Trojan wopla

Bonjour Boulepate,

J'ouvre un nouveau sujet car j'ai deux soucis : la découverte d'un trojan et encore des problèmes de session.

Spy Sweeper a découvert le troyen wopla et l'a mis en quarantaine.
http://research.spysweeper.com/search.php?serialnumber=c9sef13w&lang=en&loc=FRA&category=Trojan%20Horse&rc=5173

J'ai refait un scan avec AVG : RAS (à part les habitiuels tracking cookies).

D'autre part, j'ai un problème de session en mode normal maintenant

Ultra Back Up (l'utilitaire de sauvegarde automatique) ne lance plus les sauvegardes car il ne reconnaît pas ma session.
J'ai été entrer à nouveau utilisateur et mot de passe dans ses paramètrres mais ça n'a rien changé.

Puis je me suis aperçue que le planificateur des tâches ne les lançait plus.

Enfin, quand je fais partir l'écran de veille, au lieu de tomber sur l'écran pour entrer mon mot de passe, je me retrouve directement sur le bureau.

Bon, je n'ai visiblement plus de session... une fois que je l'ai lancée !!!

Par contre, quand je démarre l'ordi, je dois entrer mon mot de passe pour accéder à ma session

Après le "semi-mode sans échec", voilà la "semi-session"

Est-ce que ça pourrait être à la suite de Dial-a-fix ? ou le trojan serait-il responsable ?

A plus tard

Re hello Kiyaa

Peux-tu nous donner le nom exact du trojan que t'a trouvé Spy Sweeper, regarde dans la quarantaine du logiciel il y sera indiqué.

Pour le planificateur de tâches, as-tu vérifier qu'il était bien activé ?
Clic sur démarrer, exécuter, tape : services.msc
Cherche la ligne ci-dessous et vérifie qu'elle est bien sur automatique puis démarrer
- Planificateur de tâches

Je comprends pas, tu as mis un mot de passe sur ta session ? Combien as-tu de session ?

Citation :

Enfin, quand je fais partir l'écran de veille, au lieu de tomber sur l'écran pour entrer mon mot de passe, je me retrouve directement sur le bureau.

Ca c'est pas spécialement gênant, si ?

Citation :

Par contre, quand je démarre l'ordi, je dois entrer mon mot de passe pour accéder à ma session

Ca c'est plutot logique si tu as un mot de passe sur ta session, tu en as besoin pour démarrer ta session


Je pense pas que le problème vienne de Dial-a-fix, même s'il a pour fonction de rétablir des paramètres par défaut.
Dis-moi quoi pour le planificateur de tâches et le trojan wopla on verra ensuite

Hello Boulepate,

Spy Sweeper ne donne comme information que Trojan Wopla.
Et le lien que j'ai mis dans l'autre message.
Je ne trouve même pas le chemin du fichier infecté.
Tout ce que j'ai c'est le log. Je te mets ci-dessous la partie sur le scan d'hier. Je ne sais pas si ça servira.

20:18: Removal process completed. Elapsed time 00:00:01
20:18: Quarantining All Traces: weborama cookie
20:18: Quarantining All Traces: xiti cookie
20:18: Quarantining All Traces: trojan wopla
20:18: Removal process initiated
20:13: Traces Found: 6
20:13: Full Sweep has completed. Elapsed time 00:29:56
20:13: File Sweep Complete, Elapsed Time: 00:26:35
20:06: Warning: SweepDirectories: Cannot find directory "l:". This directory was not added to the list of paths to be scanned.
20:01: Warning: SweepDirectories: Cannot find directory "e:". This directory was not added to the list of paths to be scanned.
19:57: Warning: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssmsefaece60-712f-43f0-9c94-40e3527fef62.tmp". Opération réussie
19:57: Warning: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssms2b5bd0ae-9791-451c-8073-74af48393486.tmp". Opération réussie
19:57: Warning: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssmsc329a1ea-3c01-4ad3-b259-8a07a823fe53.tmp". Opération réussie
19:57: Warning: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssms1695645c-4b35-4c6d-81d7-1fdf407b9058.tmp". Opération réussie
19:57: Warning: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssms570f771a-d785-4095-8cc2-6a4745211b22.tmp". Opération réussie
19:57: Warning: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssmsb743d32c-34d7-4d00-ac9c-887c037999d4.tmp". Opération réussie
19:57: Warning: Failed to open file "c:\windows\temp\_avast4_\webshlock.txt". Opération réussie
19:57: Warning: Failed to open file "c:\program files\alwil software\avast4\setup\vpsm-8011000.vpu". Opération réussie
19:47: Access to Hosts file allowed for C:\PROGRAM FILES\GRISOFT\AVG ANTI-SPYWARE 7.5\AVGAS.EXE
19:46: Starting File Sweep
19:46: Cookie Sweep Complete, Elapsed Time: 00:00:00
19:46: C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\9tm2espi.default\cookies.txt (ID = 3658)
19:46: C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\9tm2espi.default\cookies.txt (ID = 3658)
19:46: C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\9tm2espi.default\cookies.txt (ID = 3658)
19:46: Found Spy Cookie: weborama cookie
19:46: C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\9tm2espi.default\cookies.txt (ID = 3717)
19:46: Found Spy Cookie: xiti cookie
19:46: Starting Cookie Sweep
19:46: Registry Sweep Complete, Elapsed Time:00:00:11
19:46: HKLM\system\currentcontrolset\services\poof\ (ID = 2136492)
19:46: HKLM\system\controlset001\services\poof\ (ID = 2108973)
19:46: Found Trojan Horse: trojan wopla
19:46: Starting Registry Sweep
19:46: Memory Sweep Complete, Elapsed Time: 00:03:07
19:43: Starting Memory Sweep
19:43: Start Full Sweep



Le planificateur des tâches est sur "démarré" et "automatique".

Quant aux sessions, j'en avais 2 jusqu'il y a peu.

Citation :

Ca c'est plutot logique si tu as un mot de passe sur ta session, tu en as besoin pour démarrer ta session lol!

Oui, je m'en doute un peu

Par contre, ce que je ne comprends pas, c'est pourquoi, quand je fais disparaître l'écran de veille, je ne tombe par sur la fenêtre qui me demande mon mot de passe comme d'habitude mais directement sur le bureau.

Si j'ajoute à ça que les programmes qui ont besoin de mon nom de session et de mon mot de passe ne les reconnaissent plus (ceux que je t'ai cités dans le 1er message), j'ai trouvé que ça faisait beaucoup au sujet de mon compte utilisateur.

Bon, le plus simple serait peut être de supprimer ma session.

A plus tard.

Pour SpySweeper il ne nous dit pas grand-chose

Citation :

Par contre, ce que je ne comprends pas, c'est pourquoi, quand je fais disparaître l'écran de veille, je ne tombe par sur la fenêtre qui me demande mon mot de passe comme d'habitude mais directement sur le bureau.

Regarde ici :
--> Clic sur démarrer, panneau de configuration, comptes d'utilsateurs, modifier la manière dont .. puis coche la case utiliser l'écran d'accueil


Concernant les programmes et mot de passe, supprime lune tâche planifiée d'un programme.
Change le mot de passe de ta session, recrée ta tache planifiée et vois si cela fonctionne
 

Oui, pas très bavard Spy Sweeper

J'ai refait un scan de Spy Sweeper + AVG + Ad aware + Avast = RAS

Par contre, j'ai essayé un scan anti-virus en ligne avec Kaspersky qui n'a pas démarré. Idem avec Bitdefender ("impossible de charger le scanner online"). Or, je l'avais déjà fait avec les 2.

J'ai aussi fait un scan avec Rootkit revealer qui m'a trouvé 4 objets aux dates de création assez... étonnantes

C:\Program Files\Common Files\Microsoft Shared\TriEdit\ Dhtmled.ocx 01/01/1601 08:30 128.88 KB Visible in Windows API, but not in MFT or directory index.
C:\Program Files\Common Files\Microsoft Shared\TriEdit\ Triedit.dll 01/01/1601 08:30 153.59 KB Visible in Windows API, but not in MFT or directory index.
C:\Program Files\Common Files\Microsoft Shared\TriEdit\Dhtmled.ocx 03/04/12194 21:56 128.88 KB Hidden from Windows API.
C:\Program Files\Common Files\Microsoft Shared\TriEdit\Triedit.dll 17/07/12208 11:08 153.59 KB Hidden from Windows API.


Pour la case "utiliser l'écran d'accueil", elle était déjà cochée.

Pour le changement de mot de passe et les tâches planifées, , elles démarrent
Je vais donc modifier le mot de passe dans les programmes qui l'utilisent. Si j'arrive à y accéder. Pour les tâches planifiées, au moins, c'est facile



Juste une petite question :

J'ai une IP fixe.
Or, en venant sur le site, je constate que l'IP a changé.
Est-ce à cause de la modification du mot de passe ?

Bonjour Kiyaa

Pour ce qui est des scans que tu n'as pas pu faire, vas dans ajouter/supprimer des programmes et désinstalle Kaspersky Online Scanner.
Puis essaie à nouveau si cela ne fonctionne pas, remet la configuration par défaut d'Internet Explorer


Pour ce qui est de ce que t'a trouvé Rootkit revealer il n'y a rien d'anormal, par contre e vois pas pourquoi il les détecte et encore moins la date étrange
Vivre à cette date 03/04/12194 ça devrait être cool, non ?

Concernant ton IP celan n'a rien a voir avec le mot de passe, elle t'est founi par ton fourinisseur d'accès.
Es-tu sûre d'avoir une IP fixe, car la dernière personne à m'avoir dit qu'elle avait une IP fixe, celle-ci m'a dit son ip était : 192.168.0.2 en effet c'est pas une IP à proprement parlé.

Pour vérifier ton ip, fais ceci :
Clic sur démarrer, exécuter, tape : cmd
Une fenêtre DOS va s'ouvrir, entre ce qui est ci-dessous et valide par entrée
ipconfig

Si tu veux plus d'informations tu peux aussi faire
ipconfig /all


Je crosi sérieusement que ton Windows a du plomb dans l'aile, à quand une réinstallation propre ?
Mieux vaut prévenir que ..

Désolé du retard, j'ai oublié plein de monde

Bonjour Boulepate,

Contente de te retrouver

Pas grave pour le retard, il n'y avait rien d'urgent.

Pour les scans en ligne :
- pour Bitdefender, après avoir réglé le niveau de sécurité d'IE7 sur moyen, il s'est lancé : RAS
- pour Kaspersky: j'avais entretemps désinstallé Kaspersky online scanner; je l'ai relancé. Sans succès. Le module s'installe, la base virale se charge et puis plus rien.

Pour l'IP: non, non, c'est bien l'IP, celle qui figure sous l'onglet "support" de la fenêtre de l' "état de connexion au réseau local". En plus, je la vois chaque fois que je viens sur le site. Pas de doute, elle était fixe. Sauf que maintenant, elle change .

En faisant ipconfig, je trouve la même chose que dans la fenêtre de connexion au réseau local.
Par contre, sous ipconfig/all, il y a :
Bail obtenu : mercredi 16 janvier 2008
Bail expirant : jeudi 17 janvier 2008

Avec le câble, on a bien une IP fixe ?

Pour la réinstallation de Windows, je vais attendre les vacances de février

Je ne l'ai jamais installé moi-même et je crains d'avoir un problème.
Et j'ai trop besoin de l'ordi pour le boulot.

Pour l'instant, ça va bien : pas de plantages, tous les scans clean, depuis le changement de mot de passe plus de problème de lancement de programmes.
Quant à l'explorateur de Windows, je suis ravie de l'avoir délaissé au profit de Free commander ! Quel gain de temps !

En 12194, on risquerait d'être dépaysé
Il y a aussi un dossier de 1601 : au moins là on sait à quoi s'attendre

A

Je viens de lancer à nouveau Kaspersky online.
C'est parti ce coup-ci.

A +

Coucou Kiyaa

Alors Kaspersky, quel a été sa sentence ?

Non tu n'es pas obligé d'avoir un IP fixe quand tu es connecté via le câble. Enfin, cela ne change pas grand-chose, quoi que c'est un peu mieux d'avoir un IP changeante cela apporte un peu plus de sécurité vis-à-vis d'un probable pirate qui pourrait vite s'amuser avec une IP fixe.

Pour installer Windows tout dépend si tu as ton CD XP, la réparation va être simple.
Plus d'infos ICI

Quant à moi FreeComander, j'lai oublié mais vieilles habitudes font que .. enfin peut-être qu'un jour je le réinstallerai

A plus tard ++

Hello Boulepate,

Sentence de Kaspersky : relaxe de l'ordi
RAS pour tous les disques.

Pour l'IP, merci pour l'info. Je ne m'inquièterai plus si elle change. Là, ça fait quelques jours qu'elle est fixe.

Pour XP, oui j'ai le CD. J'avais déjà parcouru ton tuto sur la réparation d' XP. Et il me servira bien quand je le m'occuperai de lui

Pour Free Commander, si je suis si séduite c'est que je le trouve bien plus pratique que l'Explorateur.
On a un accès direct, par liste déroulante, aux icônes du bureau, au panneau de configuration, au menu Démarrer et à tous les programmes, à la gestion de l'ordinateur, au dossier système, à tous les volumes, à la corbeille, aux fichiers/dossiers cachés et ça, sans jamais changer de fenêtre.

En plus, on peut afficher la taille des dossiers, ouvrir une fenêtre de commande DOS, afficher une ou 2 fenêtres en même temps , visualiser dans une fenêtre les images, vidéos ou écouter les fichiers son de l'autre fenêtre, créer des favoris, ajouter des onglets aux fenêtres, rechercher des fichiers (y compris par extension), compresser/décompresser les archives, fractionner les gros fichiers, remonter d'un clic à la racine des volumes..... toujours dans la même fenêtre.
D'où mon enthousiasme

En tout cas, je voulais te dire que l'ordi fonctionne très bien : ni plantages, ni re-boots (ce qui arrivait parfois), memoire pas encombrée, ventilation plus calme... Bref, il "tourne" bien.
Grâce à ce que tu m'as fait faire, notamment pour le débarasser de ce qui était inutile ou obsolète.



Je ne suis pas retournée en MSE, cependant
Disons que je le ferai quand ça sera nécessaire

Une petite question : à quoi sert msicpl.sys, est-ce utile ?

A ++

Bon bah tout va bien alors, enfin presque, vaut mieux pas jouer à la roulette russe avec le mode sans échec

Concernant msicpl.sys, si il se trouve bien à cet endroit c:\ windows\ system32\ drivers\ msicpl.sys cela n'a rien d'alarmant. Si il est situé ailleur il faudrait le faire analyser chez Virustotal comme tu as déjà fait afin de vérifier sa légitimité

Si l'ordi va mieux en général, alors tant mieux. Il sera en forme quand il aura subit une réparation

N'hésite pas en cas de problème A++