Posez votre question Signaler

Backdoor detecté [Résolu]

asterix720 40Messages postés 17 mars 2009Date d'inscription 22 novembre 2010Dernière intervention - Dernière réponse le 21 mars 2009 à 12:50

Bonjour,
Ce matin j'ai cliqué sur un fichier .exe que j'ai téléchargé et hop il disparait du bureau, j'été voir quelques sites web puis je suis retourné sur le bureau et la je vois que le fichier est revenu mais sans l'extension .exe, j'ai eu l'idée de l'ouvrir avec un éditeur de texte et la surprise! toutes les actions que j'ai effectué ont été enregistrer dans ce fichier! y compris mes mots de passe
J'ai paniqué et je l'ai vite supprimé mais il revient à chaque fois malgré ça, alors j'ai lancé un scan avec Ad-Aware mais il n'a rien trouvé, j'ai restauré le système à une ancienne date puis redémarrer le système, et la le fichier est disparu, mais paranoïaque que je suis j'ai lancé un scan complet avec Kaspersky anti virus, il a trouvé 2 Trojan :
Backdoor.Win32.Poison.vzk + Trojan.Win32.Patched.fh
J'ai passé aussi un coup de hijackthis :
[code]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:49:54, on 17/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Acer\Empowering Technology\admServ.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\RTHDCPL.EXE
D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RtkBtMnt.exe
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
D:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
D:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - D:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [Athan] D:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.10\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe

Backdoor detecté »

Suggestions

Backdoor detecté
Backdoor détecté » Forum
Virus detecté backdoor (Résolu) » Forum
Backdoor.Win32 détecté par Gdata bizarre !!! » Forum
Backdoor et autre virus detecter » Forum
Backdoor.win 32 détecté par kaperski (vista) » Forum
DRIVER DETECTIVE » Télécharger
Disque dur externe non détecté » Forum
Itunes ne detecte pas mon iphone » Forum
Disque dur non détecté (Résolu) » Forum

Plus

Réponse

de passage 17 mars 2009 à 17:25

Salut ,

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

je n'ai pas envie qu'on me vole mes codes d'accès.

........

Ajouter un commentaire

Réponse

asterix720 40Messages postés 17 mars 2009Date d'inscription 22 novembre 2010Dernière intervention 17 mars 2009 à 17:31

Je supprime ces 5 entrées et c'est tout?

voila ce que ça donne après suppression :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:32:01, on 17/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Acer\Empowering Technology\admServ.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\RTHDCPL.EXE
D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RtkBtMnt.exe
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
D:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
D:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - D:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [Athan] D:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.10\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe

Ajouter un commentaire - Site web

Réponse

asterix720 40Messages postés 17 mars 2009Date d'inscription 22 novembre 2010Dernière intervention 17 mars 2009 à 17:41

Sinon est ce que l'éventuel pirate a déjà reçu des informations confidentielles depuis mon ordinateur?
Devrais je modifier mes mots de passe?

Ajouter un commentaire - Site web

Réponse

Redbart 9937Messages postés 16 décembre 2007Date d'inscription 10 février 2012Dernière intervention 17 mars 2009 à 17:45

Bjr
télécharge
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
désactive spybot le temps de l'analyse
màj et scan complet
post le rapport svt

Ajouter un commentaire

Réponse

asterix720 40Messages postés 17 mars 2009Date d'inscription 22 novembre 2010Dernière intervention 17 mars 2009 à 20:33

Merci de ta réponse,
voila le rapport complet :

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1859
Windows 5.1.2600 Service Pack 3

17/03/2009 20:27:00
mbam-log-2009-03-17 (20-27-00).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 222818
Temps écoulé: 1 hour(s), 55 minute(s), 44 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Ajouter un commentaire - Site web

Réponse

asterix720 40Messages postés 17 mars 2009Date d'inscription 22 novembre 2010Dernière intervention 17 mars 2009 à 21:13

J'ai fais un netstat et voila ce que j'ai trouvé, est ce que c'est normal?

TCP user-f33118:3717 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
TCP user-f33118:3721 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
TCP user-f33118:3728 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
TCP user-f33118:3736 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
TCP user-f33118:3737 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
TCP user-f33118:3738 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
TCP user-f33118:4002 75.6.5746.static.theplanet.com:http ESTABLISHED
TCP user-f33118:4006 75.6.5746.static.theplanet.com:http ESTABLISHED
TCP user-f33118:4009 75.6.5746.static.theplanet.com:http ESTABLISHED
TCP user-f33118:4039 66.179.5.20:http ESTABLISHED
TCP user-f33118:4046 orbit-beta.theplanet.com:http ESTABLISHED

Ajouter un commentaire - Site web

Réponse

Redbart 9937Messages postés 16 décembre 2007Date d'inscription 10 février 2012Dernière intervention 17 mars 2009 à 21:27

est ce que ces connexions ne sont pas en rapport avec ton site web?

quel est ton pare feu?

Ajouter un commentaire

Réponse

asterix720 40Messages postés 17 mars 2009Date d'inscription 22 novembre 2010Dernière intervention 17 mars 2009 à 21:32

Non je ne connais pas ces sites web, j'utilise le pare feu de Windows XP.

Ajouter un commentaire - Site web

Réponse

Redbart 9937Messages postés 16 décembre 2007Date d'inscription 10 février 2012Dernière intervention 17 mars 2009 à 22:01

ce pare feu est de la poudre aux yeux:
http://www.commentcamarche.net/faq/sujet 3486 securite le pare feu de windows xp

installe :
http://www.zonealarm.com/security/fr/zonealarm-pc-security-free-firewall.htm
tuto :
http://www.malekal.com/tutorial_zonealarm.php

Soyez précis et complet dans vos questions, les lecteurs ne sont pas devins.
Les moteurs de recherche sont là pour vous aider.

Ajouter un commentaire

Réponse

asterix720 40Messages postés 17 mars 2009Date d'inscription 22 novembre 2010Dernière intervention 17 mars 2009 à 22:34

J'ai installé zone alarm, voila ce qu'il a trouvé:

Fichier: D:\Program Files\PPStream\PowerPlayer.dll
GUID: {1AF34165-6CA9-4F08-BC21-49AEDC68D828}
Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{1AF34165-6CA9-4F08-BC21-49AEDC68D828}
Fichier: D:\Program Files\PPStream\PowerList.ocx
GUID: {20C2C286-BDE8-441B-B73D-AFA22D914DA5}
Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{20C2C286-BDE8-441B-B73D-AFA22D914DA5}
GUID: {5EC7C511-CD0F-42E6-830C-1BD9882F3458}
Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{5EC7C511-CD0F-42E6-830C-1BD9882F3458}
GUID: {EB394D1B-799F-4372-B405-B11F5220B75F}
Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EB394D1B-799F-4372-B405-B11F5220B75F}
Répertoire: D:\Documents and Settings\Administrateur\Application Data\PPStream\Skin
Répertoire: D:\Documents and Settings\Administrateur\Application Data\PPStream\Skin\Vista
Répertoire: D:\Documents and Settings\Administrateur\Application Data\PPStream
Clé de registre: HKEY_CURRENT_USER\Software\PPStream
Clé de registre d'interface: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{3790C037-C104-4AAC-97D4-0DE9280AF7E3}
Nom de l'interface: _DPowerListEvents
Clé de registre d'interface: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{3F95A360-48CA-47B4-B9EF-CA19B94D074D}
Nom de l'interface: _DPowerList
Clé de registre d'interface: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{5D0CE636-38CD-4AE7-8BEF-D33CE4A01C83}
Nom de l'interface: _DPowerPlayerEvents
Clé de registre d'interface: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{98CB8A58-AF21-45A2-9B41-6626C2F79665}
Nom de l'interface: _DPowerPlayer
Clé de registre TypeLib: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TypeLib\{8BEBA807-5611-4E22-BCF7-280DAED9A1F3}
Clé de registre TypeLib: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TypeLib\{C400B05B-CD0E-4ADF-9381-20A3C672B473}
Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\POWERLIST.PowerListCtrl.1
Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\POWERPLAYER.PowerPlayerCtrl.1
Clé de registre: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\pps
Clé de registre: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\ppstream
Clé de registre: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\ppstreamvod
Clé de registre: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\ppstreamvodres
Fichier: D:\WINDOWS\Powerplayer.ini
Fichier: D:\WINDOWS\psnetwork.ini
Fichier: D:\Documents and Settings\Administrateur\Application Data\Microsoft\Internet Explorer\Quick Launch\PPStream.lnk
Fichier: D:\Documents and Settings\Administrateur\Bureau\PPStream.lnk
Fichier: D:\Documents and Settings\Administrateur\Application Data\PPStream\Skin\Vista\Vista.jpg
Fichier: D:\Documents and Settings\Administrateur\Application Data\PPStream\Skin\Vista\Vista.ssk

Comment être sur que l'ordinateur n'est plus infecté?

Merci bcp de votre aide.

Ajouter un commentaire - Site web

Réponse

Redbart 9937Messages postés 16 décembre 2007Date d'inscription 10 février 2012Dernière intervention 17 mars 2009 à 22:51

où as tu trouvé ce rapport? je n'en ai pas demandé

Zonealarm est un parefeu, son usage est de bloquer le maximum d'entrées et de sorties indésirables de ton pc
il protège ton pc des attaques venant du net, évidemment pas à 100 %

pour le reste t'as spybot , est ce que tu as vacciné régulièrement ton pc? et planifié les màj + scan

je pense que kaspersky AV est bon, là aussi màj et scan régulier

Comment être sur que l'ordinateur n'est plus infecté? il existe une bonne Xzaines d'outils divers pour la désinfection

Soyez précis et complet dans vos questions, les lecteurs ne sont pas devins.
Les moteurs de recherche sont là pour vous aider.

Ajouter un commentaire

Réponse

asterix720 40Messages postés 17 mars 2009Date d'inscription 22 novembre 2010Dernière intervention 17 mars 2009 à 22:56

C'est le rapport d'analyse de zone alarm.

Sinon pour les customer.teliacarrier.com qui j'ai trouvé dans le netstat, après une recherche sur Google j'ai vu que ça a un rapport avec les jeux en ligne comme World of craft, or je ne joue à aucun jeu en ligne depuis mon pc.

Ajouter un commentaire - Site web

Réponse

Redbart 9937Messages postés 16 décembre 2007Date d'inscription 10 février 2012Dernière intervention 17 mars 2009 à 23:48

ppstream : est ce que tu regarde la télé chinoise?
http://www.chine-informations.com/...

ok on arrête là pour aujourd'hui
bonne nuit

Ajouter un commentaire

Réponse

asterix720 40Messages postés 17 mars 2009Date d'inscription 22 novembre 2010Dernière intervention 17 mars 2009 à 23:50

Oui je regarde une télé chinoise.

Merci pour tout!

Bonne nuit.

Ajouter un commentaire - Site web

Réponse

Redbart 9937Messages postés 16 décembre 2007Date d'inscription 10 février 2012Dernière intervention 17 mars 2009 à 23:53

il parait que tv ants à + de chaines
sur clubic

Ajouter un commentaire

Réponse

asterix720 40Messages postés 17 mars 2009Date d'inscription 22 novembre 2010Dernière intervention 18 mars 2009 à 13:57

Je la regarde uniquement pour les matchs du foot ;)

Ajouter un commentaire - Site web

Réponse

Redbart 9937Messages postés 16 décembre 2007Date d'inscription 10 février 2012Dernière intervention 18 mars 2009 à 14:17

qu'en est il de ton keylogger? est il toujours là?

Ajouter un commentaire

Réponse

asterix720 40Messages postés 17 mars 2009Date d'inscription 22 novembre 2010Dernière intervention 18 mars 2009 à 15:19

Je viens de faire un scan en ligne avec BitDefender
voila le rapport :

D:\System Volume Information\_restore{D22CECB7-3472-4990-B1F4-1378DEFB73EF}\RP64\A0032554.exe

Infecté par: Trojan.Generic.151372

D:\System Volume Information\_restore{D22CECB7-3472-4990-B1F4-1378DEFB73EF}\RP64\A0032554.exe

Supprimé

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0176

Détecté avec: Adware.Baidu.Sobar.A

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0176

Supprimé

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)

Echec de la mise à jour

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0177

Infecté par: Trojan.Generic.764323

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0177

Supprimé

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)

Echec de la mise à jour

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0178

Détecté avec: Adware.Generic.36883

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0178

Supprimé

D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)

Echec de la mise à jour

Je crois que je n'aurais pas du faire la restauration du système avant de virer les trojans :-(

Ajouter un commentaire - Site web

Trying2 - 18 mars 2009 à 15:26

Hello,

Il faut que tu purges ta restauration.
@+

Réponse

Redbart 9937Messages postés 16 décembre 2007Date d'inscription 10 février 2012Dernière intervention 18 mars 2009 à 16:01

après la purge fait un aussi scan avec spybot à jour

Ajouter un commentaire

Réponse

asterix720 40Messages postés 17 mars 2009Date d'inscription 22 novembre 2010Dernière intervention 19 mars 2009 à 12:40

Voila j'ai fais la purge, et j'ai refais un scan après reboot du pc avec spybot et avec Kaspersky, apparemment plus de trace du trojan, j'espère qu'il est vraiment partie!

En tout cas merci pour toute l'aide que vous m'avez apporter.

Ajouter un commentaire - Site web

Trying2 - 19 mars 2009 à 12:55

Hello,

Reposte un scan d'hijackthis pour vérifier.

1 2

Répondre au sujet

Posez votre question

Dossier à la une

5 extensions si vous voulez revenir à l'ancien Facebook

5 extensions si vous voulez revenir à l'ancien Facebook

Vous n'aimez pas le lifting de Facebook ? Le site Mashable propose cinq étapes pour revenir à l'ancienne présentation du réseau social.

Les interviews exclusives

Bazando fidélise ses clients avec les Facebook credits

Toutes les interviews

Collection CommentÇaMarche.net

Laurent Ricard

Tout pour bien utiliser l'iPhone 4 et 3GS

Plus de livres

Backdoor detecté [Résolu]

Backdoor detecté »

5 extensions si vous voulez revenir à l'ancien Facebook

"un outil vraiment simple à la portée de tous"

Tout sur le Web 2.0 : Pour être à la pointe du Net

Tout pour bien utiliser l'iPhone 4 et 3GS

Tout sur le développement logiciel : Écrire du code efficace

Tout sur les réseaux et Internet : Concevoir et sécuriser son réseau

Tout sur les réseaux sans fil