> Tous les forums > Forum Sécurité
 Demande aide pour infection par New Malware.jSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
DanielB
  Posté le 02/09/2007 @ 17:49 
Aller en bas de la page 
Petit astucien

Bonjour,

Mon PC est infecté par le ver de troie New Malware.j d'après McAfee.

J'ai procédé au pré-nettoyage comme indiqué dans la procédure.

Voici le scan HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:34:31, on 02/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,84/mcinsctl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,21/mcgdmgr.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp01.photoprintit.de/microsite/5736/defaults/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C173FE9-FFC0-42B9-9229-84206A966E64}: NameServer = 192.168.1.1,194.117.200.10
O20 - Winlogon Notify: qommmmj - qommmmj.dll (file missing)
O21 - SSODL: Version1 - {4B4CDEBE-65BE-4931-8EDA-AF0E0EC716AF} - syspoint.dll (file missing)
O21 - SSODL: Version3 - {45CCF3BD-6909-45A1-9E34-B63F844EC370} - syslinks2.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

--
End of file - 8295 bytes

D'avance, merci beaucoup pour vos conseils.

Daniel.

Publicité
DanielB
 Posté le 02/09/2007 à 18:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le rapport AVG :

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 17:16:58 02/09/2007

+ Résultat de l'analyse:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ISTbarISTbar -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Adware.WebRebates : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

Entre temps j'ai eu une autre alerte cheval de troie : Downloader.AWM.gen

Merci pour votre aide.

Evasion60
 Posté le 02/09/2007 à 19:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour DanielB

...Tu es infecté

  • Télécharge Vundofix (par Atribune) sur ton Bureau.
  • Double-clique VundoFix.exe afin de le lancer.
  • Clique sur le bouton Scan for Vundo.
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo (uniquement si des fichiers infectieux sont trouvés).
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES.
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK.
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Bonne réception, à te lire

DanielB
 Posté le 02/09/2007 à 20:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le rapport vundofix :

VundoFix V6.5.7

Checking Java version...

Scan started at 19:50:32 02/09/2007

Listing files found while scanning....

C:\windows\system32\mljjg.dll
C:\windows\system32\pmnlm.dll

Beginning removal...

Attempting to delete C:\windows\system32\mljjg.dll
C:\windows\system32\mljjg.dll Has been deleted!

Attempting to delete C:\windows\system32\pmnlm.dll
C:\windows\system32\pmnlm.dll Has been deleted!

Performing Repairs to the registry.
Done!

Et le nouveau scan HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:22:28, on 02/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Daniel\janykn.exe
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,84/mcinsctl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,21/mcgdmgr.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp01.photoprintit.de/microsite/5736/defaults/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C173FE9-FFC0-42B9-9229-84206A966E64}: NameServer = 192.168.1.1,194.117.200.10
O20 - Winlogon Notify: qommmmj - qommmmj.dll (file missing)
O21 - SSODL: Version1 - {4B4CDEBE-65BE-4931-8EDA-AF0E0EC716AF} - syspoint.dll (file missing)
O21 - SSODL: Version3 - {45CCF3BD-6909-45A1-9E34-B63F844EC370} - syslinks2.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

--
End of file - 8464 bytes

Et je viens d'avoir une nouvelle alerte : W32/sdbot.worm; c'est la cata...

Bonne réception;

Evasion60
 Posté le 02/09/2007 à 22:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

RE, bonsoir / DSL du retard

-0- Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\windows\system32\mljjg.dll
C:\windows\system32\pmnlm.dll

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

-1- Ferme toutes les fenetres d'IE, sauf HijackThis, lance HijackThis pour un scan seulement, et fixe les objets ci dessous
Merci d'imprimer, pour ne pas faire d'erreur

R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,84/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,21/mcgdmgr.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp01.photoprintit.de/microsite/5736/defaults/activex/IPSUploader.cab
O20 - Winlogon Notify: qommmmj - qommmmj.dll (file missing)
O21 - SSODL: Version1 - {4B4CDEBE-65BE-4931-8EDA-AF0E0EC716AF} - syspoint.dll (file missing)
O21 - SSODL: Version3 - {45CCF3BD-6909-45A1-9E34-B63F844EC370} - syslinks2.dll (file missing)

-2- Lance CCleaner, pour un nettoyage, supprime tout ce qu'il trouve

-3- Lance EasyCleaner, pour deux scans : " Inutile ", puis " Registre ", (pas autre chose)
Dans les deux scans supprime tout ce qu'il trouve

-4- Fais moi un scan antivirus en ligne avec Bitdefender:
fais ce scan en ligne : http://www.bitdefender.fr/bd/site/page.php?tab=0#
ou :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Clique, en bas à gauche, sur "scan on line (nouveau)" --->Avec IE, pas FireFox
Accepte ensuite la licence puis laisse-lui installer l'ActiveX
Laisse-toi guider.

Tuto en images pour le scan online : Tuto en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm


Poste les rapports : OTMoveIt, du scan Bitdefender online, puis un nouveau log HijackThis dans ta prochaine réponse

Bonne réception

DanielB
 Posté le 02/09/2007 à 23:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir,

Comme cela risque d'être long et qu'il est tard je ferai ça demain...

Merci en tout cas pour ta réponse.

Cordialement, à demain

Evasion60
 Posté le 02/09/2007 à 23:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

DanielB a écrit :

Bonsoir,

Comme cela risque d'être long et qu'il est tard je ferai ça demain...

Merci en tout cas pour ta réponse.

Cordialement, à demain


OK, pas de problème, à demain

...Si tu peux, donne moi pour demain ta version de Java/Sun installée sur ton PC / merci

DanielB
 Posté le 03/09/2007 à 20:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir,

Voici les éléments demandés :

Version Java : j2re1.4.2 (sous toutes réserves)

OTMoveIt :

File/Folder C:\windows\system32\mljjg.dll not found.
File/Folder C:\windows\system32\pmnlm.dll not found.

Created on 09/03/2007 11:57:18

BitDefender :

BitDefender Online Scanner

Rapport d'analyse généré à: Mon, Sep 03, 2007 - 14:54:53

Voie d'analyse: A:\;C:\;D:\;E:\;G:\;

Statistiques

Temps

02:20:36

Fichiers

305344

Directoires

8653

Secteurs de boot

2

Archives

6448

Paquets programmes

13406

Résultats

Virus identifiés

6

Fichiers infectés

17

Fichiers suspects

0

Avertissements

0

Désinfectés

0

Fichiers effacés

17

Info sur les moteurs

Définition virus

760982

Version des moteurs

AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

Analyse des plugins

14

Archive des plugins

38

Unpack des plugins

6

E-mail plugins

6

Système plugins

1

Paramètres d'analyse

Première action

Désinfecté

Seconde Action

Supprimé

Heuristique

Oui

Acceptez les avertissements

Oui

Extensions analysées

*;

Excludez les extensions

Analyse d'emails

Oui

Analyse des Archives

Oui

Analyser paquets programmes

Oui

Analyse des fichiers

Oui

Analyse de boot

Oui

Fichier analysé

Statut

C:\Documents and Settings\Daniel\Local Settings\Application Data\Identities\{9CC98A28-0FB1-4B8E-9371-F23C09E416FF}\Microsoft\Outlook Express\Éléments supprimés.dbx=>(message 16)

Infecté par: Generic.Peed.Eml.95F820A7

C:\Documents and Settings\Daniel\Local Settings\Application Data\Identities\{9CC98A28-0FB1-4B8E-9371-F23C09E416FF}\Microsoft\Outlook Express\Éléments supprimés.dbx=>(message 16)

Echec de la désinfection

C:\Documents and Settings\Daniel\Local Settings\Application Data\Identities\{9CC98A28-0FB1-4B8E-9371-F23C09E416FF}\Microsoft\Outlook Express\Éléments supprimés.dbx=>(message 16)

Supprimé

C:\Documents and Settings\Daniel\Local Settings\Application Data\Identities\{9CC98A28-0FB1-4B8E-9371-F23C09E416FF}\Microsoft\Outlook Express\Éléments supprimés.dbx

Echec de la mise à jour

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152847.exe

Infecté par: Backdoor.Sdbot.DEWH

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152847.exe

Echec de la désinfection

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152847.exe

Supprimé

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152849.exe

Infecté par: Backdoor.Ircbot.ABFD

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152849.exe

Echec de la désinfection

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152849.exe

Supprimé

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152851.exe

Infecté par: Backdoor.Ircbot.ABFD

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152851.exe

Echec de la désinfection

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152851.exe

Supprimé

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152852.exe

Infecté par: Backdoor.Sdbot.DEWH

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152852.exe

Echec de la désinfection

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152852.exe

Supprimé

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152853.exe

Infecté par: Backdoor.Ircbot.ABFD

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152853.exe

Echec de la désinfection

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152853.exe

Supprimé

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152856.exe

Infecté par: Backdoor.Sdbot.DEWH

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152856.exe

Echec de la désinfection

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152856.exe

Supprimé

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152857.exe

Infecté par: Backdoor.Ircbot.ABFD

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152857.exe

Echec de la désinfection

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152857.exe

Supprimé

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152858.exe

Infecté par: Backdoor.Ircbot.ABFD

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152858.exe

Echec de la désinfection

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152858.exe

Supprimé

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152859.exe

Infecté par: Backdoor.Sdbot.DEWH

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152859.exe

Echec de la désinfection

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152859.exe

Supprimé

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152861.exe

Infecté par: Backdoor.Ircbot.ABFD

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152861.exe

Echec de la désinfection

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP814\A0152861.exe

Supprimé

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP822\A0161417.exe

Infecté par: GenPack:Generic.Malware.M!H@mmoe.FB34FDF0

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP822\A0161417.exe

Echec de la désinfection

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP822\A0161417.exe

Supprimé

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP822\A0161421.exe

Infecté par: GenPack:Generic.Malware.M!H@mmoe.FB34FDF0

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP822\A0161421.exe

Echec de la désinfection

C:\System Volume Information\\_restore{8A352F4B-1DC4-4444-A568-92912F4DCC29}\RP822\A0161421.exe

Supprimé

C:\WINDOWS\system32\lookatme.exe

Infecté par: Backdoor.Sdbot.DEWH

C:\WINDOWS\system32\lookatme.exe

Echec de la désinfection

C:\WINDOWS\system32\lookatme.exe

Supprimé

C:\WINDOWS\system32\syslinks2.dll

Infecté par: Generic.YSpammer.EEEDB600

C:\WINDOWS\system32\syslinks2.dll

Echec de la désinfection

C:\WINDOWS\system32\syslinks2.dll

Supprimé

C:\WINDOWS\system32\syspoints.dll

Infecté par: Backdoor.Ircbot.ABFD

C:\WINDOWS\system32\syspoints.dll

Echec de la désinfection

C:\WINDOWS\system32\syspoints.dll

Supprimé

C:\WINDOWS\system32\sysviews.dll

Infecté par: Generic.YSpammer.51C6455B

C:\WINDOWS\system32\sysviews.dll

Echec de la désinfection

C:\WINDOWS\system32\sysviews.dll

Supprimé

Et enfin le log HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:44:05, on 03/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe
C:\Documents and Settings\Daniel\cjrpwi.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptcl.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C173FE9-FFC0-42B9-9229-84206A966E64}: NameServer = 192.168.1.1,194.117.200.10
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

--
End of file - 6060 bytesv

Cordialement, merci d'avance

Evasion60
 Posté le 03/09/2007 à 22:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir DanielB

...Bien c'est pas trop mal --->Quand penses-tu ?

Afficher les fichiers cachés :

  • Ouvrir l'explorateur windows (Démarrer>programmes>Accessoires>Explorateur windows ou Démarrer>programmes>Explorateur windows).
  • Cliquer sur outils>options des dossiers>affichage.
  • Sélectionner :
    • afficher les fichiers et dossiers cachés,
    • décocher "masquer les extensions des fichiers dont le type est connu",
    • décocher masquer les fichiers protégés du système d'exploitation (recommandé)".
  • "appliquer" et "ok"


Cherche et supprime si présent :

C:\WINDOWS\system32\lookatme.exe
C:\WINDOWS\system32\syslinks2.dll
C:\WINDOWS\system32\syspoints.dll
C:\WINDOWS\system32\sysviews.dll

Vide ta corbeille / Recache les fichiers / dossiers cachés ( important )

...Ensuite,

Pour désactiver le système de Restauration :
démarrer-----------panneau de configuration------------système----------
onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------
redémarre l'ordinateur
Recoche : ( Activer la restauration système )

Bonne réception, avec tes remarques sur le comportement du PC

DanielB
 Posté le 03/09/2007 à 23:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re-bonsoir,

Tout est impec

Merci beaucoup pour tes conseils

Bonne continuation et merci beaucoup d'être là, toi et tous les helpers.

Très cordialement,

Evasion60
 Posté le 03/09/2007 à 23:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re DanielB

...Ne te sauves pas comme ça / STP

  • Je te conseille de défragmenter ton PC.
  • Il est fortement recommandé d'avoir tous ses logiciels de sécurité à jour, afin d'éviter les failles par lesquelles s'engouffrent les infections.

  • Tu peux supprimer tous les logiciels que nous avons utilisés (Type: SmitFraufix, Blacklight, SDFix, lopxpMH, ect.....) qui traitent des infections spécifiques et qui sont mis à jour régulièrement.
  • Tu peux par contre, garder AVG Antispyware et CCleaner.

=========================================================================

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration système" afin de créer un point de restauration sain;
Pour ce faire...

Comment faire pour ....(lettre A)

=========================================================================

Pour améliorer la sécurité de ton PC prend quelques instants pour lire:

Sécuriser son PC +WIFI (versions "hot" & "light")

==========================================================================

Dénonce ton infection pour faire condamner les auteurs.


Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors, sous forme de liste, un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

*** Ton infection : ***

>> http://www.malwarecomplaints.info/viewforum.php?f=10

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections, conforme au règle du forum (âge, ville, département etc..

Prudence sur Internet et parle de PC Astuces autour de toi!

Bonne continuation, et merci de nous avoir fait confiance

DanielB
 Posté le 04/09/2007 à 08:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

Rassures-toi, je ne me sauvais pas....

Je parcours régulièrement ce forum, même quand ça va bien : c'est une mine de bons conseils, et on apprend beaucoup à observer comment se règlent les problèmes des autres contributeurs.

Encore merci pour tout

Cordialement

Cl@ir3
 Posté le 09/09/2007 à 19:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je cois que j'ai le même problème, j'ai comme anti-virus : virus scan. Il m'a averti que j'avais New Malware.j (cheval de troie) puis Downloader-AWM.gen(Cheval de Troie). le premier a été déplacé et l'autre supprimé d'après mon anti-virus.

le problème c'est que je croyais que le virus était parti mais il revient de temps en temps, il n'agit que sur ma session msn, cad qd je suis connecté et ben à un moment je vois toutes les fenetres de mes contacts qui souvrent une à une et le virus envoie un fichier avec une phrase qui insiste à téléchargé le fichier. ensuite, les fenetres disparaissent et je ne peux plus les ouvri, ni les voir.

Je n'arrete pas de faire des analyses mais je ne trouve rien, quelqu'un peut-il m'aider?? merci



Modifié par Cl@ir3 le 09/09/2007 19:28
clbugnot
 Posté le 09/09/2007 à 21:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour Cl@ir3

Ce que te demande the18man, c'est de créer ton propre sujet plutôt que te greffer sur celui-ci. Tu reviens sur la page d'accueil du forum Sécurité, tu cliques sur Créez une nouvelle discussion et tu exposes ton problème.

... et tu fais les analyses demandées.



Modifié par clbugnot le 09/09/2007 21:20
Cl@ir3
 Posté le 10/09/2007 à 20:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne
ok merci ben dc le sjt pr ma question c "pb sur le virus New Malware.j" voila
Evasion60
 Posté le 10/09/2007 à 22:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Cl@ir3 a écrit :

ok merci ben dc le sjt pr ma question c "pb sur le virus New Malware.j" voila

Bonsoir Claire, et bienvenue sur PCA Sécurité

...Comme déjà dit " ouvre un nouveau Topic " ---> En haut à droite, du Forum, " nouvelle discussion "
Tu y exposes tes problèmes, mais avant passe par " Pré nett d'un PC infecté "
...Reviens dans ton Topic, avec les rapports demandés

Cordialement

clbugnot
 Posté le 10/09/2007 à 22:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour Evasion60

Son sujet est ici.

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
299,99 €PC portable 14 pouces Asus (Pentium, 4 Go RAM, 128 Go eMMC, Windows 10, Office 365) + sac à 299,99 €
Valable jusqu'au 29 Octobre

Cdiscount fait une promotion sur le PC portable 14 pouces Asus E406MA-BV1040TS qui passe à 299,99 € au lieu de 400 €. Ce portable dispose d'un écran 14 pouces HD (1368x 768 pixels), d'un processeur Intel Pentium Silver N5030, de 4 Go de RAM et d'un espace de stockage eMMC de 128 Go extensible par USB, d'une webcam, du WiFi et du bluetooth, de l'USB 3.0. Il pèse 1,3 kg et offre une autonomie de 10h environ.

Il possède un numpad (pavé numérique intégré au touchpad). Notez qu'un abonnement d'1 an à Office 365 (Word, Excel, OneNote, PowerPoint, Outlook, Access et Publisher) vous est également offert ainsi qu'une sacoche et une souris.

Une bonne affaire pour un petit portable à emmener partout avec vous.


> Voir l'offre
92,25 €SSD interne M.2 NVMe Kingston NV1 1 To à 92,25 € livré
Valable jusqu'au 30 Octobre

Amazon Allemagne fait une promotion sur le SSD interne M.2 NVMe Kingston NV1 1 To qui passe à 87,73 € (avec la TVA ajustée). Comptez 4,52 € pour la livraison en France soit un total de 92,25 € livré au lieu de plus de 100 € ailleurs. Il offre des vitesses de lecture allant jusqu'à 2100 Mo/s et 1700Mo/s en écriture.


> Voir l'offre
81,99 €SSD WD Blue SN550 1 To (NMVe M.2, 2400 Mo/s) à 81,99 €
Valable jusqu'au 29 Octobre

Amazon fait une promotion sur le SSD WD Blue SN550 1 To (NMVe M.2) qui passe à 81,99 € alors qu'on le trouve ailleurs à partir de 99 €. Ce SSD utilise une interface M.2 NVMe PCIe Gen3 x 4 pour une connexion simple et des performances exceptionnelles : jusqu’à 2 400 Mo/s en lecture séquentielle et jusqu’à 1 950 Mo/s en écriture séquentielle.

Le SSD est doté de la technologie 3D TLC NAND haute densité offrant une endurance d’écriture durable et assorti d’une garantie de cinq ans.


> Voir l'offre

Sujets relatifs
Demande d'aide pour une infection indéterminée
Demande d'aide pour une désinféction, svp
demande d'aide pour désinfection SVP
demande aide pour analyse rapport usbfix svp
Demande d'aide pour courrier pourri
demande d'aide pour configuration usbset
Demande d'aide pour interprétation scan ZHPDiag
Demande d'aide pour analyse rapport UsbFix
Aide demandé Infection possible...
demande aide infection "generic.Bot.H"
Plus de sujets relatifs à Demande aide pour infection par New Malware.j
 > Tous les forums > Forum Sécurité