Se débarasser d'un virus/trojan/keylogger

Pour réactiver mon compte (suspendu suite à un piratage pour ceux qui suivent pas ), je dois envoyer un mail à blibli blablabla avec certaines informations. Cependant, dans le mail que j'ai reçu, ils précisent bien qu'avant de faire cette opération, je dois m'assurer d'avoir viré tout programme suspect de mon ordi, parce qu'au cas où ça se reproduirait (le piratage), je pourrai toujours me brosser pour récupérer quoi que ce soit.
J'ai donc effectué un scan complet de mon ordi avec Norton (l'anti virus de base que j'ai), mais celui-ci n'a rien trouvé. N'ayant pas envie que ça se reproduise (et n'y connaissant rien en informatique ), je me demande de quelle manière je pourrais purger la bête de ses corps étrangers. Alors si vous avez des programmes à me conseiller qui pourraient efficacement détecter ce qui ne va pas, je vous serai trés reconnaissant de m'en faire part.
Merci

j'y connais pas grand chose non plus mais j'utilise ad-aware se personal et ça marche tres bien... porole d'inculte ;)

Tu peux essayer de faire tourner ce truc anti spyware online :

http://www.spywareguide.com/onlinescan.php

Sinon ton Norton a bien ete mis a jour ?

Slakk a écrit:

Pour réactiver mon compte (suspendu suite à un piratage pour ceux qui suivent pas ), je dois envoyer un mail à blibli blablabla avec certaines informations. Cependant, dans le mail que j'ai reçu, ils précisent bien qu'avant de faire cette opération, je dois m'assurer d'avoir viré tout programme suspect de mon ordi, parce qu'au cas où ça se reproduirait (le piratage), je pourrai toujours me brosser pour récupérer quoi que ce soit.
J'ai donc effectué un scan complet de mon ordi avec Norton (l'anti virus de base que j'ai), mais celui-ci n'a rien trouvé. N'ayant pas envie que ça se reproduise (et n'y connaissant rien en informatique ), je me demande de quelle manière je pourrais purger la bête de ses corps étrangers. Alors si vous avez des programmes à me conseiller qui pourraient efficacement détecter ce qui ne va pas, je vous serai trés reconnaissant de m'en faire part.
Merci

- Alors d'une Norton c'est une passoire, qui est d'une lourdeur et d'une pénibilité sans borne! Lui préférer Bitdefender ou Kaspersky ;)

- De deux les antispywares sont useless contres les trojans et autres virus joyeux.

Je te conseille de faire une analyse en ligne ici: http://www.bitdefender.fr/scan8/ie.html

Parallèlement tu peux lancer Hijackthis (http://www.clubic.com/telecharger-fiche17891-hijackthis.html)
Tu le lances et tu fais "Do a system scan and save a logfile".
Tu copies le log dans un post sur ce thread (tu peux aussi le soummettre sur un forum de geeks en expliquant ton problème, il existe des forums dédiés: tappe "Hijackthis analyse" dans Google )
Lance le de préférence après avoir lancé le jeu lorsque tu es sur l'écran de login ;)

J'ai remis Norton à jour. Mais effectivement c'est de la merde ce truc, il est très lourd :/

Merci pour vos conseils, je vais tester tout ça.

Pour ma part j'utilise AVG antivirus, ZOne Alarm en pare-feu et quand je souhaite scanner mon pc j'utilise Spybot et Adaware. Tu peux pousser le vice en faisant un scan en ligne sur le site de Panda Online.

Sinon, le bon gros formatage bien gras si ca te saoule de faire tout ca

en vrac comme les copains:

Spybot et ad-aware

Ccleaner

www.secuser.com et son outil antivirus en ligne très performant

Niveau antivirus:
1 g-data 2007 combine kaspersky et avast tres lourd mais super efficace
69,95€
2 Kasperky 6.0 Lourd mais meilleur antivirus monocore
69,95€
3 bitdefender 10 assez léger, il offre une bonne protection
79,95€

Garde à l'esprit 3 choses:

1 Ton antivirus ne te donne acces a tes mises a jour que pendant 1an, apres quoi tu repayes (exepté bitdefender 2ans)

2 N'achetes pas un antivirus seul mais préferes les suites internet security, c'est d'ailleurs leurs prix que je t'ai listé

3 Meme si ces suites sont efficaces, penses a faire un scan antiviral toutes les semaines (genre le mercredi matin ^^) et en meme temps un scan de ad-aware et de spybot, ca coute rien, et ca marche.

BitDefender a trouvé un virus qui a fait son nid dans Windows\system32\ouviewer.dll... Cependant il n'a pas réussi à le désinfecter ni à le supprimer, j'imagine parce que c'est un fichier faisant partie du système d'exploitation truc machin que faut pas y toucher.

Je fais quoi? je supprime de force au risque de tout casser?

Besoin de vos lumières msieurs dames en plus mon frangin est pas là je peux pas le souler

Apparemment en farfouillant c'est trojan basic moi je serais toi (mais fais ce que tu veux hein ;) ) je formatterais ma partition systeme et la réinstallerais et ensuite direct avant accéder au net je remet antivrus et anti spy direct
Ou sinon supprime cette dll et fais une recherche dans ta base de registre et supprime ses liens tu fais démarrer executer tape REGEDIT et fais rechercher ouviewer.dll et supprime cette ligne .


Et surtout un conseil à tous quand vous naviguer sur le net sur des sites un peu louches (comme moi quoi) et que vous voyez des trucs du genre

deja je ne sais pas ou il trouve C:\windows\system32\Microsoft\ sur ma gentoo
deja que sur Windows le sous dossier \Microsoft\ n'existe pas



948 fichiers nefastes, ouille, ils n'y vont pas de main morte

bon, vous faites passer l'info

le site à mettre de suite dans le fichier hosts
127.0.0.1 www.drivecleaner.com

comme ca il bouclera en local

utilisez AVAST il est gratuit et à fait ses preuve il vous faut uniquement un email pour les particulier pour avoir droit à une license gratuite.

Je sais pas si ca peut t'aider, mais ce mec semble avoir eu le meme pb que toi et l'a resolu :

http://forums.techguy.org/security/535201-unable-resolve-ip-address-after.html

J'ai utilisé HijackThis, qui a corroboré le résultat obtenu par BitDefender:

"C:\WINDOWS\system32\ouviewer.dll


Infecté par: Generic.PWS.WoW.E075D85E"

Ca c'est BitDefender, et ci-dessous HijackThis :

"O10 - Unknown file in Winsock LSP: c:\windows\system32\ouviewer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ouviewer.dll"

Pour finalement me débarasser de ce fichier moisi, je me suis servi du programme conseillé par HijackThis, c'est-à-dire LSP-Fix - http://www.cexx.org/lspfix.htm - et à voir ça a marché puisqu'en refaisant un scan avec HijackThis, l'entrée O10 n'apparaît plus. Je vais donc considérer ma bécane comme dorénavant clean, devenir complètement paranoïaque pendant un moment et croiser les doigts pour l'avenir.

Au moins cette mésaventure m'aura permis d'explorer les arcanes insondables de l'informatique contemporaine. Vais pouvoir me la péter devant mes potes "quoi tu connais pas HijackThis? ptain le nooooob..."

EDIT: Ben oui Mulx, c'est exactement ça en fait Ca me rassure de pas être le seul boulet à me faire entuber. Même si la dame en question a commencé par sonner à la mauvaise porte : "I clicked the heal button, went to church, came home and can't get an Internet connection on that computer." Elle a pas dû prier assez fort

En tout cas merci à vous tous pour votre aide, je me sens presque intelligent maintenant

Content de voir ton PC nettoyé, mon Slakkou !

La dll que tu mentionnes est un troyen (http://research.sunbelt-software.com/threatdisplay.aspx?name=Trojan-PSW.Win32.Nilage.ajf&threatid=100784)

Si tu ne reinstalles pas ton os completement apres formatage je te conseille de soumettre ton rapport Hijackthis à une communauté informée (voir ici si tu veux que je te file un coup de pognes ^^). C'est peut-être pas la seule infection.

En outre t'as tout intérêt à essayer de savoir pourquoi tu as été infecté afin d'essayer de régler le problème avant qu'il te retombe sur le coin de la gueule d'ici à demain. As-tu un firewall? Logiciel ou hardware? Ton antivirus tu le bennes et t'en prend un vrai ;) Pour les spywares je te conseille SpyBot qui est gratuit et l'un des meilleurs...

Voici mon rapport de HijackThis, si tu as le courage de te plonger dedans :p C'est le nouveau, expurgé, donc y a plus les deux lignes copiées plus haut.

Logfile of HijackThis v1.99.1
Scan saved at 19:18:49, on 26/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\smss.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\Accessibility\FnKeyHook.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Raph\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ch\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ch\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Program Files\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Card Adapter (NETDown) - Unknown owner - C:\WINDOWS\smss.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

En ce qui concerne le pourquoi du comment de l'infection, je pense que c'est dû à ma négligence coupable... en effet, Norton me gonflant de plus en plus, j'en suis venu à ignorer sciemment tous les messages en émanant... j'aurais pas dû

Citation :

C:\WINDOWS\system32\TPSBattM.exe

Ah je vois que Stouk t'as aussi passé son programme préféré pour télécharger des films de fesses

synaid a écrit:

Citation :

C:\WINDOWS\system32\TPSBattM.exe

Ah je vois que Stouk t'as aussi passé son programme préféré pour télécharger des films de fesses

c est quoi?

J'ai fait un hijack this, et je le trouve pas et te merde !

euh... perso je vois pas ce que c'est non plus, c'est sûrement encore un coup de mon chat

enfin si tu le dis

Arf mon clavier deconne, c'etait des films des "messes du dimanche" et non pas "fesses" dont je parlais
Bah quoi, zaviez compris quoi?

Bah ca a l'air correct la je pense
J'ai rien vu de trop louche ;)