Voir la version complète : [Raizo-luh] Petite panique de minuit
Hello à tous.
Je viens de me faire une petite frayeur, mon pc principal semble infecté avec un truc bien sympa.
D'un coup, j'ai eu la blinde de pop-ups me recommandant de faire une analyse windows en anglais, bref on s'en fout. Puis de plus en plus.
Mon antivir s'est activé et m'a dis qu'un fichier était détecté. Je le supprime.
Et là paf c'est la teuf, toujours plus de pop-ups, et un nouveau qui reprend exactement l'apparence de la fenêtre windows pour active l'antivirus windows, mais en anglais.
Je ne click sur rien, et la repaf, deux nouvelles icones apparaissent dans le tray en copiant l'icone windows d'alerte sécurité (un bouclier) et parfois l'une d'elle devient une croix blanche sur fond rouge rond.
Je reboot en mode sans échec, et là ni spybot ni antivir ne boot. Siouper.
Donc là je vous écris de mon EEE un peu en panique quand à la pérénité de mes données. Je n'ai pas super envie de faire C:/ format sachant que je n'ai pas de nouveau disque dur sous la main et pas trop les sous pour.
Avez vous une idée de ce que ça peut être? Et que faire? La j'analyse avec l'antivirus de kaspersky online mais bon je suis trop stressé pour réfléchir convenablement (trop de photos et trucs que je veux conserver sur ce pc pour tout balancer...).
Je ne DL pas de jeux en warez (et je viens même d'acheter torchlight :emo:), je ne traine pas sur des sites de poney en rut et je ne vois pas comment ça a pu popper magiquement.
Bref merci pour votre aide et votre indulgence pour un gars qui commence le taf demain et comme par hasard une couille lui tombe dessus :cry:
Angelina
23/12/2009, 01h19
Lance Hijackthis (http://www.hijackthis.de/fr) et colle nous le log .txt içi stp, à partir de là on verra. ;)
(C'est un prog qui scan tes process et te permet de virer les trucs inutiles/parasites.)
S'parti. J'edit quand fini.
Merci Angie ;)
Voilà pour Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:23:08, on 23/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Tablet.exe
D:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\ALCWZRD.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\Logitech\SetPoint\SetPoint.exe
D:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\CarbisH\Mes documents\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [igfxtray] D:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] D:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] D:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] D:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] D:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] D:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by107fd.bay107.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130539339015
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplay.com/cabs/msway44.cab
O16 - DPF: {EB504BE1-BFA2-41FE-8F49-C4DD2524E246} (Canal+ Active MSWAY) - http://servicesv4.canalplusactive.com/cabs/msway42.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{174B11B5-84B9-46DA-A8A0-818D9BB609CD}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D06849C-14AD-4250-B9A5-00E9A6831CBC}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{174B11B5-84B9-46DA-A8A0-818D9BB609CD}: NameServer = 194.117.200.10,194.117.200.15
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - D:\WINDOWS\system32\acs.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - D:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe
O23 - Service: TomTomHOMEService - TomTom - D:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
--
End of file - 8479 bytes
Et pour Findykill (je soupçonne bagle...):
############################## | FindyKill V5.021 |
# User : CarbisH (Administrateurs) # CARBISH-PYPE
# Update on 10/12/2009 by Chiquitine29
# Start at: 01:18:04 | 23/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]
# C:\ # Disque fixe local # 149,04 Go (26,25 Go free) [CarbisH StocK] # NTFS
# D:\ # Disque fixe local # 34,46 Go (2,81 Go free) [CarbisH HeaD II] # NTFS
# E:\ # Disque fixe local # 189,92 Go (31,28 Go free) [CarbisH HeaD OlD] # NTFS
# F:\ # Disque CD-ROM
# G:\ # Disque CD-ROM # 394,44 Mo (0 Mo free) [MIKA] # CDFS
# M:\ # Disque amovible
############################## | Processus actifs |
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Tablet.exe
D:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\ALCWZRD.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\Logitech\SetPoint\SetPoint.exe
D:\WINDOWS\System32\alg.exe
D:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\CarbisH\Mes documents\ctzi0zqo.exe
D:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
################## | D: |
Présent ! G:\autorun.inf
################## | D:\WINDOWS |
################## | D:\WINDOWS\system32 |
################## | D:\WINDOWS\system32\drivers |
################## | D:\Documents and Settings\CarbisH\Application Data |
################## | Temporary Internet Files |
################## | Registre / Clés infectieuses |
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V5.021 ! |
Angelina
23/12/2009, 01h49
Faut l'executer depuis la racine hijackthis (càd C: ), et non à partir de mes documents.
Ok epic fail.
Je relance.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:52:49, on 23/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Tablet.exe
D:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\ALCWZRD.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\Logitech\SetPoint\SetPoint.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
D:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
D:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
C:\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [igfxtray] D:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] D:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] D:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] D:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] D:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] D:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by107fd.bay107.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130539339015
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplay.com/cabs/msway44.cab
O16 - DPF: {EB504BE1-BFA2-41FE-8F49-C4DD2524E246} (Canal+ Active MSWAY) - http://servicesv4.canalplusactive.com/cabs/msway42.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{174B11B5-84B9-46DA-A8A0-818D9BB609CD}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D06849C-14AD-4250-B9A5-00E9A6831CBC}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{174B11B5-84B9-46DA-A8A0-818D9BB609CD}: NameServer = 194.117.200.10,194.117.200.15
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - D:\WINDOWS\system32\acs.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - D:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe
O23 - Service: TomTomHOMEService - TomTom - D:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
--
End of file - 8607 bytes
Bon malwarebyte et antivir ne marchent toujours pas, cay kewl.
Angelina
23/12/2009, 02h00
Regarde donc en même temps que moi: tu colles le log dans la case du site hijackthis et tu lances une identification des process, c'est pas fiable à 100% alors faut décortiquer chaque truc...
T'as ce site aussi par ex qui fait pareil: http://hjt.networktechs.com/
MystereGomme
23/12/2009, 02h04
Essaye un coup de Super Ad Blocker (www.superadblocker.com).
Je le cite a chaque topic de ce genre, il m'a étrangement sauvé la vie le peu de fois ou les trucs "connus" ne pouvaient plus rien pour moi.
Sur le site off il ne détecte rien, par contre sur ton 2eme site il s'emballe sur les CTFMON.
Je crois que je vais pas tarde à aller me coucher car je tombe de sommeil, mais je tiens à te remercier pour ton aide. La je capte plus grand chose et comme certaines manip peuvent être délicates je ne préfère pas tenter le diable.
Ca m'a un peu rassuré, je vais pouvoir attaquer le boulot plus détendu, et m'occuper de ça demain...
Merci Angie, et merci à tout ceux qui passeront par ici.
Un petit truc qui m'a sauvé plusieurs fois :
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Et c'est conseillé par les pros du nettoyage de spywares.
T'as juste à suivre le mode d'emploi sur le site off.
Bonjour à tous.
J'ai jeté un coup d'oeil en vitesse ce matin évidemment rien n'a changé :emo:.
J'ai essayé ton prog Istros mais il plante au lancement.
Bref, je vais aller bosser et me concentrer là dessus ce soir, mais quelle poisse.
Bon.
Findykill ne semble pas faire grand chose.
Ni malware byte, ni adaware, ni avira ne se lancent.
Le programme sus-cité non plus.
Le boot plante une fois sur deux.
Et mon cd d'XP est chez ma proprio.
Tout va bien.
Maintenant, j'ai une licence 7 qui traine, mais je doute que le pc apprécie:
P4 530 3ghz single core
2gb de ram corsair + samsung
8600 GT
Asus P5GD1-VM
C'est la première (grosse) infection que j'ai, mais j'ai pas très envie de formater mes 3 dds. Les progs je peux faire une croix dessus mais d'autres données pas super envie.
Merci pour votre aide :emo:
Edit:
Ouais§§ Ad aware démarre. Mais je sens qu'il ne va rien trouver. Le reste ne démarre toujours pas.
Sinon Firefox me demande à chaque ouverture si il veut être mon navigateur par défaut :tired:
Bon.
Findykill ne semble pas faire grand chose.
Ni malware byte, ni adaware, ni avira ne se lancent.
Le programme sus-cité non plus.
Le boot plante une fois sur deux.
Et mon cd d'XP est chez ma proprio.
Tout va bien.
Maintenant, j'ai une licence 7 qui traine, mais je doute que le pc apprécie:
P4 530 3ghz single core
2gb de ram corsair + samsung
8600 GT
Asus P5GD1-VM
C'est la première (grosse) infection que j'ai, mais j'ai pas très envie de formater mes 3 dds. Les progs je peux faire une croix dessus mais d'autres données pas super envie.
Merci pour votre aide :emo:
Edit:
Ouais§§ Ad aware démarre. Mais je sens qu'il ne va rien trouver. Le reste ne démarre toujours pas.
Sinon Firefox me demande à chaque ouverture si il veut être mon navigateur par défaut :tired:
Installe Seven, ça va passer nickel, je l'ai fait tourner avec un P4 516 et une Geforce 6200, 512mo de ram... :p
Ah ouais pas mal.
Mais bon si je pouvais éviter, surtout pour ma mère qui n'a jamais tâté vista ni seven ça risque d'être coton... Quoi que.
En tout cas si vous avez une idée sur le problème actuel je prends, car si je pouvais au moins désinfecter un peu que je formate ou pas... (car je vais pas formater tout les DDs - je vais récupérer une grosse partie des fichiers musique, photos, etc).
Edit: Bon bah voilà comme prévu AD-Aware n'a rien trouvé :tired:
Edit²: Googleupdater qui plante toute les 15 minutes environs alors que je ne vois aucun process activé :tired:²
XWolverine
23/12/2009, 23h04
Il te faudrait un scan qui se lance avant Windows, tel celui de F-Prot DOS, là :
http://www.f-prot.com/download/home_user/download_fpdos.html
T'as un lecteur de disquettes ?
Si tu souhaites essayer de réparer le système infecté en bootant dessus, il vaut mieux que tu débranches ton cable réseau, et transfère les outils dont tu as besoin par clé USB (fais gaffe que le malware ne se replique pas dessus).
Le mieux serait de booter sur un système sain (liveCD linux, ou un autre PC sur lequel tu aurais branché ton DD) et de tenter des diagnostics pour essayer de savoir à qui tu as affaire. Tu pourras ensuite chercher un remède.
Il est vrai que je n'avais sottement pas pensé à retirer le câble réseau.
Par contre je n'ai pas d'autre pc sous la main, et je n'ai pas de quoi booter sur un environnement safe. J'y avais pensé mais je me demandais comment analyser le DD si c'était le cas (notamment avec un live CD). Je ne connais pas de bons anti-spyware pour linux mais bon suffit de chercher je présume.
Pour l'instant j'ai réussi à installer AVG qui bloquait jusque là. J'ai passé un coup de scan complet avec l'antivirus en ligne de NOD32 qui m'a giclé quelques merdouilleries (trojan et un autre truc, les noms Kryptic.bim, W32/delf et POLY MACRO il me semble).
Après reboot, écran noir avec curseur de souris deux fois, puis boot en sans échec et là j'ai pu installer AVG. Là j'ai lancé un nouveau scan avec AVG on verra bien. Je verrais après ce scan si je peux boot Spybot ou Malware.
Et non je n'ai plus de lecteur disquette, j'ai tout donné et le mien est kaput.
Merci pour votre aide!
Je ne connais pas de bons anti-spyware pour linux mais bon suffit de chercher je présume.
Qui tourne sous Linux, mais qui détecte des malwares Windows ! :)
Je suppose que ca doit exister dans le monde pro. En grand public, je ne sais pas.
Le problème avec la démarche de réparer directement sur le système infecté est que le malware est actif et peut muter, se propager ailleurs, et flinguer les outils que tu installes pour le traquer.
Les outils permettant d'éradiquer de tels malwares réutilisent d'ailleurs les propres mécanismes des malwares pour ne pas se faire repérer (polymorphisme, ...).
Bon, ce qui précède ne va pas vraiment t'aider à résoudre ton problème :/
Mais bon si je pouvais éviter, surtout pour ma mère qui n'a jamais tâté vista ni seven ça risque d'être coton... Quoi que.
Je pense que ta mère s'habituera plus vite à seven qu'à tes malwares sous xp que tu te feras chier à enlever, pour pas grand chose en fait, juste avoir un pc qui fonctionne correctement.
Si tu as un disque essaye de le partitionner et installe seven dessus, t'aura toujours tes données d'xp dans l'autre partition.
Passe de bonnes fêtes ;)
superlag
24/12/2009, 12h32
Qui tourne sous Linux, mais qui détecte des malwares Windows ! :)
Je suppose que ca doit exister dans le monde pro.
Il me semble que la version boite de Bit Defender contenait un Live Cd Linux maison précisément pour ce genre de travail il y à 3 ou 4 ans, depuis je ne sais pas.
Je continue d'essayer de nettoyer avec tout ce qui me passe sous la main qui est recommandable.
Au pire si je plante un truc fatale à windows je m'en fous j'installe à nouveau j'ai fait un backup de tout les trucs craignos.
Ma crainte principale est de réinstaller un windows sur le DD principal et de me retrouver à nouveau infecté en branchant les anciens sur lesquels j'ai fait les backups et qui étaient aussi présents lors de l'infection :tired:
Merci à tous en tout cas pour votre aide et bon réveillon à tout le monde.
J'ai trouvé le nom de mon pote, c'est H8SRT apparament.
Merci à Nilsou pour son topic qui m'a permis d'utiliser GMER. J'ai au moins pu mettre le doigt dessus (et sur toutes les interdictions d'executables de tout les anti virus et spyware du globe... Sauf AVG qui semble être jugé trop naze? Remarque il ne trouve rien).
Je continue, mais merci encore pour votre aide.
Et voilà c'est fini§§
J'ai du essayer 5 antivirus, je ne sais combien de progs pour finalement tomber sur GMER qui m'a indiqué H8SRT, et il m'a ensuite fallu juste utiliser TDSSKILLER pour le dégager.
Un grand merci aux canards m'ayant aidé et bonne fête à tous.
http://www.myantispyware.com/2009/12/22/how-to-remove-h8srt-trojan-remove-rootkit-tdss/
Powered by vBulletin® Version 4.2.5 Copyright © 2024 vBulletin Solutions, Inc. Tous droits réservés