accès intempestif à internet.: ..trojan?

accès intempestif à internet.: ..trojan? - Sécurité - Windows & Software

Marsh Posté le 03-05-2005 à 17:17:41    

Bonjour ,
 
J'ai depuis quelque quelques jours un problème que je n'arrive pas à résoudre:
De manière intempestive (au démarragede l'ordi, d'Excel, de NAV...), l'ordinateur tente de se connecter à Internet en ouvrant la fenêtre "connexion à distance"...Je dois tenter de la fermer 5 à 6 fois avant qu'elle se ferme réellement...jusqu'à la fois suivante...De +, Zonealarm ne m'avertit de rien (le modem est éteint) alors qu'il n'y a que très peu de programmes autorisés dont  IE, OUTLOOK, Freedial (pour l'accès à Free) ...
 
Voici ma configuration:
W98SE
IE6
Norton antivirus 2003 ( liste de définitions de virus à jour)
Zone alarm
 
Comment c'est arrivé:
Au cours d'une connexion internet, j'ai eu l'impression de voir le temps long avec des échanges de données alors que rien ne se passait à l'écran...J'ai interrompu la connexion et j'ai eu ensuite un écran bleu avec une fenêtre rouge m'avertissant que NAV avait détecté un virus "TROJANxxx" et l'avait éliminé???...
 
Ce que j'ai fait depuis:
Mis à jour NAV et scanné le disque: RAS
Rechercher et éliminer les fichiers "louches" exe , dll ... au cours des 2 jours précédant l'apparition de ce problème.
Désinstaller MSN (c'était la version 7.0 et NAV 2003 ne semble pas compatible).
Effacer le répertoire MSN.
Fixer avec HiJack les lignes relatives à MSN et loadqm.
Effacer les fichiers temporaires (sauf des répertoires dans /Temporary internet files/Content IE5 que je n'arrive pas à effacer...), vider la corbeille...
MAIS C'EST TOUJOURS PAREIL...
 
Je copie ici le log Hijack , si quelqu'un a une idée...Merci
 
Logfile of HijackThis v1.99.0
Scan saved at 19:22:48, on 02/05/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\SYMTRAY.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAM FILES\LOGITECH\VIDEO\LOGITRAY.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\SMARTDSK\FLASH\SDSTAT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\COPIE PC166MMX\HIJACKTHIS.EXE
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.voila.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [ccEvtMgr] C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: FlashPath Status.lnk = C:\SMARTDSK\FLASH\SDSTAT.exe
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~1\OFFICE\1036\PHDINTL.DLL/phdContext.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted IP range:  (HKLM)
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/FR/install.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
 
A bientôt

Reply

Marsh Posté le 03-05-2005 à 17:17:41   

Reply

Marsh Posté le 03-05-2005 à 17:58:20    

Reply

Marsh Posté le 04-05-2005 à 07:59:41    

:hello:  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis "Do a system scan only". Coche ces lignes et clique "Fix checked".  
 
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted IP range:  (HKLM)  
 
****************************************
 
Redémarre en mode sans échec (en tapotant F8 au démarrage).  
Donne-toi accès aux fichiers cachés.  
(explorateur windows->outils->options des dossiers->affichage  
"Afficher les fichiers cachés"->coché  
"Masquer les extensions.."->décoché)  
 
Supprime les dossiers/fichiers en gras si présents
 
Toujours en mode sans echec:
 
C\temp\ <-- supprimer tout le contenu du dossier
C:\windows\temp\ <-- supprimer tout le contenu du dossier
C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\<-- supprimer tout le contenu du dossier
 
(Ne supprime pas les dossiers eux-mêmes, mais tous les fichiers contenus.)
 
IE > Outils > Options internet  
Dans le champ "Fichiers Internet Temporaires", tu cliques sur le bouton du mileu "Supprimer les fichiers".  
Tu coches la petite case "Supprimer tout le contenu hors connexion" et tu valides par Ok.  
 
Vide la corbeille
 
Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir:
Retourne à la fenêtre <Paramètres de dossier> et sélectionne <Ne pas afficher les fichiers cachés ou les fichiers système>.
 
Reboot en mode normal  
 
Fais ce Scan en ligne: Ravantivirus  (avec IE obligatoirement)  
 
Clique sur: << To continue without subscribing click here. >>, autorise l'installation du contrôle activeX, avec les options de sécurité par défaut. Pour appliquer ces paramètres :
 
-Ouvrir Internet Explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".
 
-Ouvrir Internet Explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".  
 
Attends que "Ready" s'affiche et coches la case "Autoclean"  
 
Clique sur "Scan my pc".  
 
Quand le Scan est terminé (çà peut être long), copie et colle le rapport.

Reply

Marsh Posté le 08-05-2005 à 18:01:05    

Bonjour, :hello:  
 
J'ai pu supprimer les lignes:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
 
Impossible de supprimer cette ligne:
O15 - Trusted IP range:  (HKLM)  
Elle réapparait au scan suivant...
 
Même en mode sans échec  le processus "rnaapp" est lancé (il n'apparait que les processus explorer er rnaapp)...si j'y mets fin par "fin de tâche", il se relance à l'ouverture de programmes tels qu'Excel ou NAV... :??:  
 
J'ai craint un moment  d'être redirigé vers un autre fournisseur d'accès (je n'arrive plus à aller sur ma messagerie via outlook) mais je n'en suis plus sûr...
 
 

Reply

Marsh Posté le 12-05-2005 à 22:33:05    

Bonsoir télécharge cet utilitaire:  
 
http://www.mvps.org/winhelp2002/DelDomains.inf  
 
Pose le sur le bureau
Utilisation : Clic droit/ Installer (pas besoin de redémarrer)
 
Relance Hijackthis et fixe la ligne:
 
O15 - Trusted IP range:  (HKLM)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed