Bizarre

[Martial]

Salut,

Un ami m'a confié son PC portable (un compaq presario) pour maintenance. Config :
P4 2,4Ghz + 192 MO +carte reseau ethernet + carte reseau 1394 +Haut debit via sagem 800-840. OS : WXP SP2

Symptomes : La connexion se fait, on surf sur une voir deux pages et puis plus rien ("la page ne peut s'afficher"). ou alors impossible de telecharger un fichier quelconque.
AD-aware me signale tout un tas de spyware qui ré-apparaissent sans cesse malgrès Zonealarm pro.
J'ai remarqué que le par-feu bloquait un certain nombre de prg avant le crash et qu'une fenetre d'accès à www.super-carros se lancait !!!!????!!!!

Et même sans spyware et sans les prg douteux, ca continue. Après désactivation des carte reseau, rien y fait.

J'avoue que je seche . Avez-vous une idée ?

Merci d'avance pour lui.

Euh tu dis avnat crash, tu veux dire que le apsser vant d'etre apparment desinfecter planter?
Le modem il est brancher sur quoi, usb ou ethernet.

[Martial]

Merci de ton attention.

Modem sur port USB.

Donc, après desinfection et redemarrage et reconnexion , il est ok puis ca bloque des choses comme winmedpla.exe puis connexion a super-carros et crash puis "internet ne peut afficher cette page.

[Moustache77]

Bonsoir Martial,

Tu es sans doute victime de quelques troyens présents sur ta machine.
Le Firewal bloque les attaques, pas les troyens
L'antivirus bloque les troyens s'il est à jour
Ad-Aware, Spybot Search & Destroy, PestPatrol t'aident à nettoyer ton système mais il faut vraiment qu'il soit correctement protégé ("sortir couvert", telle est la devise sur le Net ).

Quelles sont les manipulations que tu as entreprises (dans l'ordre) pour faire ton nettoyage ?

D'après ce que je "ressent" (ce n'est qu'un soupçon de supposition) :
- soit : des clés de registres sont toujours présent et s'activent au redémarrage
- soit un troyen est installé en tant que service (là c'est le TOP pour faire ch..r une configuration) et donc il faut identifier les process "anormaux" pour supprimer les programmes lancés en tant que service Windows

Dans tous les cas c'est parfaitement réparable donc inutile de formatter (comme beaucoup de personnes ont tendance à faire) à moins que tu ne disposes d'un clone pour redémarrer a partir d'une configuration saine...

[Martial]

Bonjour,

Après avoir fais les MAJ, j'ai passé ad-aware et NA 2003. Pas de virus mais des spyware en pagaille.
J'ai inspecté les processus en cours d'execution. Il ya effectivement des nom de prg bizarres.

Je vais comparer avec ma machine qui a un max de prg (Le portable devant être vierge de tous prg non XP).

Il y a notament un des prg comme :

ISVTC.exe (quelque chose comme ca)
BHGLGH.exe (idem)
D245fvzv.exe (celui-la, il créé plein de .exe du même genre quand tu le suppr)

Si je n'arrive pas a tous supprimer car le ISVTC revient quand tu le suppr des processus (galère et ad-aware le voit et fait pas grand chose), je desactive tous les services et je fait le menage à la mano.

Je vous tient au courant (220v)

Merci,

Cela donnera une bonne leçon à mon ami qui se lance sur internet sans fire-wall et surtout Anti-virus (du moins à jour). Erreur de débutant.

[Moustache77]

Cherches pas plus loind pour le D245fvzv.exe, c'est le jackpot !!!

Si dès que tu le supprime il se recréé (non, non, ce n'est pas DIEU...) c'est une zolie cochonnerie.

Je te donne l'astuce qui est tellement bete qu'elle en est pratique :

-- ETAPE 1--
1) tu cherches dans quel répertoire se situe le .EXE (D245fvzv.exe)
2) tu renommes le .EXE en .OLD (par exemple)
3) tu rebootes la machine
=> fin de la premiere étape : tu as empeche la cochonnerie de se propager mais elle est toujours presente à l'état larvaire

--ETAPE 2--
1) tu installes soit Codstuff Starter soit Hijack This soit Startup.cpl (qui est donc un element du panneau de configuration et que tu trouveras sur le NET sans souci)
2) tu detruis toutes les clés relatives au lancement de la cochonnerie citée plus haute
3) tu rebootes

--ETAPE 3--
1) tu détruis le répertoire ou sommeillait pépèrel la cochonnerie ci-dessus

ET SURTOUT, SURTOUT :
1) tu installes (ou vérifie) un ANTI-VIRUS
2) tu installes (ou vérifie) un FIREWALL
3) tu passes REGULIEREMENT des softs comme Ad-Aware, Spybot, PestPatrol, au choix...

Raconte-nous comment ça va bien ensuite

[Kikof]

Salut,

Citation:

ISVTC.exe

Je suppose : http://sarc.com/avcenter/venc/data/adware.istbar.html

Les autres doivent être des noms aléatoires. Si tu veux des méthodes de désinfection, il faut les noms des malwares en question. Si tu ne peux pas les avoir, télécharge HijackThis et poste le résultat ici.

[Martial]

Un grand merci a tous pour vos réponses.

Le PC est maintenant propre.

Il restait que la connexion internet ne fonctionnait toujours pas. Un tour dans les processus et Oh surprise :

Un .EXE MSAMS qui ne figure pas dans les proc de ma machine perso.
Je termine le proc et le desactive dans MSCONFIG

Et tout fonctionne.

Bon je vais dire tout même que le site est super-genial . Je le consulte depuis 2 ans même si j'ai changé de pseudo.

A+ ;-)