Problème trojan, spyware ou dialer ?!?

Bonjour tout le monde,

Je vous explique mon probleme : depuis une semaine maintenant, un programme parasyte (spyware, trojan, ??) est installé sur mon système. Cela suite à un téléchargement 'obscure'...
Concrètement, de manière aléatoire mais très régulière : tout les 15-20 sec j'ai une nouvelle fenêtre Internet de pub qui s'ouvre
Un des symptomes est que la plupart de ces pages internet à pour icône un damier noir & blanc.
J'ai essayer avec firewall (kerio), Kaspersky antivirus, Avast!, plusieurs tests en ligne... rien n'y fait Seul un des tests online n'a parlé brièvement de win32.canbede : un trojan qui correspondrait à mes symptomes. Problème je ne trouve aucun des fichiers caractéristique, ni les anti-virus

L'une de mes grosses erreurs : je n'avais pas d'anti virus sur le moment de l'infection !

HELP

Ma config : WinXP SP2 ; ADSL2+ ; XP 3500+ ; toute neuve...

merci par avance, ça devient TRES agaçant.
Bonne journée.

PS : J'ai effectué aussi un scan avec HijackThis : après analyse il n'y aurait rien d'anormal.

salut
va dans demarrer>executer
et tape "msconfig" puis entrée

Dans la fenetre qui se lance(utilitaire de configuration systeme) va sur l'onglet Démarrage

Fais une copie écran et poste la ici, ou alors recopie les lignes ici(les deux premieres colonnes suffiront dans un premier temps)

apres on va voir ce qui est faisable )


D'ailleurs, avis aux experts de ce forum, connaissez vous un moyen d'exporter la listre de ce quise lance audemarage dans un fichier texte? je n'aijamais trouvé cela

merci

kalaghan

VirusTraQ ID: VTQ10260
Niveau de menace: Faible

Catégorie: Cheval de Troie
Type: Porte dérobée (Backdoor)

Alias: Win32.Canbede.A
Win32.Canbede.B
Win32.Canbede.C
Win32.Canbede.D
Win32/Candebe!Trojan
Win32.Startpage.JG
Win32.Startpage.KF
Win32.Startpage.MO
Win32.Startpage.MV
Win32.Startpage.MW
Win32.Startpage.MZ
Win32.Startpage.NF
Win32.Startpage.NI

Origine: Inconnue
Plateforme(s) affectée(s): Windows (Toutes versions)

Description:

Canbede est un cheval de Troie fonctionnant comme une porte dérobée polymorphique.
Désinfection
http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe
ou
http://www.bleepingcomputer.com/files/reg/smitfraud.reg

Avant cela procédez à ce qui suit:
Vider le cache d'Internet Explorer et supprimer les cookies:

* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et cocher la case "Supprimer tout le contenu hors connexion"
Valider avec ok


Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux les désinstaller provisoirement:

� Désactiver la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
cliquer sur ok pour valider
(accepter le redemarrage).

� Redémarrer en mode sans échec
Laisser passer l'écran du bios, puis appuyez sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisissez le mode sans échec dans les options et validez avec entrée.

� Rendre visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
cliquez sur ok pour valider


.

Bonjour,

Merci pour ce remède, je vais le tester tout de suite !
Cependant, il semblerait que lors de mon intervention d'urgence j'ai quand même réussi à élliminer le problème du trojan.
Il me reste un spyware...

La copie d'écran de l'onglet Démarage :


Je pense que le log HijackThis sera plus utile, à la ligne O20 - Winlogon :

Logfile of HijackThis v1.99.1
Scan saved at 00:36:39, on 26/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\Mes Programmes\Process Explorer\procexp.exe
E:\Mes Programmes\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Startup: NETGEAR WG311v3 Wireless Assistant.lnk = D:\Program Files\NETGEAR\WG311v3\wlancfg5.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - D:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: policies - C:\WINDOWS\system32\mv60l9jm1.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe


En passant l'excellent soft ewido sur mon système, il apparait que le spyware Look2me me parasyte !

J'ai essayé le mode sans échec, différentes manip', rien n'y fait...

Quelqu'un aurait une dernière idée ??

Merci pour ce que vous avez déjà fait.

J'ai trouvé cette adresse sur un autre forum (http://forum.zebulon.fr/lofiversion/index.php/t67843.html)
Ca devrait te plaire...

http://www.pchell.com/support/look2me.shtml

Ce lien t'amène au téléchargement d'un désinstalleur de look2me

Bonne chance

Kalaghan

Merci beaucoup pour toutes les infos depuis le début :
Je vais aller voir tout ça
Bonne soirée

PS : Saloperie de Look2me ##!!(2'(-"*¤$*¤