Voir la version complète : Attaque spyware

Salut à tous

Hier j'ai subi une attaque spyware. Pourtant j'ai un anti-virus norton.
J'avais plusieurs pages ouvertes en meme temps, et à moment j'ai message sur la barre des taches sur la droite qui s'est ouvert me disant que je subi une attaque et je dois installer le l'anti-spyware windows.
Sur le coup je ne fais pas grand chose, j'ai eu peur que soit justement un virus. Le message persiste, je fini par cliquer dessus et je l'installe. Il me détecte 9 fichiers infectés mais pour les suprimer je dois acheter la licence. Ce que je ne fais pas.
Alors je cherche sur le net, un anti spyware, j'en trouve un que j'instale et qui me surprime les fichiers infectés. Mais j'ai toujours le meme message sur la barre des tache et l'image du bureau a été modifié et y a le message suivant:
"Warrning
You are in danger your computer are infected with spyware"
et que mon disque dur risque d'etre perdu pour toujours et que je risquais de tous perdre.
et me dit:
"secure yourself right now!
remove all spyware from your pc"

Alors j'ai suprimé les deux anti-spyware et j'ai instalé celui d'AVG, lui aussi m'a detecté 13 infections qu'il a suprimé.
Mais j'ai toujours le meme message sur la barre des taches "your computer is infected" et la meme image sur le bureau.

Je ne sais pas quoi faire. Je ne sais si il hors de danger. Si je dois faire une restauration du système sachant ça fait moins d'un moi que je l'ai faite.

Aidez moi svp.
C'est urgent.

Merci d'avance

essayes un scan avec HijackThis (http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis) et colle le rapport du scan et on verra c'est quoi le problème .

je l'ai fait
j'ai ce message :

blow are the results of the hijackthis scans
Be careful what you delete with the fix cheked. Scan results do not dertermine whether an item is bad or not. the best thing to do is to analyze this ans show the log file to knowledgeable folks


et en dessous j'ai une longue liste

Je crois que c'est cette longue liste que tu dois mettre, comme ça Zohir, pourra t'aider :)

comment je fais pour mettre cette liste sur le forum. Je n'arrive pas à la copier:rolleyes:

Bonsoir,

Le message qui te dit que t'a été victime d'une attaque provient probablement d'un spyware lui même. C'est très courant.

Essaye avec Spy Sweeper, c'est le meilleur anti-spyware du moment. Tu trouvera la version d'essai en téléchargement ici:
http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26411.html

Sinon pour les anti-virus, les 3 meilleurs sont dans l'ordre:
Symantec Antivirus (rien à voir avec norton, le plus léger et complet et efficace des antivirus, destiné uniquement aux entreprises...
G-Data Antivirus
Kaspersky Antivirus (télécharge la version d'essai puis fais une mise-à-jour de la base virale, après scane ton ordi. Voici la version démo: http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/1449.html )

Sinon, fais un scan en ligne via le site de symantec pour savoir ce qu'il en est.
Voici un lien. T'a soit "Analyse de sécurité" pour savoir si ton PC est bien protégé ou "Analyse antivirus" pour savoir s'il est infecté. Lorsque tu aura le résultat tu saura de quel type d'attaque il en revient, donc la solution sera plus facile à trouver. Il faut accepter l'active X et l'installer (un petit programe envoyé par symantec, il sera reconnu comme un pop-up par ton navigateur, débloque le et relance la procédure
http://security.symantec.com/sscv6/home.asp?langid=fr&venid=sym&plfid=23&pkj=RYDOPWFYJOKMFIDPMSV&bhcp=1

Bon courage ;)

Quand tu ouvres HijackThis , tu choisis l'option 1 " Do a scan and save log file "

ton scan sera sauvegardé dans un document texte , tu fais copier et tu colles ici .

en effet HijackThis doit etre utilisé avec prudence pour les débutants .

Le message persiste, je fini par cliquer dessus et je l'installe.
Il ne faut jamais cliquer sur ce genre de messages trompeurs. Ils installent des spywares...etc. Lorsqu'une fenêtre persiste à se relancer, ferme IE via le gestionnaire de tâches.

Norton Internet Security est plutôt "moyen" face à ce genre d'attaques. Le mieux est d'utiliser Kaspersky ou ZoneAlarm, plus efficaces.

Pour scanner ton PC et neutraliser les spywares/adwares, je te conseille 2 logiciels en plus de ceux proposés plus haut :

- Ad-Aware 2007 : http://www.lavasoftusa.com/products/ad_aware_free.php
- Webroot Spy Sweeper 5.5 : http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,11010914s,00.htm

Le mieux est de ne plus utiliser IE mais plutot opera...;)

Merci à tous pour vos conseils.
Je vais les suivre et voire ce que ça donne.

Le mieux est de ne plus utiliser IE mais plutot opera...


Je n'ai rien compris à ce que tu viens de dire. Je ne sais pas ce que c'est une IE????
Et opera; je ne connais que les opéras de musique classique:rolleyes:

IE >> c'est le navigateur Internet Explorer, tout comme opera, Mozilla Firefox...

Hier soir j'ai suivi vos conseils, j'ai réussi à installer une bonne version de karespersky qui m'a trouvé un cheval de trois qu'il a suprimé. J'ai aussi installé ad_aware qui n'a rien trouver pour le moment.
Mais le probleme persiste.
Enfin je vais essayer les autres spyware. Enfin tous ça prend du temps. et comme je rentre tard, j'ai pas le temps de tous appliqué. ça ne fait que retarder mon travail.:22:
la en ce moment je suis à la fac.

Merci Shizuku pour tes précisions, au faite j'ai installer mozilla mais je ne l'utilise pas car il en anglais.:22:

firefox existe bien en français , et c'est mille fois meilleur qu'internet explorer


si tu veux voila la version fr : http://www.mozilla-europe.org/fr/

tu n'as pas encore coller ton rapport hijackthis ,pour pouvoir résoudre ton probléme , ce type d'attaque est caractérisé par l'apparition soudaine de barres de recherche, du changement de la page d'accueil, ainsi que par une chute aggravée des performances de votre machine.

non j'ai pas ça, je n'ai pas eu le temps, je vais le faire ce soir ou demain. Je ne suis pas chez moi actuellement.

C'est vrai que depuis que j'ai ça c'est l'image de mon bureau qui a changé et j'ai des fenetre qui n'arrete pas de s'ouvrir qui m'envoie sur de la pub.

Donc ton IE est atteint par un hijacker . :rolleyes:

C'est juste mon IE? ou tout mon pc? OU c'est une question?:rolleyes:

les hisjackers s'attaquent au registre windows .

ainsi on modifiant une clé de registre exemple "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser " qui est une petite application tierce partie (de type "plug-in") qui, une fois installée, ajoute des fonctionnalités (désirées )ou (non cas des fenetres publicitaires) à un navigateur,.

les hisjackers s'attaquent aussi aux programmes au démarrage de Windows à en modifiant la base de registre .

:rolleyes: :rolleyes: :rolleyes:
Tout ce que tu viens de dire est pour moi du chinois.
J'y connais rien et je préfère ne rien faire de cela de peur de faire une bétise.

voila:

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:26:25, on 14/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\WINDOWS\comsysobj.exe
C:\WINDOWS\shellexcon.exe
C:\WINDOWS\win32st.exe
C:\WINDOWS\winstrse.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\s wg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [SMSERIALWORKSTARTER] "C:\WINDOWS\comsysobj.exe"
O4 - HKLM\..\Run: [SMSERIALWORKERSTART] "C:\WINDOWS\shellexcon.exe"
O4 - HKLM\..\Run: [SMSERIALSTARTER] "C:\WINDOWS\win32st.exe"
O4 - HKLM\..\Run: [SMSERIALWORKERSTARTER] "C:\WINDOWS\winstrse.exe"
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B381F3B-A099-4929-9310-0C51245B08CD}: NameServer = 192.94.8.1,80.10.246.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B381F3B-A099-4929-9310-0C51245B08CD}: NameServer = 192.94.8.1,80.10.246.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
--
End of file - 9052 bytes