High-Tech Santé Médecine Droit-Finances

Auto-Entrepreneur

Comment faire ?

Rechercher : dans
Par :

Backdoor detecté

Dernière réponse le 21 mar 2009 à 12:50:25 asterix720, le 17 mar 2009 à 17:15:39 
 Signaler ce message aux modérateurs

Bonjour,

Ce matin j'ai cliqué sur un fichier .exe que j'ai téléchargé et hop il disparait du bureau, j'été voir quelques sites web puis je suis retourné sur le bureau et la je vois que le fichier est revenu mais sans l'extension .exe, j'ai eu l'idée de l'ouvrir avec un éditeur de texte et la surprise! toutes les actions que j'ai effectué ont été enregistrer dans ce fichier! y compris mes mots de passe

J'ai paniqué et je l'ai vite supprimé mais il revient à chaque fois malgré ça, alors j'ai lancé un scan avec Ad-Aware mais il n'a rien trouvé, j'ai restauré le système à une ancienne date puis redémarrer le système, et la le fichier est disparu, mais paranoïaque que je suis j'ai lancé un scan complet avec Kaspersky anti virus, il a trouvé 2 Trojan :
Backdoor.Win32.Poison.vzk + Trojan.Win32.Patched.fh

J'ai passé aussi un coup de hijackthis :

[code]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:49:54, on 17/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Acer\Empowering Technology\admServ.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\RTHDCPL.EXE
D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RtkBtMnt.exe
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
D:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
D:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - D:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [Athan] D:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.10\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe
End of file - 9911 bytes


Merci de m'aider svp je n'ai pas envie qu'on me vole mes codes d'accès.

Configuration: Windows XP
Firefox 3.0.7

Meilleures réponses pour « Backdoor detecté » dans :
Détecter les infections et désinfecter avec The Cleaner VoirThe Cleaner est un logiciel est spécialisé contre les programmes malveillants. Il permet de les détecter et de les supprimer. Il est utile contre : Trojans Vers BackDoor Ad-Aware AdTool.Win32.MyWeb search Hoax Email-Flooder Sommaire...
[PHP] Détecter la résolution d'affichage Voir
GParted met très longtemps à détecter les périphériques VoirGParted est un éditeur de partitions disponible sous plusieurs OS. Si la première phase du chargement du logiciel (la détection des périphériques), qui vise à déterminer les disques durs et les partitions présentes sur votre système, est très...
Systèmes de détection d'intrusion (IDS) VoirIntroduction aux systèmes de détection d'intrusions On appelle IDS (Intrusion Detection System) un mécanisme écoutant le trafic réseau de manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi d'avoir une action de...
Détection d'attaques VoirL'analyse des journaux Un des meilleurs moyens de détecter les intrusions consiste à surveiller les journaux d'événements (appelés aussi journaux d'activité ou en anglais logs). En effet, d'une manière générale les serveurs stockent dans des...
Posez votre question Répondre

1

de passage, le 17 mar 2009 à 17:25:51

Salut ,


O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

je n'ai pas envie qu'on me vole mes codes d'accès.

........

   
Répondre à de passage

2

asterix720, le 17 mar 2009 à 17:31:16

Je supprime ces 5 entrées et c'est tout?

voila ce que ça donne après suppression :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:32:01, on 17/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Acer\Empowering Technology\admServ.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\RTHDCPL.EXE
D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RtkBtMnt.exe
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
D:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
D:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - D:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [Athan] D:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.10\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe
End of file - 9781 bytes

   
Répondre à asterix720

3

asterix720, le 17 mar 2009 à 17:41:14

Sinon est ce que l'éventuel pirate a déjà reçu des informations confidentielles depuis mon ordinateur?
Devrais je modifier mes mots de passe?

   
Répondre à asterix720

4

Redbart, le 17 mar 2009 à 17:45:21

Bjr
télécharge
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
désactive spybot le temps de l'analyse
màj et scan complet
post le rapport svt Soyez précis et complet dans vos questions, les lecteurs ne ­sont pas devins.
Les moteurs de recherche sont là pour vous aider.

   
Répondre à Redbart

5

asterix720, le 17 mar 2009 à 20:33:33

Merci de ta réponse,
voila le rapport complet :

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1859
Windows 5.1.2600 Service Pack 3

17/03/2009 20:27:00
mbam-log-2009-03-17 (20-27-00).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 222818
Temps écoulé: 1 hour(s), 55 minute(s), 44 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

   
Répondre à asterix720

6

asterix720, le 17 mar 2009 à 21:13:55

J'ai fais un netstat et voila ce que j'ai trouvé, est ce que c'est normal?

TCP user-f33118:3717 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
TCP user-f33118:3721 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
TCP user-f33118:3728 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
TCP user-f33118:3736 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
TCP user-f33118:3737 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
TCP user-f33118:3738 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
TCP user-f33118:4002 75.6.5746.static.theplanet.com:http ESTABLISHED
TCP user-f33118:4006 75.6.5746.static.theplanet.com:http ESTABLISHED
TCP user-f33118:4009 75.6.5746.static.theplanet.com:http ESTABLISHED
TCP user-f33118:4039 66.179.5.20:http ESTABLISHED
TCP user-f33118:4046 orbit-beta.theplanet.com:http ESTABLISHED

   
Répondre à asterix720

7

Redbart, le 17 mar 2009 à 21:27:13

Est ce que ces connexions ne sont pas en rapport avec ton site web?

quel est ton pare feu? Soyez précis et complet dans vos questions, les lecteurs ne ­sont pas devins.
Les moteurs de recherche sont là pour vous aider.

   
Répondre à Redbart

8

asterix720, le 17 mar 2009 à 21:32:19

Non je ne connais pas ces sites web, j'utilise le pare feu de Windows XP.

   
Répondre à asterix720

9

Redbart, le 17 mar 2009 à 22:01:22

Ce pare feu est de la poudre aux yeux:
http://www.commentcamarche.net/faq/sujet 3486 securite le pare feu de windows xp

installe :
http://www.zonealarm.com/security/fr/zonealarm-pc-security-f­ree-firewall.htm
tuto :
http://www.malekal.com/tutorial_zonealarm.php


Soyez précis et complet dans vos questions, les lecteurs ne ­sont pas devins.
Les moteurs de recherche sont là pour vous aider.

   
Répondre à Redbart

10

asterix720, le 17 mar 2009 à 22:34:10

J'ai installé zone alarm, voila ce qu'il a trouvé:

Fichier: D:\Program Files\PPStream\PowerPlayer.dll
GUID: {1AF34165-6CA9-4F08-BC21-49AEDC68D828}
Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{1AF34165-6CA9-4F0­8-BC21-49AEDC68D828}
Fichier: D:\Program Files\PPStream\PowerList.ocx
GUID: {20C2C286-BDE8-441B-B73D-AFA22D914DA5}
Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{20C2C286-BDE8-441­B-B73D-AFA22D914DA5}
GUID: {5EC7C511-CD0F-42E6-830C-1BD9882F3458}
Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{5EC7C511-CD0F-42E­6-830C-1BD9882F3458}
GUID: {EB394D1B-799F-4372-B405-B11F5220B75F}
Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EB394D1B-799F-437­2-B405-B11F5220B75F}
Répertoire: D:\Documents and Settings\Administrateur\Application Data\PPStream\Skin
Répertoire: D:\Documents and Settings\Administrateur\Application Data\PPStream\Skin\Vista
Répertoire: D:\Documents and Settings\Administrateur\Application Data\PPStream
Clé de registre: HKEY_CURRENT_USER\Software\PPStream
Clé de registre d'interface: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{3790C037-C104­-4AAC-97D4-0DE9280AF7E3}
Nom de l'interface: _DPowerListEvents
Clé de registre d'interface: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{3F95A360-48CA­-47B4-B9EF-CA19B94D074D}
Nom de l'interface: _DPowerList
Clé de registre d'interface: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{5D0CE636-38CD­-4AE7-8BEF-D33CE4A01C83}
Nom de l'interface: _DPowerPlayerEvents
Clé de registre d'interface: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{98CB8A58-AF21­-45A2-9B41-6626C2F79665}
Nom de l'interface: _DPowerPlayer
Clé de registre TypeLib: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TypeLib\{8BEBA807-5611-4­E22-BCF7-280DAED9A1F3}
Clé de registre TypeLib: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TypeLib\{C400B05B-CD0E-4­ADF-9381-20A3C672B473}
Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\POWERLIST.PowerListCtrl.­1
Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\POWERPLAYER.PowerPlayerC­trl.1
Clé de registre: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\pps
Clé de registre: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\ppstream
Clé de registre: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\ppstreamvod
Clé de registre: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\ppstreamvodres
Fichier: D:\WINDOWS\Powerplayer.ini
Fichier: D:\WINDOWS\psnetwork.ini
Fichier: D:\Documents and Settings\Administrateur\Application Data\Microsoft\Internet Explorer\Quick Launch\PPStream.lnk
Fichier: D:\Documents and Settings\Administrateur\Bureau\PPStream.lnk
Fichier: D:\Documents and Settings\Administrateur\Application Data\PPStream\Skin\Vista\Vista.jpg
Fichier: D:\Documents and Settings\Administrateur\Application Data\PPStream\Skin\Vista\Vista.ssk


Comment être sur que l'ordinateur n'est plus infecté?

Merci bcp de votre aide.

   
Répondre à asterix720

11

Redbart, le 17 mar 2009 à 22:51:50

Où as tu trouvé ce rapport? je n'en ai pas demandé

Zonealarm est un parefeu, son usage est de bloquer le maximum d'entrées et de sorties indésirables de ton pc
il protège ton pc des attaques venant du net, évidemment pas à 100 %

pour le reste t'as spybot , est ce que tu as vacciné régulièrement ton pc? et planifié les màj + scan

je pense que kaspersky AV est bon, là aussi màj et scan régulier


Comment être sur que l'ordinateur n'est plus infecté? il existe une bonne Xzaines d'outils divers pour la désinfection





Soyez précis et complet dans vos questions, les lecteurs ne ­sont pas devins.
Les moteurs de recherche sont là pour vous aider.

   
Répondre à Redbart

12

asterix720, le 17 mar 2009 à 22:56:56

C'est le rapport d'analyse de zone alarm.

Sinon pour les customer.teliacarrier.com qui j'ai trouvé dans le netstat, après une recherche sur Google j'ai vu que ça a un rapport avec les jeux en ligne comme World of craft, or je ne joue à aucun jeu en ligne depuis mon pc.

   
Répondre à asterix720

13

Redbart, le 17 mar 2009 à 23:48:05

Ppstream : est ce que tu regarde la télé chinoise?
http://www.chine-informations.com/...

ok on arrête là pour aujourd'hui
bonne nuit Soyez précis et complet dans vos questions, les lecteurs ne ­sont pas devins.
Les moteurs de recherche sont là pour vous aider.

   
Répondre à Redbart

14

asterix720, le 17 mar 2009 à 23:50:17

Oui je regarde une télé chinoise.

Merci pour tout!

Bonne nuit.

   
Répondre à asterix720

15

Redbart, le 17 mar 2009 à 23:53:30

Il parait que tv ants à + de chaines
sur clubic Soyez précis et complet dans vos questions, les lecteurs ne ­sont pas devins.
Les moteurs de recherche sont là pour vous aider.

   
Répondre à Redbart

16

asterix720, le 18 mar 2009 à 13:57:04

Je la regarde uniquement pour les matchs du foot ;)

   
Répondre à asterix720

17

Redbart, le 18 mar 2009 à 14:17:31

Qu'en est il de ton keylogger? est il toujours là? Soyez précis et complet dans vos questions, les lecteurs ne ­sont pas devins.
Les moteurs de recherche sont là pour vous aider.

   
Répondre à Redbart

18

asterix720, le 18 mar 2009 à 15:19:21

Je viens de faire un scan en ligne avec BitDefender
voila le rapport :

D:\System Volume Information\_restore{D22CECB7-3472-4990-B1F4-1378DEFB73EF}\R­P64\A0032554.exe


Infecté par: Trojan.Generic.151372

D:\System Volume Information\_restore{D22CECB7-3472-4990-B1F4-1378DEFB73EF}\R­P64\A0032554.exe


Supprimé

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0176


Détecté avec: Adware.Baidu.Sobar.A

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0176


Supprimé

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)


Echec de la mise à jour

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0177


Infecté par: Trojan.Generic.764323

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0177


Supprimé

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)


Echec de la mise à jour

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0178


Détecté avec: Adware.Generic.36883

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0178


Supprimé

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)


Echec de la mise à jour



Je crois que je n'aurais pas du faire la restauration du système avant de virer les trojans :-(

   
Répondre à asterix720

19

Trying2, le 18 mar 2009 à 15:26:50

Hello,

Il faut que tu purges ta restauration.
@+

   
Répondre à Trying2

20

Redbart, le 18 mar 2009 à 16:01:10

Après la purge fait un aussi scan avec spybot à jour

Soyez précis et complet dans vos questions, les lecteurs ne ­sont pas devins.
Les moteurs de recherche sont là pour vous aider.

   
Répondre à Redbart
34 réponses 12 Suivant
Posez votre question Répondre
Ils ont besoin de votre aide