> Tous les forums > Forum Sécurité
 Analyse rapport HiJackThis suite à infectionSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
BillySnipes
  Posté le 13/07/2008 @ 18:02 
Aller en bas de la page 
Nouvel astucien

Bonjour à tous et merci d'avance à tous ceux qui pourront m'aider dans mon problème.

Avant hier, j'ai lancé un éxécutable que je venais de récupérer via le net et dont l'origine était pour le moins douteuse. Cependant, un scan de mon antivirus et de mon anti-spyware n'ont rien donné (j'utilise avast (et depuis 3 jours, j'ai lu pas mal de choses désagréables sur ce logiciel) et spybot).

Résultat des courses, un PC tout infesté en environ 2 secondes et demi... Symptomes : des fenêtres qui s'ouvrent, mes barres de navigateur (firefox 3.0) toutes chamboulées, la portection active de spybot qui n'arrête pas de me dire que des clés registre sont modifiées, tout ca, tout ca... Sans compter les messages d'erreurs de fichiers manquant ainsi que des ralentissements monstrueux (plus d'une minute pour ouvrir une fenêtre de firefox).

J'ai fait divers scans, de nombreuses choses ont été enlevées, ça va un peu mieux, mais il reste des merdes, comme me l'a prouvé l'analyse gratuite fournie par prevx (il a trouvé un malware efcdtmev.dll), sachant qu'ilme faudrait alors payer pour nettoyer le PC.

Dans msconfig, j'ai deux petis trucs qui me chagrinent, à savoir, un élément de démarrage cmds (qui pointe vers la localisation du fichier coté ci-dessus que je n'arrive pas à supprimer :(), et un autre 427a191d qui pointe vers le fichier gapjgfls.dll situé au même endroit (dans mes fichiers temporaires)

Voici mon scan HiJackThis (c'est la première fois que j'utilise ce logiciel) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:02, on 13/07/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\BisonCam\BisonHK.exe
C:\Windows\BisonCam\BsMnt.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\eMule\emule.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\UltraMon\UltraMon.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\Sun\StarOffice 8\program\soffice.exe
C:\Program Files\Sun\StarOffice 8\program\soffice.BIN
C:\Windows\system32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\conime.exe
C:\Windows\explorer.exe
C:\Program Files\PrevxCSI\prevxcsi.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini15.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [BisonHK] C:\Windows\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [BsMnt] C:\Windows\BisonCam\BsMnt.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Steam] "d:\jeux\steam\steam.exe" -silent
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\BILLYS~1\AppData\Local\Temp\efcDTMEv.dll,c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [427a191d] rundll32.exe "C:\Users\BILLYS~1\AppData\Local\Temp\gapjgfls.dll",b
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Chatzilla.lnk = C:\Program Files\Mozilla Firefox\firefox.exe
O4 - Startup: StarOffice 8.lnk = C:\Program Files\Sun\StarOffice 8\program\quickstart.exe
O4 - Global Startup: UltraMon.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F450D0DF-B1AD-4D01-A9EC-A799A92C896C}: NameServer = 192.168.1.1
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\PrevxCSI\prevxcsi.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 8153 bytes

Je retrouve les deux merdes dont je parle plus haut, ainsi qu'un autre truc que je ne sais pas ce que c'est.

J'ai mis en souligné rouge dans le rapport ce que je trouve "douteux", mais il y a peut-être d'autres trucs ^^

Merci de toute l'aide que vous pourrez m'apporter :)

Publicité
BillySnipes
 Posté le 13/07/2008 à 18:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

C'est encore moi... ^^

J'ai coché dans HiJackThis les 2 lignes les plus "mauvaises" (la 2ème et 3ème souligné dans le rapport de mon message précédent) et j'ai "fix checked".

Après nouvelle analyse, l'une des deux menaces a bien disparue, je ne la retrouve ni dans msconfig, ni dans le rapport HJT, et le fichier a bel et bien été supprimé (ca me mettait qu'il était en cours d'éxécution et que je ne pouvais pas).
Cependant, le fichier efcDTMEv.dll est toujours présent sur mon ordi (associé à l'élément de démarrage cmds dans msconfig) et HJT ne semble pas avoir réussi à supprimer cette menace.

Voici le nouveau rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:07:18, on 13/07/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\BisonCam\BisonHK.exe
C:\Windows\BisonCam\BsMnt.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\UltraMon\UltraMon.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\Sun\StarOffice 8\program\soffice.exe
C:\Program Files\Sun\StarOffice 8\program\soffice.BIN
C:\Windows\system32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\conime.exe
C:\Windows\explorer.exe
C:\Program Files\PrevxCSI\prevxcsi.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini15.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [BisonHK] C:\Windows\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [BsMnt] C:\Windows\BisonCam\BsMnt.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Steam] "d:\jeux\steam\steam.exe" -silent
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\BILLYS~1\AppData\Local\Temp\efcDTMEv.dll,c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Chatzilla.lnk = C:\Program Files\Mozilla Firefox\firefox.exe
O4 - Startup: StarOffice 8.lnk = C:\Program Files\Sun\StarOffice 8\program\quickstart.exe
O4 - Global Startup: UltraMon.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F450D0DF-B1AD-4D01-A9EC-A799A92C896C}: NameServer = 192.168.1.1
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\PrevxCSI\prevxcsi.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 8025 bytes

J'ai peur de redémarrer mon ordi, par crainte (peur-être naïve et infondée) que la menace s'auto-propage ou je ne sais quoi.

Merci encore d'avance :)

Vrni
 Posté le 13/07/2008 à 18:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

1) Durant la désinfection de ton ordinateur, les différentes manipulations doivent s'effectuer en tant qu'administrateur.

Dans le panneau de configuration, choisir l'affichage classique.
Dans Comptes d'Utilisateurs --> activer ou désactiver le contrôle des comptes d'utilisateurs

Décoche ensuite "Utiliser le controle des comptes utilisateurs ..... "

Il te sera demandé de redémarrer l'ordinateur. Accepte.

2) Pourrais-tu commencer par la procédure de pré-nettoyage de Chercheur ?
https://forum.pcastuces.com/pre_nettoyage_un_pc_infecte-f25s17490.htm

Poste ensuite les deux rapports MalwareBytes et Hijackthis.

A+

Choc0sta
 Posté le 13/07/2008 à 18:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Juste pour info BillySnipes:

Cette ligne que tu crois suspecte:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

C'est seulement créé par Windows live Messenger donc pas la peine de s'inquieter pour celle là

Bonne chance Verni29

Vrni
 Posté le 13/07/2008 à 18:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour, Lyon 28200

Effectivement, la ligne en 02 est légitime.

A+

BillySnipes
 Posté le 13/07/2008 à 19:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Merci pour vos réponses :)

Donc, j'ai redémarré en mode sans échec, j'ai fait un scan avec Malwarebytes' Anti-Malware, voici le rapport (avant désinfection) :

Malwarebytes' Anti-Malware 1.20
Version de la base de données: 945
Windows 6.0.6000

19:21:11 13/07/2008
mbam-log-7-13-2008 (19-21-06).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 130410
Temps écoulé: 20 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmds (Trojan.Vundo) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\$Recycle.Bin\S-1-5-21-325937533-1588219323-671091900-1000\$R2K4OMF.dll (Trojan.Vundo) -> No action taken.
C:\$Recycle.Bin\S-1-5-21-325937533-1588219323-671091900-1000\$RMH5PBI.dll (Trojan.Vundo) -> No action taken.
C:\$Recycle.Bin\S-1-5-21-325937533-1588219323-671091900-1000\$ROAKRDV.dll (Trojan.Vundo) -> No action taken.
C:\Users\BillySnipes\AppData\Local\Temp\efcDTMEv.dll (Trojan.Vundo) -> No action taken.

Ensuite, j'ai fait un scan HJT, il semblait clean, j'ai reboot en mode normal et j'ai fait un dernier scan HJT que voici :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:21, on 13/07/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\BisonCam\BisonHK.exe
C:\Windows\BisonCam\BsMnt.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
D:\Jeux\Steam\Steam.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\UltraMon\UltraMon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\Sun\StarOffice 8\program\soffice.exe
C:\Program Files\Sun\StarOffice 8\program\soffice.BIN
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini15.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [BisonHK] C:\Windows\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [BsMnt] C:\Windows\BisonCam\BsMnt.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Steam] "d:\jeux\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Chatzilla.lnk = C:\Program Files\Mozilla Firefox\firefox.exe
O4 - Startup: StarOffice 8.lnk = C:\Program Files\Sun\StarOffice 8\program\quickstart.exe
O4 - Global Startup: UltraMon.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F450D0DF-B1AD-4D01-A9EC-A799A92C896C}: NameServer = 192.168.1.1
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 7854 bytes

Merci de me dire si vous voyez des trucs bizarres/suspects ou méritant mon attention :)

NB : CCleaner avait déjà été fait, et merci Choc0sta pour la précision :)



Modifié par BillySnipes le 13/07/2008 19:39
Vrni
 Posté le 13/07/2008 à 19:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour, BillySnipes

Pour l'instant, il est impossible de dire si l'infection est nettoyée.
A mon avis, je dirais non ( vu les prolèmes que tu as rencontrès ).

Tu vas faire ceci :

Tu vas télécharger ComBoFix sur le bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

On va le passer une première fois pour rechercher les infections.
Pour un meilleur résultat, on va le passer aussi en mode sans échec.

Redémarre l'ordinateur en mode sans échec ( touche F8 ) et choisis ton compte.

Double sur Combofix.exe et suis les invites.
Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.
Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

Vrni
 Posté le 13/07/2008 à 20:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

BillySnipes,

Tu n'as pas supprimé les fichiers avec malwareBytes : No Action Taken

Je te remets la procédure :

Tu relances l'ordinateur en mode sans échec ( touche F8 après redémarrage ).
Tu choisis ton compte utilisateur.

Pour lancer MalwareBytes, double-clique sur le raccourci du bureau.

Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
Clique sur lancer l'examen.

A la fin de la recherche, Comme il est demandé, clique sur afficher les résultats de la recherche.
Choisis alors Supprimer la selection pour nettoyer les infections.
Tu postes le rapport dans ton prochain message.
Si tu ne le retrouves pas, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est.
Clique dessus et choisir ouvrir.

Après tu feras la manipulation avec ComBoFix.

Tu me postes les deux rapports.

A+

BillySnipes
 Posté le 13/07/2008 à 20:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Voici le rapport de combofix :

ComboFix 08-07-13.3 - BillySnipes 2008-07-13 20:03:31.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1034 [GMT 2:00]
Endroit: C:\Users\BillySnipes\Downloads\ComboFix.exe
* Création d'un nouveau point de restauration
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\t.txt

.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-13 to 2008-07-13 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-13 17:26 --------- d-----w C:\Users\BillySnipes\AppData\Roaming\StarOffice8
2008-07-13 16:27 --------- d-----w C:\Users\BillySnipes\AppData\Roaming\Malwarebytes
2008-07-13 16:27 --------- d-----w C:\ProgramData\Malwarebytes
2008-07-13 16:27 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-07-13 15:38 --------- d-----w C:\Program Files\Trend Micro
2008-07-13 15:26 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-07-12 13:25 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-07-12 01:03 --------- d-----w C:\Users\BillySnipes\AppData\Roaming\VSO
2008-07-12 00:41 --------- d-----w C:\ProgramData\Media Center Programs
2008-07-12 00:41 --------- d-----w C:\Program Files\Common Files\BioWare
2008-07-12 00:06 --------- d-----w C:\Program Files\7-Zip
2008-07-10 17:24 --------- d-----w C:\Users\BillySnipes\AppData\Roaming\SystemRequirementsLab
2008-07-09 06:05 --------- d-----w C:\Users\BillySnipes\AppData\Roaming\Shareaza
2008-07-09 01:06 174 --sha-w C:\Program Files\desktop.ini
2008-07-09 01:05 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-09 01:02 --------- d-----w C:\ProgramData\Microsoft Help
2008-07-09 01:01 --------- d-----w C:\Program Files\Windows Mail
2008-07-07 15:35 34,296 ----a-w C:\Windows\system32\drivers\mbamcatchme.sys
2008-07-07 15:35 17,144 ----a-w C:\Windows\system32\drivers\mbam.sys
2008-07-06 17:55 56,251 ----a-w C:\Users\BillySnipes\AppData\Roaming\nvModes.dat
2008-07-01 20:45 --------- d-----w C:\Program Files\Paint.NET
2008-07-01 20:30 --------- d-----w C:\Users\BillySnipes\AppData\Roaming\SUPERAntiSpyware.com
2008-07-01 20:30 --------- d-----w C:\Program Files\SUPERAntiSpyware
2008-06-27 23:13 --------- d-----w C:\Users\BillySnipes\AppData\Roaming\CyberLink
2008-06-19 18:56 --------- d-----w C:\Program Files\Common Files\Steam
2008-06-17 15:13 --------- d-----w C:\Program Files\Dofus
2008-06-11 15:44 --------- d-----w C:\ProgramData\eMule
2008-06-11 15:43 --------- d-----w C:\Program Files\eMule
2008-06-02 10:19 --------- d-----w C:\Program Files\Wakfu
2008-05-24 17:00 --------- d-----w C:\Program Files\SystemRequirementsLab
2008-05-17 21:26 --------- d-----w C:\Program Files\Black Isle
2008-05-17 16:11 --------- d-----w C:\Program Files\Microsoft Works
2008-05-17 16:10 --------- d-----w C:\Program Files\MSBuild
2008-05-17 16:09 --------- d-----w C:\Program Files\Microsoft.NET
2008-05-17 16:07 --------- d-----w C:\Program Files\Microsoft Visual Studio 8
2008-05-15 23:18 50,768 ----a-w C:\Windows\system32\drivers\aswMonFlt.sys
2008-05-15 06:32 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-15 05:54 --------- d-----w C:\ProgramData\SUPERAntiSpyware.com
2008-05-13 04:32 --------- d-----w C:\Users\BillySnipes\AppData\Roaming\TeraCopy
2008-05-13 04:31 --------- d-----w C:\Program Files\TeraCopy
2008-05-10 03:30 14,848 ----a-w C:\Windows\System32\wshrm.dll
2008-04-29 03:50 181,760 ----a-w C:\Windows\System32\fsquirt.exe
2008-04-26 08:02 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2008-04-25 04:23 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-04-25 04:23 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-04-25 04:23 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-04-25 04:22 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-04-23 04:27 428,032 ----a-w C:\Windows\System32\EncDec.dll
2008-04-23 04:27 292,352 ----a-w C:\Windows\System32\psisdecd.dll
2008-04-23 04:27 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-02-16 11:39 1232896]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-16 09:46 68856]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-02-14 01:09 486856]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]
"Steam"="d:\jeux\steam\steam.exe" [2008-05-24 15:15 1271032]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2008-05-11 13:19 5423104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BisonHK"="C:\Windows\BisonCam\BisonHK.exe" [2007-03-15 16:37 32768]
"BsMnt"="C:\Windows\BisonCam\BsMnt.exe" [2007-03-15 16:34 172032]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 15:37 174872]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-11-02 05:30 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-11-02 05:30 8501792]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-11-02 05:30 81920]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 10:01 4431872 C:\Windows\RtHDVCpl.exe]

C:\Users\BillySnipes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Chatzilla.lnk - C:\Program Files\Mozilla Firefox\firefox.exe [2008-02-16 09:48:21 307712]
StarOffice 8.lnk - C:\Program Files\Sun\StarOffice 8\program\quickstart.exe [2007-08-17 22:58:18 122880]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
UltraMon.lnk - C:\Windows\Installer\{AF0FA6D7-96F3-468A-ABB7-28BE006EA8E9}\IcoUltraMon.ico [2008-02-20 09:00:15 29310]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"NoHotStart"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoHotStart"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{C07793DF-A38A-4C98-A59A-739364C05CCC}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{3A760157-970C-42B5-8362-317FDBEAF1AD}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{43B782DB-21CC-4DC2-9AF4-412F4419BA42}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{2A5AA416-D489-47A8-8051-406C0C54C869}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{67F27C03-A5BD-413D-A8EC-B83C9FC0242C}D:\\programmes\\shareaza\\shareaza.exe"= UDP:D:\programmes\shareaza\shareaza.exe:Shareaza Ultimate File Sharing
"UDP Query User{7020BF16-516E-4601-B5D8-8F3AA9E663B4}D:\\programmes\\shareaza\\shareaza.exe"= TCP:D:\programmes\shareaza\shareaza.exe:Shareaza Ultimate File Sharing
"TCP Query User{651A6E18-38B0-43F5-BC9A-1998E508F632}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{E18819CA-5B65-45C0-A9EA-7282A05E89D5}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{595D1531-D95B-4827-9527-D1F3AFC47251}C:\\users\\billysnipes\\desktop\\raccourcis divers et variés\\volley\\volley.exe"= UDP:C:\users\billysnipes\desktop\raccourcis divers et variés\volley\volley.exe:volley.exe
"UDP Query User{182D094D-F319-46E0-87B7-19F05337B601}C:\\users\\billysnipes\\desktop\\raccourcis divers et variés\\volley\\volley.exe"= TCP:C:\users\billysnipes\desktop\raccourcis divers et variés\volley\volley.exe:volley.exe
"{C3DDE08F-5E86-463B-8646-9CD9C7E39B11}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"TCP Query User{A86092F4-A734-4912-B4EC-907FDB5F18CE}D:\\jeux\\counter-strike source\\hl2.exe"= UDP:D:\jeux\counter-strike source\hl2.exe:hl2
"UDP Query User{7290D1DE-1933-4EF8-B8EA-A440EC23AB5D}D:\\jeux\\counter-strike source\\hl2.exe"= TCP:D:\jeux\counter-strike source\hl2.exe:hl2
"TCP Query User{548E38AE-D83A-4FE7-B403-6D7DC952581C}D:\\jeux\\steam\\steamapps\\zangy_fps_mode\\counter-strike\\hl.exe"= UDP:D:\jeux\steam\steamapps\zangy_fps_mode\counter-strike\hl.exe:Half-Life Launcher
"UDP Query User{121814ED-8389-44DA-A6FD-1205FA196477}D:\\jeux\\steam\\steamapps\\zangy_fps_mode\\counter-strike\\hl.exe"= TCP:D:\jeux\steam\steamapps\zangy_fps_mode\counter-strike\hl.exe:Half-Life Launcher
"TCP Query User{5B4EED9F-B4DA-4CB6-A625-CE30B4BB5112}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{F5898507-C0A1-4421-8371-0E5DC5FC2A27}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"{791A3FBA-F4E7-4B21-8844-54FA25CACD68}"= UDP:D:\Mass Effect\Binaries\MassEffect.exe:Mass Effect Game
"{430837D2-4895-492C-9941-CE90C23B764F}"= TCP:D:\Mass Effect\Binaries\MassEffect.exe:Mass Effect Game
"{C036F79A-F36E-47D8-BB34-AFAA2FB4884D}"= UDP:D:\Mass Effect\MassEffectLauncher.exe:Mass Effect Launcher
"{52A35EEB-87C2-4AD9-AC36-80ADCF3A8D6C}"= TCP:D:\Mass Effect\MassEffectLauncher.exe:Mass Effect Launcher
"TCP Query User{995F84CD-3613-4EB3-8ECE-1C26B4122898}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{C46C80DB-9319-48EB-B37D-31C296F1AB26}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R0 iaNvStor;Intel(R) Turbo Memory Technology NAND Controller;C:\Windows\system32\DRIVERS\iaNvStor.sys [2007-03-10 19:11]
R0 O2MDRDR;O2MDRDR;C:\Windows\system32\DRIVERS\o2media.sys [2007-04-03 10:04]
R0 O2SDRDR;O2SDRDR;C:\Windows\system32\DRIVERS\o2sd.sys [2007-04-02 16:11]
R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-05-16 01:18]
R3 Steam Client Service;Steam Client Service;C:\Program Files\Common Files\Steam\SteamService.exe [2008-06-11 03:07]
S3 AF15BDA;AF9015 BDA Filter;C:\Windows\system32\Drivers\AF15BDA.sys [2007-06-13 15:41]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 15:18]
S3 USB28xxBGA;Analog TV Device;C:\Windows\system32\DRIVERS\emBDA.sys [2007-06-13 15:39]
S3 USB28xxOEM;USB 28xx OEM Filter;C:\Windows\system32\DRIVERS\emOEM.sys [2007-06-13 15:39]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b7a26ca-df14-11dc-811e-001d924c6362}]
\shell\AutoRun\command - F:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{beb468a9-de44-11dc-8a91-001d924c6362}]
\shell\AutoRun\command - F:\InstallTomTomHOME.exe

*Newly Created Service* - CATCHME
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-Power2GoExpress - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-13 20:06:17
Windows 6.0.6000 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-13 20:07:14
ComboFix-quarantined-files.txt 2008-07-13 18:07:11

Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Post-Run: 9,433,239,552 octets libres

175 --- E O F --- 2008-07-09 01:02:27

Merci de "t'occuper de moi" ^^

NB : Depuis la désinfection de Malwarebytes, mon PC ne présente plus les problèmes que j'avais.

EDIT : J'ai bien effectué les actions de nettoyage avec Malwarebytes, le rapport que j'ai posté est celui donné par le programme avant que les actions ne soient faites, mais j'ai bien coché les cases puis cliqué sur "nettoyer" (ou équivalent) ; voici le rapport :

Malwarebytes' Anti-Malware 1.20
Version de la base de données: 945
Windows 6.0.6000

19:21:25 13/07/2008
mbam-log-7-13-2008 (19-21-25).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 130410
Temps écoulé: 20 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmds (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\$Recycle.Bin\S-1-5-21-325937533-1588219323-671091900-1000\$R2K4OMF.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\$Recycle.Bin\S-1-5-21-325937533-1588219323-671091900-1000\$RMH5PBI.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\$Recycle.Bin\S-1-5-21-325937533-1588219323-671091900-1000\$ROAKRDV.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\BillySnipes\AppData\Local\Temp\efcDTMEv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.



Modifié par BillySnipes le 13/07/2008 20:17
Publicité
Vrni
 Posté le 13/07/2008 à 20:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Analyse + Manger = Dodo

Cela ne te gène pas qu'on se revoit demain matin.

Je te donnerais la procédure à suivre.

D'ici là, laisse l'ordinateur éteind. C'est plus sage.

J'aimerasi que tu me postes un nouveau rapport Hijackthis.

A+



Modifié par Vrni le 13/07/2008 20:21
BillySnipes
 Posté le 13/07/2008 à 20:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Voivi le dernier scan HJT en date :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:22:49, on 13/07/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\BisonCam\BisonHK.exe
C:\Windows\BisonCam\BsMnt.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
D:\Jeux\Steam\Steam.exe
C:\Program Files\UltraMon\UltraMon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\Sun\StarOffice 8\program\soffice.exe
C:\Program Files\Sun\StarOffice 8\program\soffice.BIN
C:\Windows\system32\conime.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\Explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini15.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [BisonHK] C:\Windows\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [BsMnt] C:\Windows\BisonCam\BsMnt.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Steam] "d:\jeux\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Chatzilla.lnk = C:\Program Files\Mozilla Firefox\firefox.exe
O4 - Startup: StarOffice 8.lnk = C:\Program Files\Sun\StarOffice 8\program\quickstart.exe
O4 - Global Startup: UltraMon.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F450D0DF-B1AD-4D01-A9EC-A799A92C896C}: NameServer = 192.168.1.1
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 7364 bytes

Bonne soirée ;)

Vrni
 Posté le 14/07/2008 à 09:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Il n'y a plus de trace d'infection.

1) Tu vas vider la quarantaine de MalwareBytes :

Ouvre MalwareBytes ( le raccourci sur le bureau doit toujours être là ).
Dans l'onglet Quarantaine, si il ya des éléments, supprime tout.

2) Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Startup: StarOffice 8.lnk = C:\Program Files\Sun\StarOffice 8\program\quickstart.exe
O4 - Global Startup: UltraMon.lnk = ?

Tu choisis l'option " Fixchecked" en bas de la page.

3) Pour les protections de ton ordinateur, je te conseillerais de changer d'antivirus :

Je te joins un article qui compare Avast et Antivir
http://forum.malekal.com/ftopic3528.php

tuto antivir :
http://www.malekal.com/tutorial_antivir.php

désinstallation avast :
http://www.avast.com/fre/avast-uninstall-utility.html

4) Il n'y a pas de parefeu :

Je t'indique trois produits possibles ( en français )

Zone alarm :
http://www.pcastuces.com/logitheque/zonealarm.htm
Tuto : http://securite-facile.ovh.org/zonealarm.php

Kerio Personal Firewall
http://www.sunbelt-software.com/Kerio-Download.cfm
Tuto : http://www.malekal.com/kerio_firewall.html

PC Tools Firewall Plus
http://www.pctools.com/fr/firewall/

Tu peux aussi regarder l'article suivant :
https://forum.pcastuces.com/securiser_son_pc_wifi_desinstallation_kit_orange-f25s25892.htm

Donne moi ton avis sur ces derniers points

A+



Modifié par Vrni le 14/07/2008 10:32
BillySnipes
 Posté le 14/07/2008 à 14:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour bonjour :)

J'ai vidé la quarantaine de Malwarebyte, désinstallé Avast et installé Antivir, installé Kerio Firewall.

Pour ce qui est des modifs que tu me dis de faire, j'aimerais plus d'explications ^^

Cette ligne, il me semble, permet de mettre en mémoire dès le démarrage toutes les APIs utilisées par Acrobat Reader pour éviter d'avoir à les charger à chaque ouverture de pdf : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe", je ne suis pas sur de vouloir la virer puisque j'utilise pas mal Acrobat Reader.
Ca, c'est pour charger windows live messenger, et en bon geek que je suis, je pense que c'est bien si ca se charge au démarrage O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
Ca s'est pour staroffice 8 que de toute facon je vais complètement désinstallé puisque je me suis acheté le pack office ^^ O4 - Startup: StarOffice 8.lnk = C:\Program Files\Sun\StarOffice 8\program\quickstart.exe
Cette ligne me permet de lancer Ultramon au démarrage, c'est le logcieil qui prend en charge la gestion de la bare windows en double écran O4 - Global Startup: UltraMon.lnk = ?

Peut-être que j'ai absolument pas compris comment interprêter le rapport HJT, mais si je me trompe pas, je vais laisser les lignes 1, 2 et 4 (la 3 partira toute seule ^^)

Qu'en dis-tu ?
Encore merci.

Vrni
 Posté le 14/07/2008 à 14:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

BillySnipes,

Tout est affaire de gout. Quel est le bon compromis ?

- Charger à chaque démarrage les APIs, comme tu le fais justement remarquer, et donc gagner du temps uniquement pour la première utilisation des applications ( Adobe, StarOffice ). Pour messenger, c'est souvent embetant ( pour les parents ) de voir s'ouvrir à chaque ouverture cette application.

- Gagner en mémoire vive en sachant que ces applications seront sans doute ouvertes lors d'une session utilisateur. Pour le gain, si tu as une machine performante, alors aucun problème. Ceci peut assez souvent être appréciable pour l'utilisateur.

Le nettoyage d'Hijackthis est plus dans un souci d'optimisation en effet ( et de vrai nettoyage si l'ordinateur est infecté ).
Je pense que dans ton cas, tu sembles savoir ce que tu veux et je te laisse libre de ton choix.

Deux choses qu'on va faire :

1) Tu as deux antispywares actifs. Garde Spybot en protection en temps réel mais je remarque que Windows Defender est également actif ( regarde dans la liste des processus actifs ). La, tu peux éviter d'avoir deux logiciels qui font exactement la même chose d'être lancés.
Désactive Windows defender. je te mets la procédure ( que tu connais sans doute ).

Bouton demarrer --> Tous les programmes
Ouvrir Windows defender
menu outils --> Options --> decocher analyser automatiquement ...

2) Peux-tu faire un scan en ligne ( vérification d'usage ) sur le site de Kaspersky :
http://webscanner.kaspersky.fr/

Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
Il te sera demandé d'installer un logiciel de Kaspersky, accepte.
A la fin de cette analyse, clique sur enregistrer le rapport.
Poste le contenu de ce rapport dans ton prochain message.

A+



Modifié par Vrni le 14/07/2008 14:53
BillySnipes
 Posté le 14/07/2008 à 15:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Je suis sous vista, donc je peux pas faire le scan gratuit de Kaspersky. Mais bon, je pense que ça a l'air bien :)

J'ai désactivé Windows Defender et comme mon PC est assez récent et que je n'ai pas de soucis d'optimisation pour le moment.

Merci pour tout :)

[Problème résolu]

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
58,99 €SSD Crucial MX500 500 Go à 58,99 €
Valable jusqu'au 10 Mars

Amazon propose actuellement le SSD Crucial MX500 500 Go à 58,99 € livré gratuitement. On le trouve ailleurs à partir de 79 €. Ce SSD salué par la critique par son rapport qualité prix imbattable offre des débits de 560 Mo/s en lecture et 510 Mo/s en écriture. Il est garanti 5 ans. 


> Voir l'offre
79,99 €Ecouteurs intra-auriculaires sans fil Bluetooth Jabra Elite 65t à 79,99 €
Valable jusqu'au 10 Mars

Amazon fait une promotion sur les écouteurs intra-auriculaires sans fil Bluetooth Jabra Elite 65t qui passent à 79,99 € livrés gratuitement. On les trouve ailleurs à partir de 110 €. Côté son, l'égaliseur personnalisable vous permet d'ajuster le rendu sonore tandis que la technologie avancée à quatre microphones supprime les bruits de fond lors des appels pour des conversations limpides. Au quotidien, ces écouteurs Jabra restent parfaitement en place et proposent même une fonction de commande vocale simplifiée. 

Enfin, vous apprécierez les 5 heures d'autonomie avec une seule charge, qui se transforment en 15 heures avec l'étui de recharge compact.  Les Jabra Elite 65t sont certifiés IP55 et offrent une garantie de 2 ans contre l’humidité et la poussière. Où que vous soyez et quelle que soit votre activité, vous profitez d’une liberté absolue pour les appels et la musique. 


> Voir l'offre
198,22 €Processeur AMD Ryzen 5 3600 à 198,22 € livré
Valable jusqu'au 10 Mars

Amazon Allemagne fait une promotion sur le processeur AMD Ryzen 5 3600 qui passe à 191,50 €. Comptez 6,72 € pour la livraison en France soit un total de 198,122 € livré alors qu'on le trouve ailleurs à partir de 215 €. Le processeur AMD Ryzen 5 3600 Wraith Spire (3.6 GHz / 4.2 GHz) fait partie des premiers processeurs pour PC gravés en 7 nm. Ses 6 coeurs et 12 threads, une fréquence jusqu'à 4.2 GHz et 35 Mo de GameCache le rendent polyvalent, il vous permet de tout faire rapidement et en toute fluidité. En cette période tendue pour les prix des composants informatiques, c'est une bonne affaire.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre

Sujets relatifs
Analyse rapport HiJackThis suite à une infection
Rapport hijackthis suite a infection
rapport hijackthis suite infection
Analyse Hijackthis suite à infection
analyse hijackthis suite infection spambot
Suite infection rapport hijackthis
demande analyse suite infection OMIGA
Analyse d'un Rapport ZHPDiag, Infection !
analyse rapport hijackthis
Rapport HiJackThis : Infection ?
Plus de sujets relatifs à Analyse rapport HiJackThis suite à infection
 > Tous les forums > Forum Sécurité