Hijack Besoin d'assistance [Fermé]

Signaler
Messages postés
15
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
16 avril 2009
-
Saiyen75
Messages postés
2696
Date d'inscription
jeudi 8 mars 2007
Statut
Membre
Dernière intervention
23 novembre 2014
-
Hello !

Il est rare que j'ai besoin d'assistance sur des problèmes software, de nombreux forum sont là pour ça ; mais là je galère et désespère de ne pouvoir rien faire..

Depuis deux jours je n'ai plus internet sur mon ordinateur principale.
J'ai fort l'impression que la cause est un virus / trojan / malware (là je vois pas trop..) car internet fonctionne très bien sur ma seconde machine (celle avec laquelle ô je peux vous écrire) et que suite à quelques opérations, internet est réapparu à ma grande suprise ce matin (pourtant en allant me coucher internet etait toujours dead..) mais finalement à redéconné ce midi.. et ne marche toujours pas. :(

J'ai passé les nombreux testes en mode sans echec et en normal : CCleaner, NOD32, Spy-Bot, Ad-Aware, Malwarebytes..
..ils ont trouvés quelques conneries, rapidement effacées..

Mais internet était toujours bloqué..

J'ai finalement opéré avec HijackThis pour analyser un peu tout ça..
Avec l'aide de quelques sites de log analyzer j'ai pu le décripter un peu, mais rien ne semblait très dangereux.
Mis à part une application : is-Z3E92.exe

Avec un p'tit tuto j'ai (apparemment) réussi à le virer grâce à ComboFix.

Toutes ces opérations ont fait qu'internet à fonctionné ce matin, mais depuis "l'intru" est repassé à l'action.


Desormais, je remarque une nouvelle application "csrss.exe" qui semble être un joli trojan..

Pourriez vous m'aider à me dépatouiller de toute cette galère ?

Ô grand merci d'avance -_-

Voici ci dessous mon dernier log HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:12:01, on 08/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Documents and Settings\3gg\Mes documents\KDXServer1600-Win\KDXServer.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Documents and Settings\3gg\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: KDXServer.lnk = C:\Documents and Settings\3gg\Mes documents\KDXServer1600-Win\KDXServer.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EC78F7-280C-48FC-B167-1FBCD5314300}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{65EC78F7-280C-48FC-B167-1FBCD5314300}: NameServer = 212.27.40.240,212.27.40.241
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

12 réponses

Messages postés
2696
Date d'inscription
jeudi 8 mars 2007
Statut
Membre
Dernière intervention
23 novembre 2014
176
Salut,

La réponse n'était pas trés loin :

https://www.commentcamarche.net/contents/922-processus-windows-introduction

A première vu en survolant le rapport tu n'as pas l'air infecté

++
Messages postés
15
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
16 avril 2009

Bonsoir !

Merci beaucoup pour ta réponse, j'avoue avoir fort pensé à "toi" durant mon absence ce soir.
De plus je suis très heureux et étonné en rentrant : internet fonctionne !..
A croire que ta réponse a influencé..
..pourtant je n'ai strictement rien fait à mon retour du taff, lorsque j'ai composé le message..

Le sommeil serait il bon pour mon système ?
Pareille hier soir, rien ne marchait malgré plusieurs reboot ; ce matin, après une bonne nuit sans tousser : tout marche normalement..


Sinon concernant ta réponse, en rapport avec ce 'csrss', en effet j'avais compris l'abréviation..
..mais d'après 'google-est-ton-ami' : https://www.google.fr/search?hl=fr&q=csrss.exe&btnG=Rechercher&meta=&gws_rd=ssl
Il semblait parfois que des 'vers' qui pouvaient employer le même nom que d'autres processus..
..et je n'avais jamais vu ce nom dans mes souvenirs de technicien informatique amateur.. :|


Bon.. là, depuis minuit ce soir, internet marche et tout semble normal..
..on verra demain, je posterais peut être un nouveau message :\


Merci encore pour ta réaction !
Messages postés
15
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
16 avril 2009

Grr...
.. ce matin internet marchait encore. Je n'ai donc pas eu besoin de poster puisque "A première vu je n'avais pas l'air infecté"..

Mais ce midi, en rallumant ma machine : malédiction ! Internet qui déconne.

En mode sans echec, via Ad-Aware j'ai retrouvé 8 infections....

Donc j'ai bel et bien l'impression que "l'intru" rajoute régulièrement des saloperies qui parasitent le système..


Des idées de quoi faire..? Heeelp -_-

Voici mon dernier log HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:51:37, on 09/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\3gg\Bureau\HiJackThis.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: KDXServer.lnk = C:\Documents and Settings\3gg\Mes documents\KDXServer1600-Win\KDXServer.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EC78F7-280C-48FC-B167-1FBCD5314300}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{65EC78F7-280C-48FC-B167-1FBCD5314300}: NameServer = 212.27.40.240,212.27.40.241
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
Messages postés
15
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
16 avril 2009

Personne n'a d'idée ? de suggestion ? :(

la reinstall est elle obligatoire ?

Serieux c'est lourd depuis 3 jours..... :|
3gg
Messages postés
15
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
16 avril 2009

Personne n'a d'idée ? Me suis je trompé de forum sur le sujet ? :/
Messages postés
15
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
16 avril 2009

Franchement dommage que personne ne prenne la peine d'écrire..

..voici 5 minutes pour expliquer la suite :

J'ai fait une restauration de système sur une petite semaine avant tout ces ennuis.
De là, j'avais toujours des problèmes, mais moins développé j'avais l'impression.

Spybot m'a finalement trouvé deux problèmes, qu'il ne trouvait pas auparavant :
- 1Und1Bill.Fake
- Win32.VB.ATZ

Ce dernier ne pouvait être supprimé que sur une reboot, avec un lancement anticipé de SpyBot avant Windows..

..je redémarre.. du coup internet qui ne marche plus malgré la suppression de ces deux intrus..
..là j'en avais marre : je décide d'aller boire une coup chez mes voisins :D
J'éteins l'ordi.. je m'absente 2-3 heures.

A mon retour, j'allume la bete et j'attends qu'il démarre bien complètement.
Et là ô surprise, internet qui marche, après un peu de sommeil.. ^^

Au bout d'un moment à ne pas faire grand choses, NOD32 détecte un virus : svchost.exe
En effet, à l'heure actuel, j'en ai encore 6 svchost.exe de lancé, avec une moyenne de 4-5 Mo de Ram, dont un qui prends 25-30Mo.. étrange..
..étrange surtout d'en avoir plusieurs en même temps, non ??

Bref, là ça marche. J'espère que ce n'était bien que ce petit svchost caché, qui téléchargeait des merdes et parasitait ma bande passante.

Depuis j'ai install DuMeter qui me permait de controler le transfere de ma machine.. Mais il n'y a pas beaucoup d'action :D
Tant mieux.
Messages postés
2696
Date d'inscription
jeudi 8 mars 2007
Statut
Membre
Dernière intervention
23 novembre 2014
176
Salut,

J'ai pas pus voir plus tôt tes messages, concernant csrss.exe, il existe des processus utilisant presque le meme nom que lui exemple : csrsc.exe (qui lui est un virus).

En ce qui concerne les svchost.exe c'est normal que tu en ai plusieurs avec aussi l'un d'entre eux plus lourd que les autres. Il se peut aussi que dans le svchost.exe tu soit infecté...

As tu fait un scan avec MBAM ?


MalwareByte's Anti-Malware et supprime ce qui est trouvé et colle le rapport dans ton prochain post.

Pour se faire, Suivre le tutorial suivant :

Telechargement et Tuto MalwareBytes

A la fin du scan, n'oublie pas de cliquer sur supprimer les éléments

_____________________________________________________

Essaye aussi un scan en ligne :

Fais un scan en ligne avec Kaspersky :

/!\ Le scan ne marche que sous Internet Explorer. /!\

https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.--

- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.

- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Poste le rapport dans le forum.
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer

_____________________________________________________

La restauration système c'est trés bien par contre si au moment de la restauration tu était déjà infecté, les mauvais fichiers sont toujours présent...

++
3gg
Messages postés
15
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
16 avril 2009

Hello !

Merci pour ta réponse ^^

Internet marche depuis 2 jours sans déconnexion.

J'ai tout de même refais un test Malwarebytes' Anti-Malware mais sur les 8 tests que j'ai fais en 4-5 jours, il n'a jamais trouvé le moindre problème, même lors des infections présentes.. Malgré tout ça me semble un bon prog ^^

Voici à tout hasard le logs :

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1970
Windows 5.1.2600 Service Pack 3

12/04/2009 15:02:28
mbam-log-2009-04-12 (15-02-28).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 241973
Temps écoulé: 1 hour(s), 22 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Le test en Ligne de Kaspersky n'a rien trouvé non plus.

En fait, depuis que NOD m'a trouvé le clone svchost j'ai l'impression que ça s'est calmé..

..ce qui est étrange c'est qu'avant ma restauration de système aucun logiciel n'arrivait à le décelé... -_-


Merci encore pour le soutien ! ^^
Messages postés
15
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
16 avril 2009

-_- Il ne faut pas criée victoire trop vite !..

Comme vous avez pu le voir dans mon dernier message, j'ai passé un -bon- weekend, heureux qu'internet fonctionne bien.. ^^'

Mais : malédiction ! Ce matin c'est reparti : plus d'internet ! arg..

Avant de partir bosser, j'ai donc lancé des scans Ad-aware & Spy-Bot.. :'(

Je commence à en avoir marre....

J'ai regardé cu côté de svchost, j'en ai 6 !.. A mon boulot, j'en ai 5 ! Erf le coquin...
Et vous ? 5 aussi ??
Messages postés
2696
Date d'inscription
jeudi 8 mars 2007
Statut
Membre
Dernière intervention
23 novembre 2014
176
Salut,

Qu'est ce qui se passe avec internet ?
les svchost n'ont rien avoir avec ton problème :)
3gg
Messages postés
15
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
16 avril 2009

Helloo ! Merci de me répondre ! Il n'y a bien que toi.. ^^

Comme tu as pu le lire plus haut j'ai des problèmes d'internet. Aucune connection !
Aucun logiciel n'arrive a se connecter.
Pourtant ma Freebox marche bien, mon deuxième ordi se connect sans problème..

Les symptômes ressemblent bien à un "intru" (virus, spyware & co) qui 'bloquerait' toutes connection extérieure..

Lors de mes précédents scans, j'ai déjà trouvé quelque spyware avec SpyBot & Adaware (voir nom ci-dessus) ainsi que NOD32 qui m'a trouvé une alerte virus sur un 'svchost.exe'.
Finalement ma connection a refonctionner ce weekend.. pour finalement se redéréglé dès lundi.

Depuis les scans de différent logiciels ne trouvent strictement rien :'(

Un ipconfig montre que je suis bien configuré, mais un pauvre ping sur l'ip de ma freebox ne donne aucun résultat !? Étrange..


Voilà à peu près.. je ne vois pas d'autre informations à donner mis à part la série de logiciel que j'ai testé :

Eset NOD 32
Ad-aware
Spy-Bot
Windows Defender
Malwarebyte
Spyware Terminator
Process Explorer
Ccleaner
Exterminate-it
Antivir
AVG anti-rootkit
ComboFix
Kaspersky
HijackThis


Je pourrais éventuellement en tester d'autres.. mais je doute du résultat.. et constamment devoir télécharger les versions + les définitions mise-à-jour ; d'un autre ordi + transfert par clef usb : ça devient fatiguant.. surtout depuis une semaine avec 2-3 heures dessus en moyenne par jour..


Alors quoi faire ? Je ne vois plus que la reinstall du système, mais avec environ 200go de donné à backup & la reconfig de tout ça.. et bah je préférerais éviter.. :'(

Je suis pret à tester toutes suggestions ; mais gardez en tête que je n'ai pas internet sur cette machine, donc aucun scan online de possible et certaines mises à jour (windows update & co) sont donc impossible...


:'( sniff..
Messages postés
2696
Date d'inscription
jeudi 8 mars 2007
Statut
Membre
Dernière intervention
23 novembre 2014
176
Salut,

J'ai l'impression qu'avant d'etre virale, le problème ne soit liè au réseau....
Si tu ne ping pas ta freebox il y'a dejà un problème à la base,
Ta freebox est en DHCP ? As tu essayé avec une IP fixe ?
La liaison physique passe t'elle bien ? (cable bien branché, test un autre cable, LED allumées ?).
Est ce que tu ping ton locahost ? 127.0.0.0

C'est dur de trouver un virus là où il y en a pas. ^^

tiens moi au courrant

++
3gg
Messages postés
15
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
16 avril 2009

Ehehe oui je suis bien d'accord ! Très dur de trouver un virus si finalement y'en a pas ^^'

Bon.. ok disons que c'est un probleme seulement réseau :)

Alors pour expliquer ma config :
une tour fixe et un portable EEEPC
Le premier en Ethernet, le deuxieme en Wifi
la tour a donc le probleme.. le portable aucun soucis apparent

La freebox est la derniere version (il me semble) (celle avec 4 ports et le boitier TV externe)..

Mes deux ordinateurs sont configurés manuellement sur ce principe
Freebox : 192.168.0.254
La tour : 192.168.0.1
le portable : 192.168.0.2
DNS primaire / secondaire : 212.27.40.240 / 241

L'eeepc ping sans probleme la freebox, par contre la tour non.
Alors là, d'accord : probleme !!

Le voyant de la freebox correspondant à la tour est bien allumé.
D'ailleur le portable arrive à se connecter avec le wifi désactivé et le même cable ethernet de la tour...!
(donc logiquement le pb ne viens pas de la FB, ni du cable ; mais bel et bien de l'ordi)

Etrange tout de même que du jour au lendemain ma connection ne marche plus alors que je n'ai rien changé.
Voir les post précédent : ma connexion refonctionnait certaines fois, le matin par exemple, ou ce week end dernier, alors que je n'avais rien changé à la config. Et que ça a toujours fonctionné ainsi.

Lorsque, de la tour, je me remet en mode automatique TCPIP & DNS, il me fait une erreur de renouvellement d'ip.... etrange.

L'ethernet de ma tour est intégré à la carte mere.. j'espere que ce n'est pas elle qui est endommagé :/


En fait, dès le départ, si j'ai suspecté le virus/spyware c'est que par le passé (qq année) j'ai déjà eu des problemes de connexion restraintes ou inexistance, du à ce genre d'intru..


Une idée de ce que je pourrais tester ?
Messages postés
2696
Date d'inscription
jeudi 8 mars 2007
Statut
Membre
Dernière intervention
23 novembre 2014
176
Tu as essayé de changer l'adresse IP de la tour puis de refaire un ping ?
Sinon le mieux que tu puisse faire dans un cas comme celui ci, je pense que tu as un conflit entre ta tour et ton portable d'ou le fait que parfois tu es la connexion et parfois non, d'ailleur peut etre que lorsque ta tour avait internet, ton portable etait eteint, ou débranché ?
Un test que tu peux faire c'est passer ta freebox en mode routeur.

Pour commencer coupe le wifi sur ton portable, débranche le câble ethernet de ta tour puis :

Rends toi sur la page freebox : http://www.free.fr/adsl/
Puis en haut a droite tu clique sur "Mon compte" (écrit en rouge)
Entre l'identifiant et ton mot de passe (l'identifiant est ton num de tel)
Ensuite vas dans "Internet"
"Configurer mon routeur freebox"
Coche "Vous souhaitez activer ce service" ACTIVER
Vérifie bien que le DHCP est coché et regarde la plage IP (tu peux laisser celle par defaut)
Ensuite clique sur "envoyer" (en bas à droite de la page)

Reboot ta freebox, dans le même temps, vas dans les propriétés de de ta connexion ethernet sur ta tour et mets bien Automatique \ Appliquer \ OK

Ta freebox redémarré, rebranche le câble RJ45 a ta tour puis attends 1 ou 2 minutes et ouvre un cmd et tappe : ipconfig pour verifier que tu as bien une adresse IP valide et non un 169.....
Essaye de pinger ta freebox. Pour le wifi tu pourras la réactiver par la suite.
Messages postés
2696
Date d'inscription
jeudi 8 mars 2007
Statut
Membre
Dernière intervention
23 novembre 2014
176
Pas de niouz ?
3gg
Messages postés
15
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
16 avril 2009

En fait si.. >_<

Pour revenir sur ma config réseau, ma freebox etait déjà en routeur, tout bien configuré..
..hier j'ai tout de même testé de désactiver le routeur et en ethernet direct. Mais non, toujours pas. Et le ping de la FB merdait toujours..

Plus tard, alors que je pianotais sur l'eeepc, l'autre ordi m'a fait une alerte SpyBot étrange :

http://3gg.free.fr/spybot_error_20090415.png

Une recherche sur google et je suis tombé sur le site Emisoft (https://www.emsisoft.com/fr/ qui propose une version de leur progs spécial boot usb..

J'ai donc rapidement lancé un scan de l'ordi "infecté" et oh surprise : après moult et moult scans de nombreux logiciel qui ne trouvaient strictement rien, A-Squared me trouve 32 'Cookies' en quelques minutes !.. -_-

Malgré ça, le problème persistait toujours :(


Je commençais après pas loin d'une semaine et demi de galère, à perdre patience ^^'

J'ai craqué : copie des fichiers importants et settings de progs particuliers..
..et PAF : un bon format dans les dents !

Depuis j'ai reinstallé windaube et ô magie tout marche normalement... >_<


Damned ! +1 le virus // 0 l'humain :\
Messages postés
2696
Date d'inscription
jeudi 8 mars 2007
Statut
Membre
Dernière intervention
23 novembre 2014
176
Parfois c'est ce qu'il faut...