x

Virus ou spyware?

 
24/08/2006 10:28 #1
Bonjour,
je suis en proie à un logiciel malveillant
virus ou spyware, je ne sais pas trop, je ne suis pas assez expert pour dire.
Voilà ce qu'il arrive à mon PC (fonctionnant avec XP, sachant que j'ai Avast et Kerio en firewall).
Il démarre relativement bien et semble tout à fait normal, sauf que dans le systray, l'icone d'avast est barré par un petit trait rouge, comme lorsque l'antivirus est désactivé, l'icone de Kerio, elle, semble normale.
Cependant lorsque la souris s'approche d'une de ces icones, hop, disparition.
Je ouvre le task manager, les lignes d'execution des programmes avast et kerio sont écrites et semblent fonctionner.
J'ouvre le poste de travail, il se referme aussitôt.
J'ouvre le dossier "mes documents", tout va bien, le dossier "mes photos", tout va bien.
Mais j'essaie d'ouvrir le dossier "Avast" ou "Kerio", et hop le dossier se referme.
Dans le task manager, une ligne me semble bizarre, "javanet.exe", je décide de terminer son processus.
ET là, les dossiers "avast" et kerio" s'ouvrent normalement et le poste de travail aussi. Les icones avast et Kerio, elles, ne sont pas revenues.
Je lance un scan par avast, il ne trouve rien.
Je lance ADware, il se met à jour, il scanne tout le PC, trouve quelques trucs de dangerosité moyenne, je les met en quarantaine. Je les supprime un peu plus tard.
Le PC semble marcher tout à fait normalement, juste un poil plus lent que d'habitude.
Je vais dans le panneau de désinstallation, pas de programme particulier installé à mon insu.
Pour essayer de récupérer mes icones, je redémarre, et blam, rebelote!
javanet.exe est revenu et tout est comme décrit ci dessus.
Je restoppe la ligne javanet.exe et j'essaie donc un lien, trouvé sur un forum, qui me mène sur le site "Panda Software" et qui doit faire un scan du PC.
Le scan se lance et, arrivé à la moitié, un message apparait comme quoi la connection internet ne fonctionne plus, la fenêtre du scan est passée automatiquement en "travail hors connexion".
Pourtant dans une autre fenêtre de mon navigateur, les sites google, yahoo et bien d'autres s'affichent normalement.

J'ai lu sur un forum que ça pourrait être un logiciel publicitaire.
Comment m'en débarrassez et quels logiciels "antispywares" me conseillez vous, pour éviter que cela se reproduise?
Pourrait ce venir d'un virus car il y a quelques temps, environ 2 semaines, avast avait trouvé un virus de type "trojan", mais il a été mis en quarataine et supprimer depuis.

Laurent.

Laurent
LA
anonyme
Groupe :
Visiteur
Annonce
Publicité
anonyme
24/08/2006 12:45 #2
Ton logiciel espion se charge en effet de fermer tes programmes antivirus. Pour les explications, du coté de chez Sophos:
http://www.sophos.fr/security/analyses/w32vanebota.html

Pour l'éradiquer il te faut Hijackthis (dans les Dl du site) et au scan, cochez les lignes suivantes:
C:\WINDOWS\System32\javanet.exe
F2 - REG:system.ini: Shell=Explorer.exe javanet.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,javanet.exe
O4 - HKLM\..\Run: [funk] funk.exe
O4 - HKLM\..\RunServices: [MS Java for Windows XP & NT] javanet.exe
O4 - HKCU\..\RunServices: [MS Java for Windows XP & NT] javanet.exe

Ne pas oublier bien su de désactiver la restauration système, restauration que tu réactiveras au prochain redémarrage si tout c'est bien passé.

Comme dirai mon voisin: pu###n de virus smiley

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
14750
24/08/2006 19:03 #3
Re bonjour,

J'ai suivi vos instructions à la lettre. Le seul petit truc
c'est que sur les 6 lignes que vous aviez notées, une seule n'apparaissaient pas.
celle-ci:
O4 - HKLM\..\Run: [funk] funk.exe

mais à la place, j'avais:
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe

Avec "spyware search" (le lien du tutorial)
j'ai vu que cette ligne était à supprimer.

J'ai suivi votre tutorial jusqu'au bout.
Et là je viens de redémarrer le PC, impeccable!
Les icones Avast et Kerio ne disparaissent plus, le poste de travail est de nouveau accessible.

Merci de votre aide et de vos explications, vous m'avez évité un formatage complet, ou il faut retrouver les CD des drivers et des logiciels,
bref, encore merci.

Laurent.

DashD219
Tsonaute
membre
Inscrit
24/08/2006 09:24
Groupe :
Tsonaute confirmé
Messages
11
24/08/2006 20:27 #4
pas de problèmes, content que cela fonctionne de nouveau et il n'y a pas à dire, ils font chier ces m###es de virus et autres saloperies smiley

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
14750
 
Publicité
Vous avez trouvé cette réponse utile ? Partagez-la !