Trojan Tosoo & Fantibag A

AgnesD · **Publié:** Jeu 22 Sep 2005 - 06:11

Regarde l0...

http://www.symantec.com/region/fr/techs ... o_man.html

C'est le manuel de ton norton (Norton Internet Security 2004 Professional)

Je pense que c'est celui ci

pages 80 il y a des trucs sur le mot de passe et commen t le réinitialiser....cela peut peut être t'aider.

A+

Richard · **Publié:** Jeu 22 Sep 2005 - 09:04

Bonjour,

Merci pour le lien Symantec. Il se confirme que le problème vient des accès. Il y a trois types de comptes Norton (superviseur, standard et restreint) et en plus il y a un rapport avec le type de compte utilisé dans Windows. Manifestement il me manque quelque chose dans la fenêtre d'ouverture de Norton, une commande qui permet d'accéder aux comptes d'utilisateurs, de les modifier et de gérer tout cela. Je vois cette commande sur les exemples de l'aide mais pas sur ma fenêtre Norton.

D'autre part l'aide dit que si on se connecte à Windows par un compte il faut se connecter à Norton par le même compte. Comme d'habitude je comprends la logique imparable de cette affirmation mais je n'ai pas la moindre idée de ce qu'il faut faire pour la mettre en pratique.

Conclusion : soit j'ai mal réinstallé Norton, soit mon statut d'utilisateur restreint m'empêche lui-même d'en sortir, soit il y a une équivalence que je n'ai pas su établir entre Norton et Windows.

AgnesD · **Publié:** Jeu 22 Sep 2005 - 09:13

oui c'est toujours imparable ...

As tu une seule session sur cet ordi ?

Il te faut agir de la session ou compte Administrateur mais j'imagine que c'est ce que tu fait...

On va trouver autre chose.

(sinon il y a la solution de Florian de tout reprendre...

mais là assure toi que ton windows est bien légal et enregistré car certains programmes a telecharger nécéssitent cela. :!:

)

Au niveau de tes bestioles ? cela est il fini ?

et arrive tu a te conneter pour relever ton courrier ?

tiens nous au courant.

Richard · **Publié:** Jeu 22 Sep 2005 - 15:06

Bonjour,

C'est de pire en pire. Comme la protection est défaillante il m'en est arrivé un autre que Norton ne peut pas supprimer : Trojan Fantibag A, infectant notamment Windows\Firewall_anti.exe.dll. En outre aujourd'hui je ne peux pas me servir d'un autre Pc que le mien.

J'ai fait toutes les sauvegardes de données nécessaires en prévision d'un formatage de disque dur. Donc si vous n'entendez plus parler de moi pendant quelque temps ne lancez pas les recherches, c'est que je serai en réinstallation générale !...

La messagerie ne fonctionne pas, bien entendu.

On s'amuse comme des fous. C'est génial.

Il ne me manque plus que la panne de voiture et tour de reins...

Un café, deux glaçons et au lit !

Je vais peut-être envoyer un scan Hijack si tu veux jeter un coup d'oeil dessus.

Il n'y a rien d'autre que Norton pour se protéger ?

Allez, bon courage à vous.

Richard · **Publié:** Jeu 22 Sep 2005 - 15:17

Voilà le scan Hijack, tout chaud, à tout hasard. Au stade où on en est, ça ne peut pas nuire :

Logfile of HijackThis v1.99.1

Scan saved at 16:13:00, on 22.09.2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\SMSC\Seticon.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ASUS\Probe\AsusProb.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security Professional\UrlLstCk.exe

O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6B755CD9-BCC1-430A-9962-66EB87498824}: NameServer = 212.151.136.242,130.244.127.170

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

AgnesD · **Publié:** Jeu 22 Sep 2005 - 15:24

On est la.

Bon fantibag A tu l'avais deja c'est ramené par Tosso.

La en quatre secondes sur hijack je ne le vois pas.

je dois partir un moment et je repasse.

regarde sur le site si tu trouves un firewall et un antivirus,

sinon prépare pour effectuer la manip de Florian.

je regarde mieux si personne l'a fait au retour

mais pas besoin de paniquer....

:wink:

A+

Guardian · **Inscrit le:** Mer 7 Sep 2005 - 09:53 **Messages:** 1358

Faudrait déjà envisager les updates :wink:

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Richard · **Publié:** Jeu 22 Sep 2005 - 18:22

C'est gentil de continuer à m'aider mais il va y a voir du boulot, s'agissant des explications...

Je reprends les instructions de Florian et j'y ajoute des commentaires pour lui donner une idée de mon niveau de connaissances, afin qu'il voie jusqu'où il doit descendre pour que je le comprenne (!) :

1 - TUE LES PROCESSUS SUIVANT AVANT LA DESINSTALATION : SAVSCAN.EXE - NAVAPSCV.EXE - CCSETMGR.EXE - CCEVTMGR .EXE - CCAPP.EXE

Résultat : Aucun trouvé. (En fait j'ai cherché après désinstallation de Norton).

Commentaire : "Tuer les processus" je ne savais pas ce que c'était. On m'a expliqué que ça se passait dans le gestionnaire des tâches, accessible au clic droit sur la barre des tâches. A partir de là j'ai pu regarder, sinon je m'apprêtais à chercher sous C et à supprimer. (Eh oui...)

2 - utiliser ensuite le fichier reg pour desinstaler que tu peux trouver sur mon site

http://pchelpbordeaux.free.fr/SUPPRIMEN ... IR2004.reg

Résultat : FAIT

Commentaire : pareil. Après l'avoir fait avec une petite assistance locale, j'ai compris. Pour être sûr, il aurait fallu me dire : tu enregistres sur le bureau et ensuite tu fais tourner. Sinon c'est impeccable. Bravo et merci.

si tu es sous firefox tu fais un copier commer sur le fichier

tu enregistre tout cela dans un fichier TEXTE que tu RENOMMES EN REG

Résultat : ce n'est pas le cas (mais là encore, je ne sais pas ce que c'est Firefox et le reste non plus)

3 - apres tu fais une recherche sur tous les noms comportant SYMANTEC ET NORTON DANS TON PC ET tu supprimes tout ce que tu trouves

Résultat : 8 Symantec refusent la suppression ? Norton : Bon

4 - de meme quand dans ajout suppression dans le panneau de config

Résultat : il n'y en avait plus.

5 - une fois que tu as fais cela tu penses a reinstaller le moteur de script de microsoft

http://pchelpbordeaux.free.fr/scriptfr.exe

ou en allant directement ici

http://www.microsoft.com/downloads/deta ... laylang=fr

Résultat : c'est bon.

Voilà. A part les 8 Symantec qui refusent la suppression, tout a l'air bon.

Guardian · **Inscrit le:** Mer 7 Sep 2005 - 09:53 **Messages:** 1358

Comme quoi il n'est pas indispensable d'être informaticien pour bosser sur un PC, mais ça aide :wink:

Quand tu as un doute tu demandes.

Je penses que nous "souffrons" tous plus ou moins du même problème : quand nous parlons de notre boulot ou de notre passion tout nous est tellement évident qu'il ne nous vient même pas à l'esprit qu'on puisse ne pas savoir. Certaines choses sont tellement "acquises" qu'elles en deviennent trop évidentes pour qu'on pense à les expliquer.

Tuer un process, FireFox, mode texte, mode sans échec... le B A Ba... mais que beaucoup n'ont pas encore acquis, ce qui est tout à fait normal rassure-toi, mais qu'il est parfois bon de rappeler.

À notre décharge, il faut quand même dire que nous ne saurions tout expliquer et que certains choix sont faits en fonction de ce qui nous semble pouvoir être connu. Et c'est là qu'on se trompe :lol:

Richard · **Publié:** Jeu 22 Sep 2005 - 20:08

Oui, merci de le comprendre. La question est de savoir jusqu'à quel niveau d'utilisateur vous êtes prêts à consentir de descendre pour apporter votre aide !.. Comme je disais un jour à Agnès je suis venu à l'informatique par le traitement de texte. Il y a des manipulations qui ne me posent pas de problèmes. Un peu l'image aussi. Mais tout ce qui est installation de programmes, base de registre etc., j'y vais t r è s doucement.

Tiens, une bonne nouvelle. J'ai retrouvé ma connexion Outlook Express ! En relançant l'assistant de configuration. D'abord je n'avais plus rien (Internet non plus, plus de connexion, plus de forum XP Net..) et après un nouvel essai j'ai retrouvé l'usage intégral de ma messagerie. Le problème c'est que je ne sais même pas comment ! A force de bidouiller...

Donc il reste apparemment une infection toujours présente et je n'ai plus de protection (à part le pare-feu Windows) puisque Norton est désinstallé.

AgnesD · **Publié:** Jeu 22 Sep 2005 - 20:20

je dirais met desuite ou norton (c'est pas une blague ) ou en gratuit je dirais avast antivir ou avg car faut pas rester sans ....

+

Parefeu sygate ou kerio

+ comme te le disais Guardian il y windows update et aussi le sp2......

En antivirus j'ai avast mais certains ne l'aiment pas de toutres façon....c'est dur de décider par contre aucun ne te donnera pas toutes les possibilitées de norton (anti spam et autres ....) mais tu peux compléter avec d'autres petits logiciels efficaces.

La on pourra te conseiller

firefoxest un navigateur comme Internet explorer...mais beaucoup moins sensible aux "parasites"

tu peux l'installer en supplémént.Il est super.

allez bon courage

tout va s'arranger

Richard · **Publié:** Jeu 22 Sep 2005 - 20:36

Bien reçu. Merci. Je peux tenter une réinstallation de Norton.

Et pour l'indésirable restant, qu'est-ce qu'on fait ?

AgnesD · **Publié:** Jeu 22 Sep 2005 - 20:51

Bon sais tu son nom exact ? si c'est fantibag A et sans antivirus.... :roll:

la ligne dans hijakthis devrait être

O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe

et son fichier C:\WINDOWS\firewall_anti.exe

mais je ne l'ai pas vue dans ton dernier rapport...donc vois si tu la trouve...

sinon on verra demain ou avec un scan en ligne

met ton windows a jour ton firewall et antivirus le reste pourra attendre a demain ;-)

faut pas non plus se biler si tout le reste remarche c'est déja bien....protége le et ensuite on finira le nettoyage.

bonne soirée a toi

A+

Richard · **Publié:** Jeu 22 Sep 2005 - 21:30

L'installation de Norton est réussie, cette fois.

Je pense que précédemment le nettoyage des résidus de désinstallation était incomplet. Merci à Florian pour sa fourniture de précieux outils de nettoyage dans les coins. Nickel !

Merci Guardian. Et merci à l'infatigable Agnès qui ne se décourage jamais.

Il me reste à faire le scan Norton mais j'ai préféré d'abord signaler l'installation réussie car Norton met un bon quart d'heure.

Bonne fin de soirée à tous, et probablement à demain.

AgnesD · **Publié:** Jeu 22 Sep 2005 - 21:37

je t'avais dit que tu regretterais pas de passer nous voir.....

par contre quand on aura fini de nettoyer.....

Tu passera au rayon prévention :wink:

car franchement vaut mieux prévenir...

merci pour tous.

bonne nuit.

Forum XP.Net -Sécurité Informatique-

Trojan Tosoo & Fantibag A

Qui est en ligne ?