsUpdater1.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: InstantTimeZone.lnk = F:\Program Files\InstantTimeZone\InstantTimeZone.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - F:\Program Files\AIM\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "F:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\PROGRAM FILES\AVGUARD.EXE (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Program Files\AVWUPSRV.EXE (file missing)
O23 - Service: MSI_WLAN_Service - Unknown owner - F:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - F:\Program Files\Analog Devices\SoundMAX\SMAgent.exe