Salut,

Sa fait quelques heures que je cherche en vain... j'explique :

J'ai installer wireshark (pour tout autre chose) et là... je m'aperçois de quoi... ?!

Des connexions (alors que rien n'est lancé) vers des sites louches :

www.trafficdinar.com
www.hybridtraffic.com
www.alladvantage.com
surfing4cash.info
www.egcash.com
www.kesefkal.net
Et j'en passe!
....

Je passe donc de suite un coup de Spybot 1.5 / ashampoo / AdAware2007... rien en vu !

Je lance TCPVIEW, et là chose encore plus suspecte je voit des connexion de svchost.exe sur le port 1060 vers pleins de site louches...

webbytechnologies.com
secureserver.net
eris.diyhost.co.uk
a100.nthosting.ru
mars.getpaidsolutions.com
jj777.hostigation.com
leapcash.com
hostlife.net
mh05.multihost.ru
missoula.servershost.net
Et j'en passe !!!!
...

Argggg ... l'horreur...      

Mais que ce passe t'il ?

Moi qui est vigilent comme pas 2 avant d'installer un soft...
Qui scan régulierement mon pc avec divers outils...

Voici des logs:

Logs de connexion "wireshark" : http://alconio.celeonet.fr/miranda//Wireshark.txt
Logs de connexion "tcpview" : http://alconio.celeonet.fr/TCPVIEW.txt
Logs des apps lancées : http://alconio.celeonet.fr/Procexp.txt

Auriez-vous une idée ?

As-tu simplement scanné ton disque avec un AV à jour ?
Tu as peut-être un trojan...

A mon avis wireshark a mis en évidence un virus caché (rootkit).
 
Installe ashampoo antispyware et suis cette doc: http://www.malekal.com/Adware.Magi [...] ocId213723

Alors, me revoila  

Depuis hier re-lancer des scans complet avec

antispyware:
-SpywareDoctor
-Spybot
-ashampoo
-AdAware2007
-spysweeper

antivirus:
-F secure en ligne
-kasperskt en ligne
-Nod32 (résident)

Il ma trouver un "agabot" (impliqué dans svchost justement comme je le disait precedament) -> éradiquer OK
Mais j'ai toujours des connexion louche de svchost (moins apparament... es-ce par ce que je vient de rebooter? mystere)

j'ai toujours des connexions louches de scvhost.exe (TCPVIEW) :
stormpay.com
jj777.hostigation.com
mars.getpaidsolutions.com
leapcash.com
eris.diyhost.co.uk
etc...

avec wireshark c'est la meme quelque chose ce connecte vers des sites louches :
yourfreeworld.com
etplanet.com
paid2link.com
a.websponsors.com
etc...

Oui, c'est la premiere chose que j'ai fait

Ha bon, sérieux ? -_-

j'ai tester ta solution, apparament ce n'est pas le spyware " Magic.Control" qui m'infecte...

Mais que faire ?

ps: ogaby j'ai remarqué que tu donner ce lien a tout le monde... mais ne pense-tu pas que tout le monde n'est pas infecter par ce spyware...

De plus, NOD 32 est capable de détecter les rootkits...
Quel AV t'a détecté "agabot" ?
Ton FW te détecte pas des tentatives de connexions sortantes ?...

C'est Spybot qui ma detecter agabot et supprimer.
 
Je n'utilise pas de FW (j'ai un routeur) mais oui il y a effectivement (comme tu as pu le voir plus haut) des tentatives de connexions svchost.exe vers des sites louches...

Il ne fait pas que les magic.control. Il a une partie anti-rootkit qui donne de bons résultats.
L'infection via le réseau se fait souvent soit par un virus soit par activeX
Puisque t'as spybot, va dans vaccination et vaccine Internet explorer. Il désactivera les activeX dangereux.

Oké merci, mais je voudrais surtout supprimer mon problème avant...

Et puis comme tu as pu le lire dans mon premier post, j'avais déja passer un coup de antiRootkit de ashampoo.
Pour la vaccination... c'est deja fait depuis quelques mois, bien que ej n'utilise pas IE
J'ai tester ton lien, il ne me trouve rien..

Ok je vais des recherches avec agabot pour voir si ca donne une piste.
 
Tu peux utiliser spywareblaster qui bloque beaucoup de sites. Au démarrage tu cliques sur "enable all protections".
 
A+

Non, c'est bon ogaby, je ne veut pas bloquer des sites. (je ne vais jamais sur des sites infestés ou autres...)
Je voudrai juste desintaller ce spyware/trojan/virus/rootkit
Je cherche aussi de mon coté... sans succes pour l'instant

installe hijackthis. clique sur "scan and save a log" puis poste le log sur ce site: http://www.hijackthis.de/fr
Lorsque il te dit qu'une ligne est pas bonne, tu coches celle-ci dans hijackthis. Une fois fini, appuis sur "fix checked"

Si t'as une ligne en O17 sur une adresse IP ne commençant pas par 192.168 , coche la.

EDIT: après réflection, si tas une ligne en O17 poste là pour qu'on y jette un coup d'oeuil.