> Tous les forums > Forum Sécurité
 Infection Malware-gen svchost
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Colasm
  Posté le 02/06/2011 @ 00:38 
Aller en bas de la page 
Nouvel astucien

Bonjour bonjour !

Bon voilà je viens a vous car je suis un peu désespéré, depuis un petit moment (3 mois, mais j'ai laisser ce PC dormir depuis, je ne l'ai plus utilisé jusqu'à aujourd'hui ) j'ai attrapé ce virus (Malware-gen svchost) qui me pourrie bien la vie. Dans les symptomes que je note, c'est des connexions a des pages que je n'ai pas demandé, des pop-up, après je ne sais pas si il est plus nocif que ça ou non, mais c'est toujours mieux d'éliminer ça ...

J'ai trouver un cas très similaire au mien ( https://forum.pcastuces.com/svchost_malware-f25s56047.htm ), mais je ne sais pas si je peux réaliser la même manip ou non, donc je venais demander conseil ...

J'avais avast à l'époque ou j'ai été contaminé. Maintenant j'ai malwarebyte antimalware en version pro essai (donc à durée limitée) qui dans ces conditions arrive a me bloquer les connexions provoquées par ce virus, mais ne le trouve pas et n'arrive donc pas à m'en débarasser.

Je viens d'analyser avec OTL, le rapport est en fin de message.

Merci d'avance ,

Colas

----------------------------------------------------------------------------------------------------------------------

OTL logfile created on: 02/06/2011 00:02:21 - Run 1
OTL by OldTimer - Version 3.2.23.0 Folder = C:\Documents and Settings\Bapper\Mes documents\Téléchargements
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

1013,23 Mb Total Physical Memory | 198,85 Mb Available Physical Memory | 19,63% Memory free
2,38 Gb Paging File | 1,41 Gb Available in Paging File | 59,16% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 39,07 Gb Total Space | 15,33 Gb Free Space | 39,24% Space Free | Partition Type: NTFS
Drive D: | 31,55 Gb Total Space | 0,15 Gb Free Space | 0,47% Space Free | Partition Type: NTFS

Computer Name: BABYBAPPER | User Name: Bapper | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - [2011/06/02 00:00:32 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Bapper\Mes documents\Téléchargements\OTL.exe
PRC - [2011/05/29 09:11:28 | 000,449,584 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2011/05/29 09:11:28 | 000,366,640 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2011/05/29 09:11:22 | 001,047,656 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
PRC - [2011/03/27 14:42:37 | 000,912,344 | ---- | M] (Mozilla Corporation) -- C:\Program Files\Mozilla Firefox\firefox.exe
PRC - [2011/03/04 14:38:33 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2011/03/04 14:38:19 | 000,435,368 | ---- | M] (Avira GmbH) -- c:\Program Files\Avira\AntiVir Desktop\avscan.exe
PRC - [2011/03/04 14:38:18 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2011/03/04 14:38:17 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011/03/04 14:38:16 | 000,389,288 | ---- | M] (Avira GmbH) -- c:\Program Files\Avira\AntiVir Desktop\avcenter.exe
PRC - [2010/12/31 22:06:35 | 003,395,600 | ---- | M] (AVAST Software) -- C:\Program Files\Alwil Software\Avast5\AvastUI.exe
PRC - [2010/12/31 22:06:34 | 000,040,384 | ---- | M] (AVAST Software) -- C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
PRC - [2010/08/13 12:58:56 | 000,144,672 | ---- | M] (Apple Inc.) -- C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2010/05/21 01:58:48 | 011,312,128 | ---- | M] (OpenOffice.org) -- C:\Program Files\OpenOffice.org 3\program\soffice.bin
PRC - [2010/05/21 01:58:46 | 011,318,784 | ---- | M] (OpenOffice.org) -- C:\Program Files\OpenOffice.org 3\program\soffice.exe
PRC - [2010/02/18 12:43:20 | 000,490,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Fichiers communs\Java\Java Update\jucheck.exe
PRC - [2010/02/18 12:43:18 | 000,248,040 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
PRC - [2010/01/14 21:11:14 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
PRC - [2008/06/10 16:39:52 | 000,782,336 | ---- | M] (Mirco-Star International CO., LTD.) -- C:\Program Files\System Control Manager\MGSysCtrl.exe
PRC - [2008/04/14 14:00:00 | 001,037,824 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008/02/22 11:04:42 | 002,938,184 | ---- | M] (TOSHIBA CORPORATION.) -- C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
PRC - [2008/02/22 00:45:40 | 000,159,744 | ---- | M] () -- C:\Program Files\System Control Manager\MSIService.exe
PRC - [2008/01/22 21:13:08 | 000,288,072 | ---- | M] (TOSHIBA CORPORATION.) -- C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
PRC - [2007/10/29 15:30:14 | 000,278,528 | ---- | M] (TOSHIBA CORPORATION.) -- C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
PRC - [2007/10/04 19:39:42 | 000,077,824 | ---- | M] (TOSHIBA CORPORATION.) -- C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
PRC - [2007/09/28 17:05:16 | 000,128,360 | ---- | M] (TOSHIBA CORPORATION) -- C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
PRC - [2007/09/28 17:03:46 | 000,075,136 | ---- | M] ( TOSHIBA CORPORATION) -- C:\Program Files\Toshiba\Bluetooth Toshiba Stack\ItSecMng.exe
PRC - [2006/07/17 15:44:52 | 000,364,544 | ---- | M] (www.ultravnc.fr) -- C:\Program Files\UltraVNC\winvnc.exe


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - [2011/06/02 00:00:32 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Bapper\Mes documents\Téléchargements\OTL.exe
MOD - [2010/12/31 22:06:33 | 000,187,144 | ---- | M] (AVAST Software) -- C:\Program Files\Alwil Software\Avast5\snxhk.dll
MOD - [2010/08/23 18:12:39 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
SRV - [2011/05/29 09:11:28 | 000,366,640 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011/03/04 14:38:33 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011/03/04 14:38:18 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010/12/31 22:06:34 | 000,040,384 | ---- | M] (AVAST Software) [Auto | Running] -- C:\Program Files\Alwil Software\Avast5\AvastSvc.exe -- (avast! Antivirus)
SRV - [2010/08/13 12:58:56 | 000,144,672 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2008/02/22 00:45:40 | 000,159,744 | ---- | M] () [Auto | Running] -- C:\Program Files\System Control Manager\MSIService.exe -- (Micro Star SCM)
SRV - [2007/09/28 17:05:16 | 000,128,360 | ---- | M] (TOSHIBA CORPORATION) [Auto | Running] -- C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe -- (TOSHIBA Bluetooth Service)
SRV - [2006/10/26 20:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006/10/26 15:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006/07/17 15:44:52 | 000,364,544 | ---- | M] (www.ultravnc.fr) [Auto | Running] -- C:\Program Files\UltraVNC\WinVNC.exe -- (winvnc)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - [2011/05/29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) [Kernel | Disabled | Running] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2011/05/29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2011/03/04 16:11:12 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/03/04 14:38:47 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/12/31 22:00:18 | 000,293,968 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\aswSP.sys -- (aswSP)
DRV - [2010/12/31 21:59:23 | 000,047,440 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\aswTdi.sys -- (aswTdi)
DRV - [2010/12/31 21:59:11 | 000,100,176 | ---- | M] (AVAST Software) [File_System | Auto | Running] -- C:\WINDOWS\System32\drivers\aswmon2.sys -- (aswMon2)
DRV - [2010/12/31 21:56:49 | 000,023,632 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\aswRdr.sys -- (aswRdr)
DRV - [2010/12/31 21:56:29 | 000,029,264 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\aavmker4.sys -- (Aavmker4)
DRV - [2010/12/31 21:56:27 | 000,017,744 | ---- | M] (AVAST Software) [File_System | Auto | Running] -- C:\WINDOWS\System32\drivers\aswFsBlk.sys -- (aswFsBlk)
DRV - [2010/06/17 14:28:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/06/17 14:27:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/06/11 21:23:07 | 000,106,368 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2008/06/11 21:23:01 | 000,156,160 | R--- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RTS5121.sys -- (RSUSBSTOR)
DRV - [2008/05/08 04:21:40 | 004,739,072 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/04/01 23:56:56 | 000,263,680 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rtl8187Se.sys -- (rtl8187Se)
DRV - [2008/02/15 16:01:06 | 000,131,712 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tosrfbd.sys -- (tosrfbd)
DRV - [2008/01/31 16:55:06 | 000,074,240 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Tosrfhid.sys -- (Tosrfhid)
DRV - [2008/01/22 21:57:48 | 000,054,144 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TosRfSnd.sys -- (TosRfSnd)
DRV - [2007/11/29 10:45:44 | 000,036,608 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tosrfbnp.sys -- (tosrfbnp)
DRV - [2007/10/18 15:25:00 | 000,041,856 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tosrfusb.sys -- (Tosrfusb)
DRV - [2007/10/02 12:43:22 | 000,064,128 | ---- | M] (TOSHIBA Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tosrfcom.sys -- (Tosrfcom)
DRV - [2006/10/10 20:33:00 | 000,041,600 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tosporte.sys -- (tosporte)
DRV - [2005/01/07 06:42:00 | 000,018,612 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tosrfnds.sys -- (tosrfnds)
DRV - [2004/12/23 05:47:10 | 000,027,392 | R--- | M] (Ulead Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ULCDRHlp.sys -- (ULCDRHlp)
DRV - [2004/06/26 15:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\vnccom.SYS -- (vnccom)
DRV - [2004/06/26 15:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vncdrv.sys -- (vncdrv)
DRV - [2004/03/24 04:12:34 | 000,017,280 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\nsndis5.sys -- (NSNDIS5)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.4

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/04/17 23:00:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/03/27 14:42:47 | 000,000,000 | ---D | M]

[2010/09/10 14:46:03 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Bapper\Application Data\Mozilla\Extensions
[2011/06/01 23:03:26 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Bapper\Application Data\Mozilla\Firefox\Profiles\u2w553ap.default\extensions
[2011/02/15 20:53:17 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Documents and Settings\Bapper\Application Data\Mozilla\Firefox\Profiles\u2w553ap.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011/03/26 17:12:36 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Documents and Settings\Bapper\Application Data\Mozilla\Firefox\Profiles\u2w553ap.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2011/01/14 18:07:41 | 000,001,640 | ---- | M] () -- C:\Documents and Settings\Bapper\Application Data\Mozilla\Firefox\Profiles\u2w553ap.default\searchplugins\deezercom.xml
[2011/02/03 15:11:58 | 000,002,442 | ---- | M] () -- C:\Documents and Settings\Bapper\Application Data\Mozilla\Firefox\Profiles\u2w553ap.default\searchplugins\redlist.xml
[2011/02/26 16:09:35 | 000,002,507 | ---- | M] () -- C:\Documents and Settings\Bapper\Application Data\Mozilla\Firefox\Profiles\u2w553ap.default\searchplugins\wr-english-french.xml
[2011/06/01 23:03:26 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2011/01/17 09:09:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2011/01/17 09:08:49 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAM FILES\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011/01/17 09:08:48 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
[2011/03/07 11:21:58 | 000,001,516 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml
[2011/03/07 11:21:58 | 000,001,822 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\cnrtl-tlfi-fr.xml
[2011/03/07 11:21:58 | 000,000,757 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml
[2011/03/07 11:21:58 | 000,001,426 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml
[2011/03/07 11:21:58 | 000,000,956 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml

Hosts file not found
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avast5] C:\Program Files\Alwil Software\Avast5\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ITSecMng] C:\Program Files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe ( TOSHIBA CORPORATION)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe (Mirco-Star International CO., LTD.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WinVNC] C:\Program Files\UltraVNC\WinVNC.exe (www.ultravnc.fr)
O4 - HKCU..\Run: [Lheyeyif] File not found
O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil10n_Plugin.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Bluetooth Manager.lnk = C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.)
O4 - Startup: C:\Documents and Settings\Bapper\Menu Démarrer\Programmes\Démarrage\Dropbox.lnk = C:\Documents and Settings\Bapper\Application Data\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O4 - Startup: C:\Documents and Settings\Bapper\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.27.40.241 212.27.40.240
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Ma page d'accueil) - About:Home
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper: C:\Documents and Settings\Bapper\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005/01/03 02:00:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{2935df67-1eed-11e0-a684-001d92c90321}\Shell - "" = AutoRun
O33 - MountPoints2\{2935df67-1eed-11e0-a684-001d92c90321}\Shell\AutoRun\command - "" = "E:\WD SmartWare.exe" autoplay=true
O33 - MountPoints2\{688761a3-328e-11e0-a68b-001d92c90321}\Shell - "" = AutoRun
O33 - MountPoints2\{688761a3-328e-11e0-a68b-001d92c90321}\Shell\AutoRun\command - "" = "E:\WD SmartWare.exe" autoplay=true
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2011/06/01 23:38:52 | 000,000,000 | ---D | C] -- C:\Program Files\SEAF
[2011/06/01 23:33:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2011/06/01 23:18:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Bapper\Application Data\Avira
[2011/06/01 23:04:48 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Avira
[2011/06/01 23:04:26 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2011/06/01 23:04:21 | 000,137,656 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011/06/01 23:04:21 | 000,061,960 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2011/06/01 23:04:21 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2011/06/01 23:04:21 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2011/06/01 23:04:19 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2011/06/01 23:04:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Avira
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2011/06/02 00:34:05 | 000,001,150 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-3692563949-3503640241-3442727562-1005UA.job
[2011/06/01 23:12:00 | 000,002,281 | ---- | M] () -- C:\Documents and Settings\Bapper\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
[2011/06/01 23:11:59 | 000,002,303 | ---- | M] () -- C:\Documents and Settings\Bapper\Bureau\Google Chrome.lnk
[2011/06/01 23:04:48 | 000,001,717 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Avira AntiVir Control Center.lnk
[2011/06/01 23:01:47 | 000,000,794 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk
[2011/06/01 22:59:12 | 000,027,136 | ---- | M] () -- C:\Documents and Settings\Bapper\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/06/01 22:52:05 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/06/01 22:52:00 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/06/01 22:51:53 | 1062,526,976 | -HS- | M] () -- C:\hiberfil.sys
[2011/05/29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011/05/29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2011/06/01 23:04:48 | 000,001,717 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Avira AntiVir Control Center.lnk
[2010/11/01 12:09:34 | 000,055,496 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010/09/10 14:45:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010/09/10 13:01:47 | 000,027,136 | ---- | C] () -- C:\Documents and Settings\Bapper\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007/12/21 17:46:32 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll
[2005/07/22 22:30:18 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll
[2005/01/03 11:33:08 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005/01/03 09:39:49 | 000,001,188 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2005/01/03 09:39:45 | 000,503,894 | ---- | C] () -- C:\WINDOWS\System32\perfh00C.dat
[2005/01/03 09:39:45 | 000,322,810 | ---- | C] () -- C:\WINDOWS\System32\perfi00C.dat
[2005/01/03 09:39:45 | 000,081,824 | ---- | C] () -- C:\WINDOWS\System32\perfc00C.dat
[2005/01/03 09:39:45 | 000,034,108 | ---- | C] () -- C:\WINDOWS\System32\perfd00C.dat
[2005/01/03 09:39:39 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2005/01/03 09:39:38 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2005/01/03 09:39:38 | 000,435,594 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2005/01/03 09:39:38 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2005/01/03 09:39:38 | 000,068,490 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2005/01/03 09:39:38 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2005/01/03 09:39:38 | 000,004,628 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2005/01/03 09:39:37 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2005/01/03 09:39:35 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2005/01/03 09:39:35 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2005/01/03 09:39:33 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2005/01/03 09:39:31 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2005/01/03 07:51:28 | 006,184,960 | R--- | C] () -- C:\WINDOWS\System32\RTS5121icon.dll
[2005/01/03 03:40:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\tosOBEX.INI
[2005/01/03 02:55:57 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2005/01/03 02:52:22 | 000,004,205 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005/01/03 02:51:08 | 000,315,560 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2005/01/03 02:50:36 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4906.dll
[2005/01/03 02:03:18 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2005/01/03 01:58:20 | 000,021,892 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

[color=#E56717]========== LOP Check ==========[/color]

[2011/01/03 02:07:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Alwil Software
[2011/02/10 12:20:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\rkfree
[2005/01/03 03:39:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Ulead Systems
[2011/02/10 09:51:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Western Digital
[2010/09/15 00:02:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2005/01/03 06:35:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\{623D32E9-0C62-4453-AD44-98B31F52A5E1}
[2011/04/18 13:31:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Bapper\Application Data\BitTorrent
[2011/06/01 22:58:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Bapper\Application Data\Dropbox
[2011/03/27 15:58:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Bapper\Application Data\FreeAudioPack
[2011/04/10 16:07:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Bapper\Application Data\iPuissance 4D
[2011/01/17 09:12:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Bapper\Application Data\OpenOffice.org
[2011/02/11 11:15:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Bapper\Application Data\Western Digital

[color=#E56717]========== Purity Check ==========[/color]



[color=#E56717]========== Alternate Data Streams ==========[/color]

@Alternate Data Stream - 3020 bytes -> C:\Documents and Settings\All Users\Application Data\rkfree:cfg

< End of report >

Publicité
nardino
 Posté le 02/06/2011 à 09:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour

Il faudra penser à mettre à jour ton pc.

Télécharge cet outil sur ce site http://www.fr.logixoft.com/download.html

http://www.fr.logixoft.com/rk_uninstall.exe

Et lance-le et redémarre le pc.

Fais un scan avec Malwarebytes.

Poste le rapport après suppression et donne des infos sur l'évolution du problème.

@+



Modifié par nardino le 02/06/2011 10:00
Colasm
 Posté le 02/06/2011 à 16:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Merci de la prise en charge rapide de mon cas !

Bon j'ai suivit les instructions, toujours les mêmes alertes au niveau de MBAB, et normalement niveau rapport ça donne ça :

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6750

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

02/06/2011 16:45:09
mbam-log-2011-06-02 (16-45-09).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 211752
Temps écoulé: 1 heure(s), 8 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
c:\program files\rkfree\rkfree.exe (Keylogger.Logixoft) -> 576 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rkfree (Keylogger.Logixoft) -> Value: rkfree -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\rkfree\rkfree.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.
c:\documents and settings\Bapper\local settings\application data\Mozilla\Firefox\Profiles\u2w553ap.default\Cache\c9592ae1d01 (Keylogger.Logixoft) -> Quarantined and deleted successfully.
c:\documents and settings\Bapper\mes documents\téléchargements\rkfree_setup.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.
c:\documents and settings\Bapper\mes documents\téléchargements\rk_uninstall.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.



Modifié par Colasm le 02/06/2011 16:47
nardino
 Posté le 02/06/2011 à 18:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Le problème est donc réglé par MBAM ?

@+

Colasm
 Posté le 03/06/2011 à 00:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Malheureusement non ... Il est contenu (il bloque régulièrement des flux sortant vers des IP différentes ...) mais les alertes sont belles et bien toujours là ...

nardino
 Posté le 03/06/2011 à 09:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour

Tu as bien passé l'outil "maison" ?

@+

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
14,39 € €Chargeur de piles 8 slots EBL FY808 (charge individuelle, fonction décharge, 2 USB) à 14,39 €
Valable jusqu'au 20 Octobre

Amazon fait une promotion sur le chargeur de piles 8 slots EBL FY808 qui passe à 14,39 € au lieu d'une trentaine d'euros via une double promotion cumulable : un coupon de réduction à activer sur la page du produit et le code promo UU9E2O6L à saisir au moment du paiement

Ce chargeur rapide est compatible avec les piles AAA et AA. Il possède des protections contre la surchauffe, les surintensités, les cours-circuits et détecte les piles défectueuse. La recharge se fait individuellement. L'appareil dispose également d'une fonction qui peut décharge vos piles avant de les recharger en entier. Il dispose également de 2 ports USB (5V, 2.4A) pour recharger vos appareils mobiles.


> Voir l'offre
47,09 €SSD Crucial BX500 480 Go à 47,09 €
Valable jusqu'au 20 Octobre

Amazon propose actuellement le SSD Crucial BX500 480 Go à 47,09 € livré gratuitement alors qu'on le trouve ailleurs à plus de 60 €. Ce SSD offre des débits de 540 Mo/s en lecture et 500 Mo/s en écriture. Le SSD est accompagné du logiciel Acronis true image qui vous permettra de transférer tout le contenu de votre ancien disque dur sur le SSD. Il est garanti 3 ans. 


> Voir l'offre
61,99 €Alimentation Seasonic G12 GC 650W Plus Gold à 61,99 €
Valable jusqu'au 20 Octobre

RueDuCommerce propose actuellement la bonne alimentation Seasonic G12 GC 650W Plus Gold à 61,99 €. On la trouve habituellement à partir de 85 €. L'alimentation est garantie 5 ans.


> Voir l'offre

Sujets relatifs
Infection "Malware.Packer.GenX"
Infection par WINDEFENDER Malware traceDC3_FEXEC
Infection par win32:malware-gen
infection malware
VIR: Malware.trace , Generic.bot.h svchost.exe...
infection malware doctor
SVCHOST Malware
SVCHOST Vérolé Win 32 Malware
Infection VBS:Malware-gen Virus/Ver
Navigation Internet Très Lente! Infection Malware?
Plus de sujets relatifs à Infection Malware-gen svchost
 > Tous les forums > Forum Sécurité