Piratage ou virus?

Salut télécharge hijack this ici:http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Une fois installé fais "Do a scan and save a logfile"
A la fin tu nous posteras le rapport.

Salut!
Voilà le résultat..

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:53:54, on 03/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\STDSB.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\agent.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www.photoweb.fr/telechargement/Photoweb_Uploader.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697517} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_aac.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABF7E434-EEFC-47F1-9AB5-F2988749A28D}: NameServer = 192.168.1.1
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
End of file - 8929 bytes

Coche la case devant cette ligne et fais "Fix Checked":O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)

RAS pour un éventuel piratage. Le truc le plus louche est cette fameuse ligne 23 à cocher. Je suis aller voir le site: apparement c'est justement pour traquer les hackers mais j'ai rien compris car c'était écrit en finnois (enfin je crois!)

Donne-moi encore quelques minutes pour voir s'il y a une infection.

Egalement ces lignes à "fixer"

O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

OK, j'ai fixé le 023 en premier... J'ai donc du refaire un scan pour revoir les 3 autres que tu m'disait, mais là le 023 était tjs là... J'ai refait un sacn et rezapper les 4...
Je refai unscan pour controler si tout est partit... la 023 persiste tjs!!

Rien de bien suspect sur le log mais pour plus de précautions tu vas télécharger MAM ici:http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware
Suivre ce tuto:http://www.malekal.com/tutorial_MalwareBytes_AntiMalwar­e.php

Redémarrer en mode sans échec (si tu ne sais pas faire:http://www.commentcamarche.net/faq/sujet 5004 windows xp demarrage en mode sans echec)
Et tu vas lancer MalwareBytes. Effectue un scan complet. A la fin du scan il affichera peut-être une liste d'éléments nuisibles, cvérifie que toutes les cases soient cochées puis clique sur la case en bas à gauche "supprimer la sélection". Un rapport sera crée.

Après cela tu fais un scan complet avec Avast, toujours en mode sans échec. Et dès que tout ça est fini tu redémarres normalement ton pc.

Tu colleras ici les deux rapports:MalwareBytes et Avast

@+

ha oui... et j'oubliais dans mon historique.. j'avais parfois un message d'erreur (la croix rouge!!).. Win 32 adware-gen qui apparaissait, il n'apparait plus depuis quelque temps (à savoir que j'ai désintallée ad watch et ad aware qui n'arrivait pas à se lancer...)
Et de temps en temps j'ai un "runtime error" Microsoft C++ pure virtual error qui apparait

Gloups... ça sent le roussi non...

Oki, je fais ça... merci bien!!

Ok on a alors un spyware. Applique la procédure de mon post n°6. MalwareBytes va sûrement le détecter et le supprimer. Et oublie pas: à fair en mode sans échec!

Re!
Bon j'ai tout fait comme tu m'as dit... Malwarebytes n'a rien trouvé...
et j'arrive plus à mettre la main sur le rapport... (je l'ai enregistrer sous mes doc mai sil n'appariat pas!)
Si je mets la main dessus jte l'envoi!

Après j'ai effectué un scan avec avast (entre temps j'avais eteind l'ordi, je précise au cas ou ça ai son importance) et là ba... je me suis impatienté.. plus de 9H de scan ça m'indiquait tjs 2% de scan effectué... comme après 15min!!
ça n'avançait plus j'avais l'impression, et en plus l'ordi n'arretais plus de ronronner (c'est un pc portable qui à tendance à "chauffer" un peu je trouve!) j'arrete donc, pour retourner de donner de mes news... et là voici le "pseudo rapport:
4 fichiers impossible à scanner...
C:/APPS/PackardBellCompanion/settings.pack/settinh.xml
C:/APPS/PackardBellCompanion/settings_bak.pak/setting.bak.xml
C:/APPS/PackardBellCompanion/users/usersetting.pak/userstting.xml
C:/APPS/PackardBellCompanion/users/usersetting_bak.pak/userstting.xml

112496fichiers/6448scanné..13,96Gb (sachand que mon ordi c un 40Gb, oui, oui, il date un peu...)

Salut! Le rapport de MAM se trouve dans le dossier du même nom normalement.
Télécharge SDFix ici:Telécharger SDFix. Redémarres en mode sans échec puis fait "démarrer", "exécuter" et tape: "C:\SDFix\RunThis.bat" puis "Entrée." Quand une fenêtre noire va s'afficher clique sur "y". SDFix va alors se lancer. A la fin du scan il te dira que l'ordinateur doit être redémarré. Au redémarrage il s'affichera à nouveau et générera un rapport que tu posteras ici.
--
The Show Must Go On...

Oki, je dois filer pour le week, je fais ça des que je rentre dimanche soir... merci pour tout!

Voici le lien: cliquer sur Andy Manchesta pour le téléchargement:http://mickael.barroux.free.fr/securite/sdfix­.php The Show Must Go On...

Entre temps.. j'ai eu un de nouveau un message d'erreur... Microsoft Visual C++ Runtime library Runtime error!
Program:C:/Program Files /Real/RealPlayer/ Real Player.exe
R6025 pure virtual function call

Impossible de retrouvé MAM...

Salut!


As-tu essayé de retrouver MAM en mode sans échec? Et as-tu fais le SDFix? The Show Must Go On...

Alors... ça c un rapport intitulé catchme (qui s'est mit sur mon bureau..) ça doit etre sdfix en mode san echec
catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-10 17:23:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s0"=dword:bff91c32
"s1"=dword:78b0b5a6
"s2"=dword:94c71983
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:aa,a9,da,f7,10,36,cb,bf,b6,83,15,79,68,74,4d,8e,90,f0,55,e6,b3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:aa,a9,da,f7,10,36,cb,bf,b6,83,15,79,68,74,4d,8e,90,f0,55,e6,b3,..

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 41

ça c'est le raport issu de sdfix qui s'est apparement relancé tt seul en mode normal lors du redemarrage

[b]SDFix: Version 1.168 /b
Run by Administrateur on 10/04/2008 at 17:01

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files /b:

No Trojan Files Found


Heu... tjs pas de trace de mam...
j'en ai refait un en mode normal.. je sais pas si ça sert.. voici le rapport:
Malwarebytes' Anti-Malware 1.10
Version de la base de données: 587

Type de recherche: Examen complet (C:\|)
Eléments examinés: 124581
Temps écoulé: 56 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Question peut etre bête.. est il possible de se connecté a internet en mode san echec?

Désolé pour le retard Snorky!

En mode sans échec il est impossible de se connecter au Web.

L'infection semble provenir des fichiers cachés. On va faire ça en premier:
_Ouvrir l'Explorateur
_Cliquer sur Outils
_Puis Option des Dossiers
_Affichage
_Cocher la case devant "Afficher les dossiers cachés".

Refaire un SDFix (en mode sans échec) et poster le rapport ici.
The Show Must Go On...

Tinquiète... y'a pas de souci!!
Heu.. par contre l'explorateur.. c'est quoi? je trouve ça ou?
Faut il que ej repasse en mode sans echec pour faire la manip d'afficher les dossiers caché?

Non pas besoin du mode sans échec pour faire cela (par contre tu le feras pour SDFix) je ne connais pas trop XP...fais "Menu démarrer" et regarde s'il n'y a pas "Ordinateur" ou plutôt "Poste de Travail" The Show Must Go On...