spyware ?

spyware ? - Sécurité - Windows & Software

Marsh Posté le 05-01-2005 à 16:02:50    

Bonjour à tous,
 
Je suis sous XP Pro, et toutes les minutes apparaît le message "Backwe~1 a rencontré un problème et doit fermer". En cliquant pour avoir plus de détails, j'ai ça:
szAppName : szAppVer : 0.0.0.0 szModName : fsbwce.dll
szModVer : 6.22.301.0 offset : 0001f6ff
 
j'ai désinstallé / réinstallé Backweb (c'est un pack de Securitoo de Wanadoo, machine de boulot) mais le problème est toujours là.
 
J'ai lancé un Adaware + un Spybot: quelques entrées ont été trouvées, corrigées mais le problème est toujours là. J'ai activé le logiciel qui veille (Teatimer) mais il est désactivé au démarrage de l'ordinateur.
 
Lorsque je lance aussi pour la première fois Firefox, Emule ou Outlook (donc tout ce qui se connecte à Internet), j'ai le même message comme quoi le programme a du fermer etc...
 
Je suis sûr d'avoir un cheval de Troie, un Trojan ou un truc comme ça, mais je n'arrive pas à le débusquer. Qui peut m'aider ? Merci !!!
 
Jérôme

Reply

Marsh Posté le 05-01-2005 à 16:02:50   

Reply

Marsh Posté le 05-01-2005 à 17:17:01    

et avec hijack ?

Reply

Marsh Posté le 05-01-2005 à 17:35:44    

capito a écrit :

et avec hijack ?


 
Eh bien, voici mon log, fait en mode sans échec, si quelqu'un pouvait me donner son avis:
 
Logfile of HijackThis v1.99.0
Scan saved at 16:09:56, on 05/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
O:\DACC\Informatique DACC\AdAware Spybot Hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = AICD.local
O17 - HKLM\Software\..\Telephony: DomainName = AICD.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{8874EC22-0A85-41FA-99D9-657B3986AAA3}: NameServer = 192.168.1.100,193.252.19.3,193.252.19.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = AICD.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = AICD.local
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Securitoo AntiVirus - Unknown - C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service - F-Secure Corporation - C:\Program Files\F-Secure\fswsclds.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

Reply

Marsh Posté le 05-01-2005 à 18:11:41    

bah... tout me semble correct... t'as quoi comme antivirus ? essaie un scan en ligne je me renseigne

Reply

Marsh Posté le 05-01-2005 à 18:13:29    

capito a écrit :

bah... tout me semble correct... t'as quoi comme antivirus ? essaie un scan en ligne je me renseigne


 
Securitoo antivirus (pack de Wanadoo contenant Securitoo et Backweb qui m'affiche les messages d'erreur)

Reply

Marsh Posté le 05-01-2005 à 18:26:55    

je veux pas te faire faire d'erreur mais regarde le post sur ce forum. je pense que tu dois virer cette ligne avec hijackthis :
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

Reply

Marsh Posté le 05-01-2005 à 18:27:26    

Reply

Marsh Posté le 05-01-2005 à 18:28:56    

sur un autre forum voila ce que marque un forumeur :
 
Bijour, tt le monde :  
 
 
Moi j'ai trouver la solution, quand j'ai fait une recherche dans la base de registre en tapant DUMPREP 0-k , il ma redirigé vers la racime GOOGLE TOOLBAR , donc je me suis mis a desinstaller tt ce qui trainer dans le registe de l'appartenence de google et le desinstaller par son UNINSTALL , maintenant tt roule comme sur des roulettes :::...j'espere que je vous ai quand meme aider :::
 
 
PS::: j'ai que 13 ans et je suis deja un balaise de l'informatique ...lol bon mantenant vous aller me donner combien de soux pour cette fameuse reponse ...?,,?,?,?,,? bon aller repondez si ca fait de meme avec vous ..++

Reply

Marsh Posté le 05-01-2005 à 18:55:28    

up ( ca en ou ton histoire ? )

Reply

Marsh Posté le 05-01-2005 à 19:29:28    

capito a écrit :

sur un autre forum voila ce que marque un forumeur :
 
Bijour, tt le monde :  
 
 
Moi j'ai trouver la solution, quand j'ai fait une recherche dans la base de registre en tapant DUMPREP 0-k , il ma redirigé vers la racime GOOGLE TOOLBAR , donc je me suis mis a desinstaller tt ce qui trainer dans le registe de l'appartenence de google et le desinstaller par son UNINSTALL , maintenant tt roule comme sur des roulettes :::...j'espere que je vous ai quand meme aider :::
 
 
PS::: j'ai que 13 ans et je suis deja un balaise de l'informatique ...lol bon mantenant vous aller me donner combien de soux pour cette fameuse reponse ...?,,?,?,?,,? bon aller repondez si ca fait de meme avec vous ..++


 
Encore des progrès à faire, le petit..
 
http://www.liutilities.com/product [...] y/dumprep/

Reply

Marsh Posté le 05-01-2005 à 19:29:28   

Reply

Marsh Posté le 05-01-2005 à 22:42:39    

L'idéal serait de faire un log en mode normal et non pas en mode sans échec

Reply

Marsh Posté le 06-01-2005 à 09:43:36    

JLDo a écrit :

L'idéal serait de faire un log en mode normal et non pas en mode sans échec


 
 
Bon, je laisse tomber pour le dump...
 
Voici le log en mode normal:
 
Logfile of HijackThis v1.99.0
Scan saved at 09:43:55, on 06/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\eMule.42e.2.2.o2.bin\emule.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
O:\DACC\Informatique DACC\AdAware Spybot Hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = AICD.local
O17 - HKLM\Software\..\Telephony: DomainName = AICD.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{8874EC22-0A85-41FA-99D9-657B3986AAA3}: NameServer = 192.168.1.100,193.252.19.3,193.252.19.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = AICD.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = AICD.local
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Securitoo AntiVirus - Unknown - C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service - F-Secure Corporation - C:\Program Files\F-Secure\fswsclds.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

Reply

Marsh Posté le 06-01-2005 à 11:55:48    

hello jerome_dje,
 
bon, je suis pas super calé mais si on fait une analyse de ton log ( que tu as du faire je suppose ) sur le site hijack il dit que :
 
    O23 - Service: F-Secure Windows Security Center Legacy Detection Service - F-Secure Corporation - C:\Program Files\F-Secure\fswsclds.exe
 
serait un malware déguisé , g fait une recherche sur google y'a rien sur ce .exe.  
 
il doit s'installer à chaque démarrage... mais je vais continuer à faire des recherches un peu plus approfondies...

Reply

Marsh Posté le 06-01-2005 à 11:57:16    

je voulais dire y'a rien de bien méchant sur ce .exe

Reply

Marsh Posté le 06-01-2005 à 18:37:35    

Quand on utilise ça
C:\Program Files\eMule.42e.2.2.o2.bin\emule.exe
faut s'attendre à avoir des soucis assez rapidement!
 
fswsclds.exe n'est pas dangereux
Tout le reste semble correcte.

Reply

Marsh Posté le 07-01-2005 à 12:52:29    

JLDo a écrit :

Quand on utilise ça
C:\Program Files\eMule.42e.2.2.o2.bin\emule.exe
faut s'attendre à avoir des soucis assez rapidement!
 
fswsclds.exe n'est pas dangereux
Tout le reste semble correcte.


 
 
J'utilise pourtant Emule depuis plus d'un an et je n'ai jamais eu de souci (je sais qu'on peut dire "bah t'as eu de la chance" ) mais je ne pense pas que le souci vienne de là. Je suis allé sur un site un jour pour trouver un crack, le site m'a affiché des messages pour télécharger un Dialer ou d'autres trucs comme ça, chose que j'ai refusée et je me suis déconnecté du site, du coup. Les problèmes sont apparus un petit peu après, c'est pourquoi je suis quasi sûr que le souci ne vient pas d'Emule mais bien d'un site Internet.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed