Se connecter / S'enregistrer
Votre question

Trojans? Virus? Malware? 100% de ma bande passante utilisée !! :/

Tags :
  • Malware
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Septembre 2006 17:57:55

Bonjour :) 

J'ai eu le malheur de visiter un site peu recommandable sans antivirus...

Je me suis rendu compt que j'étais infecté par des spywares et trojans, après avoir utilisé Avast, Ewido , CCleaner, Spybot search and destroy, antivirus en ligne, kaspersky... j'ai réussi à tout éliminé sauf le PRINCPAL ..
Plus aucun logiciel ne détecte quoiqu ce soit.
Lorsque je me connecte à internet 100% de ma bande passante , en upload est utilisée...
Ma connexion est utilisée pour spammer, en une heure je suis connecté à plus d'un centaine d'hotes du genre :

mail.referralware.com
mailserver181.dnscentral.com
mail.esc.cam.ac.uk
ip-209-172-55-146.reverse.privatedns.com

Voici ce que donne HijackThis..


Logfile of HijackThis v1.99.1
Scan saved at 17:53:30, on 10/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\explorer.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Documents and Settings\olivier\Bureau\HijackThis.exe

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SearchPageURL.dll
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - (no file)
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1F60305-78F0-4A31-BB25-AE364DFC88E6}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe


Merci de votre aide... je perds la tête :) 

Autres pages sur : trojans virus malware 100 bande passante utilisee

a b 8 Sécurité
10 Septembre 2006 18:16:42

Bonjour,

-- Clique Droit sur Hijackthis :
-> Choisis " Renommer "
-> Tape Scanner.exe puis valide


- Lance l'application
- Choisis l'option Do a system scan and save a logfile
-- Le Bloc-Notes s'ouvre :
-> Edition / Sélectionner Tout
-> Edition / Copier

- Colle le rapport ici.

Aide sur Hijackthis
10 Septembre 2006 18:24:07

Voila le rapport , merci.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\explorer.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Documents and Settings\olivier\Bureau\Scanner.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SearchPageURL.dll
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - (no file)
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [CmUsbAudio] RunDll32 cmcnfg2.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1F60305-78F0-4A31-BB25-AE364DFC88E6}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 6.0\adialhk.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVP - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: GhostStartService - Unknown owner - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE (file missing)
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
Contenus similaires
a b 8 Sécurité
10 Septembre 2006 18:26:03

Je pense que ton antivirus (Kaspersky) consomme trop pour ton pc.

Essaie de le desinstaller pour voir.
10 Septembre 2006 18:31:57

Je le désinstalle, mais c'est grace à Kaspersky avec l onglet surveillance du résau ... traffic que j'ai pu constater que je me connectais à des centaines d'adresses IP.
Voila c 'est désinstallé
10 Septembre 2006 18:43:30

C'est désinstallé , j'ai rebooté, et quelques secondes apres m'etre reconnecté à internet quand je regarde les octets envoyé ils montent en fléche, déja 10 méga ocets en quelques secondes en utilisant pas internet.
Ah oui j'aurais du préciser que avast m'avait averti que trop de mails étaient envoyés en peu de temps, je dois spamer à mon insu..
10 Septembre 2006 18:47:13

Eratum : 20 MO d'UL en 10 minutes pardon :) 
a b 8 Sécurité
10 Septembre 2006 18:49:21

Tu as deux antivirus ?!
Desinstalle en un si ce n'est pas fait

C'est mieux ?
10 Septembre 2006 18:53:55

OUi j avais installé l'autre anti virus pour voir s'il trouvait quelquechose...
Je l'ai désinstallé il ne me reste plus qu'avast.
Que faire quand à mon problème?
a b 8 Sécurité
10 Septembre 2006 18:55:50

Ton ordinateur ne semble pas infete...

Fixe juste ces lignes :
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - (no file)
10 Septembre 2006 18:59:35

oké , je vais faire ca ... je reviens dans une petite heure et demi , j'aurais aimé vous montrer un scrennshot pour vous montrer mon probleme ..
10 Septembre 2006 20:27:04

Je ne semble peut être pas infecté... je ne m'y connais pas vraiment , mais suffisement pour voir qu'il est anormal qu'après environ une minute de connexion mon upload monte en flèche et que d'un coup je me connecte à des dizaine et des dizaines d'hôtes ...
J'ai trouvé un moyen simple de vous montrer mon screenshot ...
Dites moi ce que vous en pensez :) 
http://images.misscara.com/img/o/olivierh9517.jpg

on n y voit pas grand choses mais juste pour vous dire que toute ces connections avec des noms bizar sont plus que tres louche...

a b 8 Sécurité
10 Septembre 2006 20:30:09

On voit rien...

Utilise tu le P2P ?
10 Septembre 2006 20:35:51

Non du tout, aucun logiciel n'est lancé , je ne suis sur aucun site, je me connecte uniquement à internet , je reviens une heure apres et j ai uploadé plus de 150 MO...
Si y a un moyen pour vous montrer mon log avec toute ces connections étranges je pense que vous comprendriez un peu mieux ce qu il se passe...
10 Septembre 2006 20:49:54

Pour la capture d'écran, va plutôt sur http://imageshack.us/.
Sinon, pour ton problème je pense que tu devrais faire une restauration du système datant d'avant le problème.
A+
10 Septembre 2006 22:58:18

Avec ce que vous pouvez voir sur ce screenshot si je ne suis pas infecté de quelquechose c'est que je suis fou :]
Toute ces connections ce font à mon insu, je ne lance aucun logiciel de P2P, je ne fais qu'établir une connection internet ...
http://img81.imageshack.us/img81/6341/hotesli1.jpg
10 Septembre 2006 23:05:23

Bonsoir,

peut-être un rootkit ?

Télécharge F-Secure Blacklight
- Lance F-Secure Blacklight (fichier blbeta.exe)
- Accepte la licence, et clique enfin sur "Scan" puis Next et Exit.
- Un rapport fsbl-bxxxx.log (xx sont des chiffres) va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log et copie/colle le contenu ici.
10 Septembre 2006 23:51:13

JE fais ca tout de suite , désolé du retard je recherche des infos sur le net à propos de mon problème..

09/10/06 23:50:39 [Info]: BlackLight Engine 1.0.46 initialized
09/10/06 23:50:39 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/10/06 23:50:40 [Note]: 7019 4
09/10/06 23:50:40 [Note]: 7005 0
09/10/06 23:50:43 [Note]: 7006 0
09/10/06 23:50:43 [Note]: 7011 2496
09/10/06 23:50:43 [Note]: 7026 0
09/10/06 23:50:43 [Note]: 7026 0
09/10/06 23:50:48 [Note]: FSRAW library version 1.7.1019
09/10/06 23:54:03 [Note]: 7007 0
11 Septembre 2006 21:37:31

BlackLight ne donne rien, mais je suis sûr que c'est un rootkit.

On essaie avec gmer :

Télécharge gmer : http://www.gmer.net/gmer.zip
Déconnecte toi d'internet et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse-le s'exécuter.
Clic sur l'onglet "rootkit" et clic sur Scan
Lorsque le scan est terminé, clic sur "copy"

Ouvre le bloc-note et clic sur le Menu Edition/Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
11 Septembre 2006 22:00:08

Bonsoir esteban54,

Idem pour moi :) 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS