Hijack Besoin d'assistanceFermé

Question

Hello !

Il est rare que j'ai besoin d'assistance sur des problèmes software, de nombreux forum sont là pour ça ; mais là je galère et désespère de ne pouvoir rien faire..

Depuis deux jours je n'ai plus internet sur mon ordinateur principale.
J'ai fort l'impression que la cause est un virus / trojan / malware (là je vois pas trop..) car internet fonctionne très bien sur ma seconde machine (celle avec laquelle ô je peux vous écrire) et que suite à quelques opérations, internet est réapparu à ma grande suprise ce matin (pourtant en allant me coucher internet etait toujours dead..) mais finalement à redéconné ce midi.. et ne marche toujours pas. :(

J'ai passé les nombreux testes en mode sans echec et en normal : CCleaner, NOD32, Spy-Bot, Ad-Aware, Malwarebytes..
..ils ont trouvés quelques conneries, rapidement effacées..

Mais internet était toujours bloqué..

J'ai finalement opéré avec HijackThis pour analyser un peu tout ça..
Avec l'aide de quelques sites de log analyzer j'ai pu le décripter un peu, mais rien ne semblait très dangereux.
Mis à part une application : is-Z3E92.exe

Avec un p'tit tuto j'ai (apparemment) réussi à le virer grâce à ComboFix.

Toutes ces opérations ont fait qu'internet à fonctionné ce matin, mais depuis "l'intru" est repassé à l'action.


Desormais, je remarque une nouvelle application "csrss.exe" qui semble être un joli trojan..

Pourriez vous m'aider à me dépatouiller de toute cette galère ?

Ô grand merci d'avance -_-

Voici ci dessous mon dernier log HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:12:01, on 08/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Documents and Settings\3gg\Mes documents\KDXServer1600-Win\KDXServer.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Documents and Settings\3gg\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: KDXServer.lnk = C:\Documents and Settings\3gg\Mes documents\KDXServer1600-Win\KDXServer.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EC78F7-280C-48FC-B167-1FBCD5314300}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{65EC78F7-280C-48FC-B167-1FBCD5314300}: NameServer = 212.27.40.240,212.27.40.241
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

Saiyen75 · Answer

Salut,

La réponse n'était pas trés loin :

https://www.commentcamarche.net/contents/922-processus-windows-introduction

A première vu en survolant le rapport tu n'as pas l'air infecté

++

3gg · Answer

Bonsoir !

Merci beaucoup pour ta réponse, j'avoue avoir fort pensé à "toi" durant mon absence ce soir.
De plus je suis très heureux et étonné en rentrant : internet fonctionne !..
A croire que ta réponse a influencé..
..pourtant je n'ai strictement rien fait à mon retour du taff, lorsque j'ai composé le message..

Le sommeil serait il bon pour mon système ?
Pareille hier soir, rien ne marchait malgré plusieurs reboot ; ce matin, après une bonne nuit sans tousser : tout marche normalement..


Sinon concernant ta réponse, en rapport avec ce 'csrss', en effet j'avais compris l'abréviation..
..mais d'après 'google-est-ton-ami' : https://www.google.fr/search?hl=fr&q=csrss.exe&btnG=Rechercher&meta=&gws_rd=ssl
Il semblait parfois que des 'vers' qui pouvaient employer le même nom que d'autres processus..
..et je n'avais jamais vu ce nom dans mes souvenirs de technicien informatique amateur.. :|


Bon.. là, depuis minuit ce soir, internet marche et tout semble normal..
..on verra demain, je posterais peut être un nouveau message :\


Merci encore pour ta réaction !

3gg · Answer

Grr...
.. ce matin internet marchait encore. Je n'ai donc pas eu besoin de poster puisque "A première vu je n'avais pas l'air infecté"..

Mais ce midi, en rallumant ma machine : malédiction ! Internet qui déconne.

En mode sans echec, via Ad-Aware j'ai retrouvé 8 infections....

Donc j'ai bel et bien l'impression que "l'intru" rajoute régulièrement des saloperies qui parasitent le système..


Des idées de quoi faire..? Heeelp -_-

Voici mon dernier log HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:51:37, on 09/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\3gg\Bureau\HiJackThis.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: KDXServer.lnk = C:\Documents and Settings\3gg\Mes documents\KDXServer1600-Win\KDXServer.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EC78F7-280C-48FC-B167-1FBCD5314300}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{65EC78F7-280C-48FC-B167-1FBCD5314300}: NameServer = 212.27.40.240,212.27.40.241
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

3gg · Answer

Personne n'a d'idée ? de suggestion ? :(

la reinstall est elle obligatoire ?

Serieux c'est lourd depuis 3 jours..... :|

3gg · Answer

Franchement dommage que personne ne prenne la peine d'écrire..

..voici 5 minutes pour expliquer la suite : 

J'ai fait une restauration de système sur une petite semaine avant tout ces ennuis.
De là, j'avais toujours des problèmes, mais moins développé j'avais l'impression.

Spybot m'a finalement trouvé deux problèmes, qu'il ne trouvait pas auparavant : 
- 1Und1Bill.Fake
- Win32.VB.ATZ

Ce dernier ne pouvait être supprimé que sur une reboot, avec un lancement anticipé de SpyBot avant Windows..

..je redémarre.. du coup internet qui ne marche plus malgré la suppression de ces deux intrus..
..là j'en avais marre : je décide d'aller boire une coup chez mes voisins :D
J'éteins l'ordi.. je m'absente 2-3 heures.

A mon retour, j'allume la bete et j'attends qu'il démarre bien complètement.
Et là ô surprise, internet qui marche, après un peu de sommeil.. ^^

Au bout d'un moment à ne pas faire grand choses, NOD32 détecte un virus : svchost.exe
En effet, à l'heure actuel, j'en ai encore 6 svchost.exe de lancé, avec une moyenne de 4-5 Mo de Ram, dont un qui prends 25-30Mo.. étrange..
..étrange surtout d'en avoir plusieurs en même temps, non ??

Bref, là ça marche. J'espère que ce n'était bien que ce petit svchost caché, qui téléchargeait des merdes et parasitait ma bande passante.

Depuis j'ai install DuMeter qui me permait de controler le transfere de ma machine.. Mais il n'y a pas beaucoup d'action :D
Tant mieux.

Saiyen75 · Answer

Salut,

J'ai pas pus voir plus tôt tes messages, concernant csrss.exe, il existe des processus utilisant presque le meme nom que lui exemple : csrsc.exe (qui lui est un virus).

En ce qui concerne les svchost.exe c'est normal que tu en ai plusieurs avec aussi l'un d'entre eux plus lourd que les autres. Il se peut aussi que dans le svchost.exe tu soit infecté...

As tu fait un scan avec MBAM ?


MalwareByte's Anti-Malware et supprime ce qui est trouvé et colle le rapport dans ton prochain post.

Pour se faire, Suivre le tutorial suivant :

Telechargement et Tuto MalwareBytes

A la fin du scan, n'oublie pas de cliquer sur supprimer les éléments

_____________________________________________________

Essaye aussi un scan en ligne :

Fais un scan en ligne avec Kaspersky : 

/!\ Le scan ne marche que sous Internet Explorer. /!\

https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr 

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.-- 

- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. 

- On va te demander de télécharger un contôle active x, accepte . 
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer. 
- Poste le rapport dans le forum. 
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3 
Rappel : le scan est à faire sous Internet Explorer 

_____________________________________________________

La restauration système c'est trés bien par contre si au moment de la restauration tu était déjà infecté, les mauvais fichiers sont toujours présent...

++

3gg · Answer

-_- Il ne faut pas criée victoire trop vite !..

Comme vous avez pu le voir dans mon dernier message, j'ai passé un -bon- weekend, heureux qu'internet fonctionne bien.. ^^'

Mais : malédiction ! Ce matin c'est reparti : plus d'internet ! arg..

Avant de partir bosser, j'ai donc lancé des scans Ad-aware & Spy-Bot.. :'(

Je commence à en avoir marre....

J'ai regardé cu côté de svchost, j'en ai 6 !.. A mon boulot, j'en ai 5 ! Erf le coquin...
Et vous ? 5 aussi ??

Saiyen75 · Answer

Salut,

Qu'est ce qui se passe avec internet ? 
les svchost n'ont rien avoir avec ton problème :)

Saiyen75 · Answer

Salut,

J'ai l'impression qu'avant d'etre virale, le problème ne soit liè au réseau....
Si tu ne ping pas ta freebox il y'a dejà un problème à la base,
Ta freebox est en DHCP ? As tu essayé avec une IP fixe ?
La liaison physique passe t'elle bien ? (cable bien branché, test un autre cable, LED allumées ?).
Est ce que tu ping ton locahost ? 127.0.0.0 

C'est dur de trouver un virus là où il y en a pas. ^^

tiens moi au courrant 

++

Saiyen75 · Answer

Tu as essayé de changer l'adresse IP de la tour puis de refaire un ping ?
Sinon le mieux que tu puisse faire dans un cas comme celui ci, je pense que tu as un conflit entre ta tour et ton portable d'ou le fait que parfois tu es la connexion et parfois non, d'ailleur peut etre que lorsque ta tour avait internet, ton portable etait eteint, ou débranché ?
Un test que tu peux faire c'est passer ta freebox en mode routeur.

Pour commencer coupe le wifi sur ton portable, débranche le câble ethernet de ta tour puis :

Rends toi sur la page freebox : http://www.free.fr/adsl/
Puis en haut a droite tu clique sur "Mon compte" (écrit en rouge)
Entre l'identifiant et ton mot de passe (l'identifiant est ton num de tel)
Ensuite vas dans "Internet"
"Configurer mon routeur freebox"
Coche "Vous souhaitez activer ce service" ACTIVER
Vérifie bien que le DHCP est coché et regarde la plage IP (tu peux laisser celle par defaut)
Ensuite clique sur "envoyer" (en bas à droite de la page)

Reboot ta freebox, dans le même temps, vas dans les propriétés de de ta connexion ethernet sur ta tour et mets bien Automatique \ Appliquer \ OK

Ta freebox redémarré, rebranche le câble RJ45 a ta tour puis attends 1 ou 2 minutes et ouvre un cmd et tappe : ipconfig pour verifier que tu as bien une adresse IP valide et non un 169.....
Essaye de pinger ta freebox. Pour le wifi tu pourras la réactiver par la suite.

Saiyen75 · Answer

Pas de niouz ?

Saiyen75 · Answer

Parfois c'est ce qu'il faut...

Hijack Besoin d'assistance

12 réponses

Discussions similaires

Newsletters