High-Tech Santé Médecine Droit-Finances

Test

Sony Vaio NW21EF/S

Rechercher : dans
Par :

Ordinateur infecté ? Besoin d'avis éclairés

Dernière réponse le 2 sep 2009 à 12:31:22 NoTo96, le 23 aoû 2009 à 16:35:23 
 Signaler ce message aux modérateurs

Bonjour,

Je me suis rendu compte hier qu'un processus (msr.exe) ralentissait anormalement mon PC.
J'ai donc lancé CCleaner 2.15 puis A-squared 4.5 pour nettoyer tout ça..

A-Squarred a détecté un trojan et deux adwares (hors cookies) :
- Virus.Win32.Trojan!IK
- AdWare.AdSpy!IK (le premier lancement de A-squared [avorté au milieu malheureusement] a mis en quarantaine 15 fichiers atteints)
- AdWare/PremiumO!IK (1 fichier en quarantaine)

-----
RAPPORT :
Version - a-squared Free 4.5
Dernière mise à jour : 22/08/2009 20:40:36

Paramètres des balayages :

Type de numérisation : Scan Rusé
Éléments : Mémoire, Traces, Cookies, C:\Windows\, C:\Program Files
Balaye dans les archives : Marche
Analyse heuristique : Arrêt
Balaye dans les ADS : Marche

Début du balayage : 23/08/2009 14:02:57

C:\Users\Nic©\AppData\Roaming\Microsoft\Windows\Cookies\nic©­@atdmt[1].txt Objets détectés : Trace.TrackingCookie.atdmt!A2
C:\Users\Nic©\AppData\Roaming\Microsoft\Windows\Cookies\nic©­@atdmt[2].txt Objets détectés : Trace.TrackingCookie.atdmt!A2
C:\Users\Nic©\AppData\Roaming\Microsoft\Windows\Cookies\nic©­@bs.serving-sys[2].txt Objets détectés : Trace.TrackingCookie.bs.serving-sys!A2
C:\Users\Nic©\AppData\Roaming\Microsoft\Windows\Cookies\nic©­@doubleclick[1].txt Objets détectés : Trace.TrackingCookie.doubleclick!A2
C:\Users\Nic©\AppData\Roaming\Microsoft\Windows\Cookies\nic©­@serving-sys[2].txt Objets détectés : Trace.TrackingCookie.serving-sys!A2
C:\Users\Nic©\AppData\Roaming\Microsoft\Windows\Cookies\nic©­@weborama[1].txt Objets détectés : Trace.TrackingCookie.weborama!A2
C:\Windows\System32\srksrv.exe Objets détectés : Virus.Win32.Trojan!IK
C:\Program Files\PermissionResearch\prls.dll Objets détectés : AdWare.AdSpy!IK

Analysé

Fichiers : 183802
Traces : 536096
Cookies : 34
Processus : 57

Objets trouvés

Fichiers : 2
Traces : 0
Cookies : 6
Processus : 0
Clés de Registre : 0

Fin du balayage : 23/08/2009 16:15:39
Temps du balayage : 2:12:42
------

En représailles j'ai tout supprimé puis lancé HijackThis, voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:26:01, on 23/08/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.packardbell.com/?id=9136
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [CarboniteSetupLite] "C:\Program Files\Packard Bell\Carbonite\CarboniteSetupLitePBPreInstaller.exe" /preinstalled
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\SideBar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/...
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {49E67060-2C0D-415E-94C7-52A49F73B2F1} (CPlayFirstPiratePoppersControl Object) - http://jeuxentelechargement.orange.fr/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://noto96.spaces.live.com/PhotoUpload/VistaMsnPUpldfr-fr.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxenligne.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - file:///C:/Users/Nic©/AppData/Local/Oberon%20Media/Oberon%20Games%20Host/popcaploader_v10.cab
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files/activex/InfosFinder2.CAB
O16 - DPF: {FC4CAF5F-91BD-4DD9-ADC1-F3C737E37BC4} (CPlayFirstSweetopiaControl Object) - http://jeuxenligne.orange.fr/GameShell/online/fr/sweetopia/Sweetopia.1.0.0.46.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: dlbc_device - - C:\Windows\system32\dlbccoms.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.7.801.7324 (GoogleDesktopManager-010708-104812) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\System32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PermissionResearch - TMRG, Inc. - C:\Program Files\PermissionResearch\prservice.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe
End of file - 9075 bytes

Vous en pensez quoi ? Est-ce que certaines lignes devraient être supprimées ??
Merci pour votre temps et vos conseils !
NoTo

Configuration: Windows Vista
Firefox 3.5.2
Avast 4.8 éd. familiale

Meilleures réponses pour « Ordinateur infecté ? Besoin d'avis éclairés » dans :
[Virus] Que faire quand on est infecté ? VoirSi vous savez ou vous pensez être infecté par un virus Si vous savez ou vous pensez être infecté par un virus, il faut s'en occuper le plus rapidement possible car l'infection peut inviter d'autres infections dans votre PC et votre système risque...
Posez votre question Répondre

1

gen-hackman, le 23 aoû 2009 à 16:39:09

Salut :

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

▶- Vas dans "Démarrer" puis Panneau de configuration.

▶- Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs.

▶- Clique sur Continuer.

▶- Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.

▶- Valide par OK et redémarre.

Tuto

ensuite :

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

▶ Télécharge List&Kill'em et enregistre-le sur ton bureau

Il ne necessite pas d'installation

▶double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

▶laisse travailler l'outil

le rapport va s'afficher , une fois le scan fini

▶▶▶▶▶▶▶ ATTENTION : Efface ton adresse IP stp !!!!

ici :

[121]: KB973815 - Update
[122]: KB973869 - Update
[123]: XpsEPSC
Carte(s) r‚seau: 4 carte(s) r‚seau install‚e(s).
[01]: Bluetooth PAN Network Adapter
Nom de la connexion : Connexion au r‚seau local 2
tat : Support d‚connect‚
[02]: Intel(R) PRO/1000 CT Network Connection
Nom de la connexion : Connexion au r‚seau local
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.0.11
[03]: VirtualBox Host-Only Ethernet Adapter
Nom de la connexion : VirtualBox Host-Only Network
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.56.1
[04]: VirtualBox Host-Only Ethernet Adapter
Nom de la connexion : VirtualBox Host-Only Network #2
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.217.1

Nom de l'image PIDÿ Nom de la sessio Num‚ro d Utilisation
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 Ko
System 4 Console 0 244 Ko
smss.exe 916 Console 0 400 Ko
csrss.exe 972 Console 0 4ÿ456 Ko
winlogon.exe 996 Console 0 3ÿ536 Ko

▶ colle le contenu dans ta prochaine réponse ♦G3и-н@¢км@и™©®♦

   
Répondre à gen-hackman

2

NoTo96, le 24 aoû 2009 à 10:49:48

Merci pour ton temps ;-)

Voici le rapport en question. Je ne vois rien sous "infection", j"imagine que c'est bon signe ? :P

List'em by g3n-h@ckm@n 1.0.2.8

updated on 23.08.2009 ::::: 13.00


Microsoft Windows [version 6.0.6001]


24/08/2009 10:42:33,59


Nom de l'h“te: PC-DE-NIC¸
Nom du systŠme d'exploitation: Microsoft© Windows VistaT dition Familiale Premium
Version du systŠme: 6.0.6001 Service Pack 1 version 6001
Fabricant du systŠme d'exploitation: Microsoft Corporation
Configuration du systŠme d'exploitation: Station de travail autonome
Type de version du systŠme d'exploitation: Multiprocessor Free
Propri‚taire enregistr‚: Nic¸
Organisation enregistr‚e:
Identificateur de produit: 89578-OEM-7332157-00115
Date d'installation originale: 13/09/2008, 15:52:54
Heure de d‚marrage du systŠme: 24/08/2009, 10:39:13
Fabricant du systŠme: Packard Bell BV
ModŠle du systŠme: EasyNote ML61
Type du systŠme: X86-based PC
Processeur(s): 1 processeur(s) install‚(s).
[01]ÿ: x64 Family 17 Model 3 Stepping 1 AuthenticAMD ~2000 MHz
Version du BIOS: Phoenix Technologies LTD PBPF1200.P07 , 22/07/2008
R‚pertoire Windows: C:\Windows
R‚pertoire systŠme: C:\Windows\system32
P‚riph‚rique d'amor‡age: \Device\HarddiskVolume2
Option r‚gionale du systŠme: fr;Fran‡ais (France)
ParamŠtres r‚gionaux d'entr‚e: fr;Fran‡ais (France)
Fuseau horaire: (GMT+01:00) Bruxelles, Copenhague, Madrid, Paris
M‚moire physique totale: 3ÿ582 Mo
M‚moire physique disponible: 2ÿ558 Mo
Fichier d'‚changeÿ: taille maximale: 7ÿ351 Mo
Fichier d'‚changeÿ: disponible: 6ÿ375 Mo
Fichier d'‚changeÿ: en cours d'utilisation: 976 Mo
Emplacements des fichiers d'‚change: C:\pagefile.sys
Domaine: WORKGROUP
Serveur d'ouverture de session: \\PC-DE-NIC¸
Correctif(s): 94 Corrections install‚es.
[01]: {AC76BA86-7AD7-0000-2550-7A8C40000814} -
[02]: {5D96A7C7-7CDB-434D-B9AA-E77BE2F11BFB}
[03]: KB937286
[04]: 942567
[05]: KB905866
[06]: KB935509
[07]: KB937287
[08]: KB938371
[09]: KB938464
[10]: KB941693
[11]: KB946084
[12]: KB947562
[13]: KB947864
[14]: KB947880
[15]: KB948590
[16]: KB948609
[17]: KB948610
[18]: KB948881
[19]: KB949246
[20]: KB949247
[21]: KB950124
[22]: KB950125
[23]: KB950126
[24]: KB950582
[25]: KB950762
[26]: KB950974
[27]: KB951066
[28]: KB951072
[29]: KB951698
[30]: KB951978
[31]: KB952004
[32]: KB952069
[33]: KB952287
[34]: KB952709
[35]: KB953155
[36]: KB953270
[37]: KB953733
[38]: KB953838
[39]: KB953839
[40]: KB954154
[41]: KB954211
[42]: KB954366
[43]: KB954459
[44]: KB955020
[45]: KB955069
[46]: KB955302
[47]: KB955430
[48]: KB955519
[49]: KB955839
[50]: KB956390
[51]: KB956391
[52]: KB956572
[53]: KB956744
[54]: KB956802
[55]: KB956841
[56]: KB957095
[57]: KB957097
[58]: KB957200
[59]: KB957321
[60]: KB957388
[61]: KB958215
[62]: KB958481
[63]: KB958483
[64]: KB958623
[65]: KB958624
[66]: KB958644
[67]: KB958687
[68]: KB958690
[69]: KB959108
[70]: KB959130
[71]: KB959426
[72]: KB959772
[73]: KB960225
[74]: KB960544
[75]: KB960714
[76]: KB960715
[77]: KB960803
[78]: KB961260
[79]: KB961371
[80]: KB961501
[81]: KB963027
[82]: KB967632
[83]: KB968537
[84]: KB969897
[85]: KB969898
[86]: KB970238
[87]: KB971557
[88]: KB971657
[89]: KB972260
[90]: KB972594
[91]: KB973346
[92]: KB973507
[93]: KB973540
[94]: 940157
Carte(s) r‚seau: 2 carte(s) r‚seau install‚e(s).
[01]: Realtek RTL8102E Family PCI-E Fast Ethernet NIC (NDIS 6.0)
Nom de la connexionÿ: Connexion au r‚seau local
tatÿ: Support d‚connect‚
[02]: Ralink 802.11n Wireless LAN Card
Nom de la connexionÿ: Connexion r‚seau sans fil
tatÿ: Support d‚connect‚

Nom de l'image PID Nom de la sessio Num‚ro de s Utilisation
========================= ======== ================ =========== ============
System Idle Process 0 Services 0 24 Ko
System 4 Services 0 3ÿ052 Ko
smss.exe 512 Services 0 732 Ko
csrss.exe 584 Services 0 5ÿ936 Ko
csrss.exe 644 Console 1 11ÿ004 Ko
wininit.exe 652 Services 0 4ÿ240 Ko
services.exe 692 Services 0 7ÿ072 Ko
lsass.exe 708 Services 0 8ÿ456 Ko
lsm.exe 716 Services 0 4ÿ300 Ko
winlogon.exe 756 Console 1 5ÿ600 Ko
svchost.exe 912 Services 0 6ÿ004 Ko
svchost.exe 988 Services 0 6ÿ664 Ko
svchost.exe 1024 Services 0 39ÿ904 Ko
Ati2evxx.exe 1112 Services 0 4ÿ888 Ko
svchost.exe 1160 Services 0 12ÿ528 Ko
svchost.exe 1208 Services 0 70ÿ940 Ko
svchost.exe 1240 Services 0 32ÿ336 Ko
audiodg.exe 1304 Services 0 17ÿ808 Ko
SLsvc.exe 1332 Services 0 10ÿ640 Ko
svchost.exe 1356 Services 0 13ÿ168 Ko
Ati2evxx.exe 1440 Console 1 6ÿ772 Ko
svchost.exe 1524 Services 0 15ÿ432 Ko
aswUpdSv.exe 1644 Services 0 324 Ko
ashServ.exe 1660 Services 0 27ÿ144 Ko
LEXBCES.EXE 1940 Services 0 5ÿ264 Ko
LEXPPS.EXE 1972 Services 0 4ÿ468 Ko
spoolsv.exe 324 Services 0 11ÿ492 Ko
svchost.exe 532 Services 0 16ÿ588 Ko
taskeng.exe 1520 Services 0 5ÿ604 Ko
dwm.exe 548 Console 1 44ÿ380 Ko
explorer.exe 2084 Console 1 46ÿ828 Ko
taskeng.exe 2096 Console 1 10ÿ280 Ko
MSASCui.exe 2348 Console 1 9ÿ700 Ko
ashDisp.exe 2376 Console 1 1ÿ800 Ko
jusched.exe 2388 Console 1 3ÿ684 Ko
sidebar.exe 2416 Console 1 10ÿ088 Ko
MOM.exe 2532 Console 1 4ÿ200 Ko
sidebar.exe 2816 Console 1 33ÿ780 Ko
CCC.exe 2948 Console 1 6ÿ872 Ko
a2service.exe 3024 Services 0 6ÿ724 Ko
PhotoshopElementsFileAgen 3052 Services 0 776 Ko
svchost.exe 3108 Services 0 8ÿ688 Ko
AppleMobileDeviceService. 3148 Services 0 3ÿ940 Ko
mDNSResponder.exe 3160 Services 0 4ÿ876 Ko
svchost.exe 3172 Services 0 3ÿ688 Ko
dlbccoms.exe 3196 Services 0 4ÿ156 Ko
NBService.exe 3304 Services 0 7ÿ500 Ko
prservice.exe 3540 Services 0 3ÿ804 Ko
IoctlSvc.exe 3556 Services 0 2ÿ916 Ko
svchost.exe 3576 Services 0 5ÿ592 Ko
svchost.exe 3604 Services 0 6ÿ460 Ko
svchost.exe 3632 Services 0 2ÿ076 Ko
SearchIndexer.exe 3704 Services 0 13ÿ116 Ko
ashMaiSv.exe 3880 Services 0 1ÿ240 Ko
ashWebSv.exe 3900 Services 0 2ÿ148 Ko
unsecapp.exe 900 Console 1 4ÿ752 Ko
firefox.exe 3800 Console 1 67ÿ356 Ko
WmiPrvSE.exe 2472 Services 0 5ÿ772 Ko
wmpnscfg.exe 3680 Console 1 5ÿ176 Ko
wmpnetwk.exe 2708 Services 0 10ÿ312 Ko
SearchProtocolHost.exe 2424 Services 0 8ÿ496 Ko
SearchFilterHost.exe 3528 Services 0 6ÿ156 Ko
List_Killem.exe 5376 Console 1 6ÿ424 Ko
conime.exe 5392 Console 1 3ÿ712 Ko
cmd.exe 5400 Console 1 2ÿ416 Ko
WmiPrvSE.exe 5480 Services 0 11ÿ744 Ko
WmiPrvSE.exe 5536 Services 0 5ÿ460 Ko
TrustedInstaller.exe 5608 Services 0 26ÿ124 Ko
tasklist.exe 5800 Console 1 4ÿ784 Ko

Infections :
==========


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
"C:\Program Files\GamesBar"
"C:\Windows\System32\ACTSKN43.ocx"
"C:\Windows\system32\prntvpt.dll"

¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536

¤¤¤¤¤¤¤¤¤¤ C:\Windows\Prefetch :

ACRORD32.EXE-DE3ACCC1.pf
ACRORD32INFO.EXE-500FD695.pf
ADOBEUPDATER.EXE-9A17D89B.pf
ADOBEUPDATERINSTALLMGR.EXE-024CBC5C.pf
AgAppLaunch.db
AgCx_S1_S-1-5-21-3201345394-3813984813-797604260-1000.snp.db
AgCx_SC1.db
AgCx_SC1.db.trx
AgCx_SC2.db
AgGlFaultHistory.db
AgGlFgAppHistory.db
AgGlGlobalHistory.db
AgGlUAD_P_S-1-5-21-3201345394-3813984813-797604260-1000.db
AgGlUAD_S-1-5-21-3201345394-3813984813-797604260-1000.db
AgRobust.db
APPLEMOBILEDEVICESERVICE.EXE-80C393E5.pf
ASHAVAST.EXE-27608234.pf
ASHDISP.EXE-06D1B1E1.pf
ASHSIMPL.EXE-A75E8162.pf
ATBROKER.EXE-2E15A492.pf
AU_.EXE-C534D76A.pf
AVAST.SETUP-1A779CD4.pf
CALC.EXE-77FDF17F.pf
CARBONITESETUPLITEPBPREINSTAL-2791C637.pf
CCC.EXE-AE792174.pf
CCLEANER.EXE-D4D76A60.pf
CONIME.EXE-9781FD5F.pf
CONSENT.EXE-531BD9EA.pf
CONTROL.EXE-817F8F1D.pf
CRASHREPORTER.EXE-749FB729.pf
DEFRAG.EXE-588F90AD.pf
DFRGNTFS.EXE-7E4077FE.pf
DFRGUI.EXE-C853DD35.pf
DIFXINSTALL32.EXE-61B5C7C9.pf
DLBCCOMS.EXE-AEE61A0B.pf
DLLHOST.EXE-4F28A26F.pf
DLLHOST.EXE-5E46FA0D.pf
DLLHOST.EXE-6A473D35.pf
DLLHOST.EXE-766398D2.pf
DLLHOST.EXE-824949B9.pf
DLLHOST.EXE-B8630D6F.pf
DRVINST.EXE-4CB4314A.pf
DW20.EXE-35F4097D.pf
DWM.EXE-6FFD3DA8.pf
DWWIN.EXE-9FB96D25.pf
EXCEL.EXE-C6BEF51C.pf
EXPLORER.EXE-A80E4F97.pf
EXPORTCONTROLLER.EXE-A523F29E.pf
FIREFOX.EXE-A606B53C.pf
FLASHPLAYERUPDATE.EXE-ADADECD4.pf
GOOGLETOOLBAR1USER.EXE-B7E47A27.pf
IEUSER.EXE-7C0FE221.pf
IEXPLORE.EXE-908C99F8.pf
IPODSERVICE.EXE-37C43D64.pf
ITUNES.EXE-2A42B776.pf
ITUNESHELPER.EXE-FCF4252E.pf
ITUNESPHOTOPROCESSOR.EXE-CC2A23A0.pf
ITUNESSETUP(2).EXE-5B09BDA7.pf
ITUNESSETUP.EXE-FE196068.pf
JAVA.EXE-E27B75C2.pf
Layout.ini
LOGONUI.EXE-09140401.pf
MCDCHECK.EXE-8DDBD8B7.pf
MDNSRESPONDER.EXE-321C1F3D.pf
MFPMP.EXE-26F35380.pf
MOBSYNC.EXE-C5E2284F.pf
MPAS-D.EXE-40FE95BA.pf
MPCMDRUN.EXE-F401FBB4.pf
MPSIGSTUB.EXE-235A63D6.pf
MPSIGSTUB.EXE-42FA56B2.pf
MPSIGSTUB.EXE-EE774DCA.pf
MPSIGSTUB.EXE-F98DE319.pf
MRT.EXE-851529F7.pf
MRTSTUB.EXE-76BB015E.pf
MSCORSVW.EXE-90526FAC.pf
MSIEXEC.EXE-A2D55CB6.pf
MSNMSGR.EXE-9974F251.pf
MSPAINT.EXE-76E10B24.pf
NERO.EXE-284F72CD.pf
NEROSTARTSMART.EXE-D08CB5C0.pf
NETSH.EXE-F1B6DA12.pf
NMDLLHOST.EXE-C2B46BCA.pf
NMINDEXINGSERVICE.EXE-BAABA37B.pf
NMINDEXSTORESVR.EXE-D98D8FC0.pf
NOTEPAD.EXE-D8414F97.pf
NPSWF32_FLASHUTIL.EXE-46E8D71C.pf
NS5488.TMP-9A8ED1B7.pf
NTOSBOOT-B00DFAAD.pf
OFFDIAG.EXE-8294A01E.pf
OFFICELIVESIGNIN.EXE-B83AEDE8.pf
OSK.EXE-3E832AF1.pf
OUTLOOK.EXE-B2ABD4FF.pf
PBCARNOT.EXE-21B8D0CA.pf
PDFCREATOR.EXE-9FF4EFCA.pf
PDFSPOOLER.EXE-4BAC3CBE.pf
PDFSPO~1.EXE-543FF56F.pf
PfSvPerfStats.bin
PHOTOSHOP.EXE-0857968A.pf
PICTUREVIEWER.EXE-624252B8.pf
POWERPNT.EXE-1404AEAA.pf
PRESENTATIONSETTINGS.EXE-2F4708C9.pf
PRMRSR.EXE-C18A9F82.pf
QTTASK.EXE-A6BC4AB2.pf
QUICKTIMEPLAYER.EXE-C28F236F.pf
ReadyBoot
RUNDLL32.EXE-691B5021.pf
RUNDLL32.EXE-F965656F.pf
SCHTASKS.EXE-5CA45734.pf
SEARCHFILTERHOST.EXE-77482212.pf
SEARCHPROTOCOLHOST.EXE-0CB8CADE.pf
SETUPADMIN.EXE-D50AA5E5.pf
SETUP_WM.EXE-674F654A.pf
SNDVOL.EXE-5D4CC7D6.pf
SSVAGENT.EXE-42E515EF.pf
SVCHOST.EXE-7CFEDEA3.pf
SYNTPENH.EXE-E6DC1353.pf
TAKEOWN.EXE-A80759AD.pf
TASKENG.EXE-48D4E289.pf
TASKMGR.EXE-5F5F473D.pf
TRUSTEDINSTALLER.EXE-3CC531E5.pf
UI0DETECT.EXE-A794C8BB.pf
UNINSTALL_PLUGIN.EXE-AE5EBCDE.pf
UNSECAPP.EXE-A02905A6.pf
USERINIT.EXE-2257A3E7.pf
UTILMAN.EXE-5AD4C272.pf
VERCLSID.EXE-7C52E31C.pf
VLC.EXE-A11F73EE.pf
VSSVC.EXE-B8AFC319.pf
WAB.EXE-8608506E.pf
WERFAULT.EXE-E69F695A.pf
WERMGR.EXE-0F2AC88C.pf
WINDOWS-KB890830-V2.13-DELTA.-B865CD7B.pf
WINMAIL.EXE-1092D371.pf
WINWORD.EXE-C91725A1.pf
WLCOMM.EXE-272FF9F7.pf
WMIADAP.EXE-F8DFDFA2.pf
WMIPRVSE.EXE-1628051C.pf
WMPLAYER.EXE-BAD6BD53.pf
WMPNETWK.EXE-D9F2A96F.pf
WMPNSCFG.EXE-FC0D39BF.pf
WSQMCONS.EXE-118B52B7.pf
WUAUCLT.EXE-70318591.pf
WUDFHOST.EXE-AFFEF87C.pf




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

   
Répondre à NoTo96

3

gen-hackman, le 24 aoû 2009 à 10:51:36

Redemarre en mode sans echec

▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

▶ choisis l'option 2 = Mode Destruction

laisse travailler l'outil

apres les verifications , un rapport va s'ouvrir.

▶ ferme-le.

un deuxieme rapport va s'ouvrir ,

▶ colle son contenu dans ta reponse ♦G3и-н@¢км@и™©®♦

   
Répondre à gen-hackman

4

NoTo96, le 24 aoû 2009 à 13:36:59

Voilà le rapport :

Kill'em by g3n-h@ckm@n 1.0.2.8

updated on 23.08.2009 ::::: 13.00


Microsoft Windows [version 6.0.6001]


24/08/2009 13:24:34,22

Fichiers analysés :
=================


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
"C:\Program Files\GamesBar"
"C:\Windows\System32\ACTSKN43.ocx"
"C:\Windows\system32\prntvpt.dll"


¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :

Quarantaine :

actskn43.ocx.Kill'em
GamesBar.Kill'em
qmgr0.dat.Kill'em
qmgr1.dat.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification :



Infections :
==========


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Windows\system32\prntvpt.dll"

¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536

¤¤¤¤¤¤¤¤¤¤ C:\Windows\Prefetch :

AgAppLaunch.db
AgCx_S1_S-1-5-21-3201345394-3813984813-797604260-1000.snp.db
AgCx_SC1.db
AgCx_SC1.db.trx
AgCx_SC2.db
AgGlFaultHistory.db
AgGlFgAppHistory.db
AgGlGlobalHistory.db
AgGlUAD_P_S-1-5-21-3201345394-3813984813-797604260-1000.db
AgGlUAD_S-1-5-21-3201345394-3813984813-797604260-1000.db
AgRobust.db
CARBONITESETUPLITEPBPREINSTAL-2791C637.pf
Layout.ini
NTOSBOOT-B00DFAAD.pf
PfSvPerfStats.bin
ReadyBoot




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

   
Répondre à NoTo96

5

gen-hackman, le 24 aoû 2009 à 13:44:49

Tu as executé la suppression en qu'administrateur ?

▶ Télécharge TOOLBAR S&D ( de Eric_71/Team IDN ) sur ton bureau :


!! Déconnecte toi,desactive tes protections résidentes, et ferme toutes tes applications en cours le temps de la manip. !!

▶ Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...

▶ option recherche puis [Entrée].

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse

( le rapport est en outre sauvegardé ici -> C:\TB.txt )

Tutoriel
♦G3и-н@¢км@и™©®♦

   
Répondre à gen-hackman

6

NoTo96, le 24 aoû 2009 à 14:00:24

J'ai en effet effectué les manips en tant qu'admin (la gestion des utilisateurs était supprimée). Je suis le seul utilisateur du PC.

Voici le nouveau rapport :


-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : AMD Turion(tm) X2 Dual-Core Mobile RM-70 )
BIOS : Ver 1.00PARTTBLv
USER : Nic© ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:137 Go (Free:61 Go)
D:\ (Local Disk) - NTFS - Total:298 Go (Free:125 Go)
E:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [1] ( 24/08/2009|13:56 )

[ UAC => 1 ]

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="http://www.google.fr/"
"Default_Page_URL"="http://go.packardbell.com/?id=9136"
"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"


--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\Users\NIC~1\Music\Jacques Dutronc\Jacques Dutronc - Crack Boum Hue.MP3


[ UAC => 1 ]


1 - "C:\ToolBar SD\TB_1.txt" - 24/08/2009|13:56 - Option : [1]

-----------\\ Fin du rapport a 13:56:54,84

   
Répondre à NoTo96

7

gen-hackman, le 24 aoû 2009 à 14:13:14

Télécharge OTL de OLDTimer

enregistre le sur ton Bureau.

▶ Double clic sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant scan all users

▶ règle-le sur "60 Days"

▶ dans la colonne de gauche , mets tout sur all

▶Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

ou celui-ci : http://cjoint.com/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt".
♦G3и-н@¢км@и™©®♦

   
Répondre à gen-hackman

8

NoTo96, le 25 aoû 2009 à 10:37:02

Alors alors, voici les deux rapports :

OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj200908/cijsdjb0Wq.tx­t
Extras.txt : http://www.cijoint.fr/cjlink.php?file=cj200908/cij0CGN2eh.tx­t

(encore merci pour tout ce temps consacré à m'aider)

   
Répondre à NoTo96

9

Destrio5, le 29 aoû 2009 à 03:10:47

Bonjour,

Je reprends le topic.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

   
Répondre à Destrio5

10

 NoTo96, le 2 sep 2009 à 12:31:22

Bonjour et merci pour ton intervention Destrio5,

Voici le rapport en question :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2729
Windows 6.0.6001 Service Pack 1

02/09/2009 12:24:41
mbam-log-2009-09-02 (12-24-41).txt

Type de recherche: Examen rapide
Eléments examinés: 86017
Temps écoulé: 5 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\ModuleUsage\C:/Windows/Downloaded Program Files/PiratePoppers.1.0.0.39.dll (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{38d97cce-7243-4b6e-b6a8-dd872ad3eb33} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6868afe5-f258-47dc-bc37-0821f96dc1d2} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{49e67060-2c0d-415e-94c7-52a49f73b2f1} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{49e67060-2c0d-415e-94c7-52a49f73b2f1} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{49e67060-2c0d-415e-94c7-52a49f73b2f1} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Windows\Downloaded Program Files\PiratePoppers.1.0.0.39.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\Downloaded Program Files\PiratePoppers.1.0.0.39.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Downloaded Program Files\PiratePoppers.1.0.0.39.inf (Trojan.Agent) -> Quarantined and deleted successfully.

   
Répondre à NoTo96
Posez votre question Répondre
Ils ont besoin de votre aide
Collection CommentÇaMarche.net