Sujet Précédent Sujet Suivant

Demande d'aide malware ou virus

Fermé
fredbkk - 25 juin 2011 à 16:47
 Utilisateur anonyme - 26 juin 2011 à 13:22
Bonjour, mon ordinateur vient de récupéré d'un malware ou d'un virus, j'ai supprimé tous les fichiers apparents qui étaient infestés mais mon problème n'est pas résolu car ma connexion est très lente et je suis obligé de changer dans firefox ou dans IE le paramétrage car très régulièrement je me retrouve avec une adresse proxy qui s'enregistre toute seule 127.0.0.1 port 60040 et qui m'empêche de me connecter donc je coche la case : « No proxy » mais ca revient tout le temps ? C'est grave docteur ? Quelqu'un a déjà eu ce problème ? Comment y remédier s'il vous plait ? Je précise que j'ai déjà essayé pratiquement tous les spywares et anti malwares mais ils ne détectent rien. Merci beaucoup ?

Si ca peut aider :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:07:07 PM, on 6/25/2011
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\CPE17\cpe17antiautorun1405.exe
C:\Program Files (x86)\Nova Development\Greeting Card Factory Photo Card Maker\ReminderApp.exe
C:\Program Files (x86)\Panda Security\WAC\PsCtrlC.exe
C:\Program Files (x86)\Panda Security\WAC\WebProxy.exe
C:\Program Files (x86)\BitTorrent\BitTorrent.exe
C:\Program Files (x86)\Panda Security\WAC\AvTask.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe
C:\Users\Acer\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:60040
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O4 - HKLM\..\Run: [protect_autorun] C:\Program Files\CPE17\cpe17antiautorun1405.exe /start
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ReminderApp] C:\Program Files (x86)\Nova Development\Greeting Card Factory Photo Card Maker\ReminderApp.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AddressBookReminderApp] C:\Program Files (x86)\Creative Home\Hallmark Card Studio 2011 Deluxe\ReminderApp.exe
O4 - HKLM\..\Run: [Panda Software Controller Client] "C:\Program Files (x86)\Panda Security\WAC\PSCtrlC.exe"
O4 - HKCU\..\Run: [googletalk] C:\Users\Acer\AppData\Roaming\Google\Google Talk\googletalk.exe /autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O13 - Gopher Prefix:
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files%20(x86)/Bejeweled%203/Images/stg_drm.ocx
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files%20(x86)/Bejeweled%203/Images/armhelper.ocx
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Panda Software Controller - Panda Security - C:\Program Files (x86)\Panda Security\WAC\PsCtrlS.exe
O23 - Service: Panda Endpoint Scheduler (PavAt3Scheduler) - Panda Security - C:\Program Files (x86)\Panda Security\WaAgent\Scheduler\PavSched.exe
O23 - Service: Panda Function Service (PavFnSvr) - Panda Security, S.L. - C:\Program Files (x86)\Panda Security\WAC\pavFnSvr.exe
O23 - Service: Panda Antivirus Service (PavSrv) - Panda Security, S.L. - C:\Program Files (x86)\Panda Security\WAC\pavsrvx86.exe
O23 - Service: Panda Endpoint Local Process Manager (PavWASLpMng) - Panda Security - C:\Program Files (x86)\Panda Security\WaAgent\WasLpMng\WASLPMNG.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Panda Host Service (PSHost) - Panda Security International - C:\Program Files (x86)\Panda Security\WAC\PSHost.exe
O23 - Service: Panda Imanager Service (PSImSvc) - Panda Security S.L. - C:\Program Files (x86)\Panda Security\WAC\PSIMSVC.EXE
O23 - Service: Panda Kernel Service (PskSvc) - Panda Software International - C:\Program Files (x86)\Panda Security\WAC\psksvc.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: Panda Endpoint Communications Agent (WASAgent) - Panda Security - C:\Program Files (x86)\Panda Security\WaAgent\WasAgent\WasAgent.exe
O23 - Service: Panda Endpoint Watchdog (WASWD) - Panda Security - C:\Program Files (x86)\Panda Security\WaAgent\WasWD\WasWD.exe
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
A voir également:

9 réponses

Réponse 1 / 9
Utilisateur anonyme
25 juin 2011 à 16:49
salut

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
0
Réponse 2 / 9
fredbkk
25 juin 2011 à 17:39
Merci beaucoup pour ton intervention bon j'ai cliqué sur "supprimer le proxy comme tu m'as demandé", puis relancé le pc et l'application car j'ai toujours ce proxy qui reviens mais rien n'y fait le PC est toujours aussi lent, j'ai envoyé le fichier sur le lien ci-joint, merci encore :)
0
Réponse 3 / 9
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 25/06/2011 à 17:40
heu pourquoi tu n'as pas laissé travailler l'outil jusqu'au bout ?

il me faut le lien de cijoint sinon comment je vais le consulter ?
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 4 / 9
fredbkk
25 juin 2011 à 18:34
ben je sais pas trop j'avais un ecran noir, le Pc ne semblait pas travailler et il n'y avait qu'une seule fenetre d'ouverte c'est a dire "Library" désolé...
voici le lien http://www.cijoint.fr/cjlink.php?file=cj201106/cij8X0zA2T.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 25/06/2011 à 18:57
tu n'as absolument suivi aucune indication

panda est toujours activé

=========================

desinstalle spybot il va nous gener et puis il est nul
desinstalle ca : C:\Program Files\CPE17\cpe17antiautorun1405.exe

========================

fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre

selectionne ce texte sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[-HKCU\Software\PopCap]
[-HKCU\Software\Tfpqcddtp]
[-HKCU\Software\sms164]
[-HKLM\Software\PopCap]
[-HKLM\Software\Tfpqcddtp]
[-HKLM\Software\Trymedia Systems]

file::
C:\Users\Acer\AppData\Roaming\13AC.1C8
C:\Windows\Tasks\wqlihmi.job

folder::
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PopCap Games
C:\ProgramData\PopCap
C:\ProgramData\Trymedia
C:\Program Files (x86)\PopCap Games

Host::
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier) puis lance Pre_Script qui est sur ton bureau

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 6 / 9
fredbkk
25 juin 2011 à 20:45
Vraiment désolé mais je ne comprend pas :) J'ai fais le scan et maintenant je me retourve avec un fichier texte pre_scan sur mon bureau faut-il l'ouvrir pour glisser une icone dessous ? Quel type d'icone ? Un fichier Pre-text doit ensuite apparaitre sur mon bureau ? Et il faut que je garde ce qui est inscrit dedans en rajoutant ceci ?

Registry::
[-HKCU\Software\PopCap]
[-HKCU\Software\Tfpqcddtp]
[-HKCU\Software\sms164]
[-HKLM\Software\PopCap]
[-HKLM\Software\Tfpqcddtp]
[-HKLM\Software\Trymedia Systems]

file::
C:\Users\Acer\AppData\Roaming\13AC.1C8
C:\Windows\Tasks\wqlihmi.job

folder::
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PopCap Games
C:\ProgramData\PopCap
C:\ProgramData\Trymedia
C:\Program Files (x86)\PopCap Games

Host::

"poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail "

De quel executable parles-tu ?

Merci vraiment pour aide précieuse... :)

http://www.cijoint.fr/cjlink.php?file=cj201106/cijCbNcwcU.txt
0
Réponse 7 / 9
Utilisateur anonyme
25 juin 2011 à 23:32
pourtant l'explication est tres claire....
0
Réponse 8 / 9
fredbkk
26 juin 2011 à 06:31
salut, bon cette fois j'espere avoir bien fait :)

http://www.cijoint.fr/cjlink.php?file=cj201106/cij23kNAhA.txt

Sinon j'ai fais aussi un scan avec Roguekiller si ca peut servir....


Operating System: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Started in : Normal mode
User: Acer [Admin rights]
Mode: Scan -- Date : 06/26/2011 11:29:19

Bad processes: 0

Registry Entries: 6
[SUSP PATH] HKCU\[...]\Run : googletalk (C:\Users\Acer\AppData\Roaming\Google\Google Talk\googletalk.exe /autostart) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-233494969-1363394894-1885927699-1000[...]\Run : googletalk (C:\Users\Acer\AppData\Roaming\Google\Google Talk\googletalk.exe /autostart) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

HOSTS File:
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]


Finished : << RKreport[1].txt >>
RKreport[1].txt

Merci encore :)
0
Réponse 9 / 9
Utilisateur anonyme
26 juin 2011 à 11:03
puisque tu utilises les outils sans qu'on te le demandes c'est que tu n'as pas peur de planter ta machine (quoiqu'avec roguekiller c'est improbrable) , mais en tout cas , ca sera sans moi donc tu vas te debrouiller tout seul je ne veux pas etre responsable d'une anerie que tu auras faite et que ensuite tu me renvoies la faute desssus

bye
0
fredbkk
26 juin 2011 à 12:47
Ahahah rigolo va ! Dis plutot que c'est pas faire au lieu de me faire perdre mon temps, c'est pas parce tu sais reparer un PC qu'il faut prendre les gens de haut comme ca...
0
Utilisateur anonyme
26 juin 2011 à 13:22
t'inquiete pas pour moi j'ai fait assez d'ordis pour savoir de quoi je parle
0

Discussions similaires

Comment supprimer tor.jack sur Android
sabinelouisonbruno -
akaloupile -

4 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses