Backdoor detecté

Résolu
asterix720 Messages postés 40 Statut Membre -  
asterix720 Messages postés 40 Statut Membre -
Bonjour,

Ce matin j'ai cliqué sur un fichier .exe que j'ai téléchargé et hop il disparait du bureau, j'été voir quelques sites web puis je suis retourné sur le bureau et la je vois que le fichier est revenu mais sans l'extension .exe, j'ai eu l'idée de l'ouvrir avec un éditeur de texte et la surprise! toutes les actions que j'ai effectué ont été enregistrer dans ce fichier! y compris mes mots de passe

J'ai paniqué et je l'ai vite supprimé mais il revient à chaque fois malgré ça, alors j'ai lancé un scan avec Ad-Aware mais il n'a rien trouvé, j'ai restauré le système à une ancienne date puis redémarrer le système, et la le fichier est disparu, mais paranoïaque que je suis j'ai lancé un scan complet avec Kaspersky anti virus, il a trouvé 2 Trojan :
Backdoor.Win32.Poison.vzk + Trojan.Win32.Patched.fh

J'ai passé aussi un coup de hijackthis :

[code]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:49:54, on 17/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Acer\Empowering Technology\admServ.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\RTHDCPL.EXE
D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RtkBtMnt.exe
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
D:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
D:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - D:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [Athan] D:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.10\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe

--
End of file - 9911 bytes
/code

Merci de m'aider svp je n'ai pas envie qu'on me vole mes codes d'accès.
Configuration: Windows XP
Firefox 3.0.7

27 réponses

  • 1
  • 2
  1. de passage
     
    Salut ,

    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')


    je n'ai pas envie qu'on me vole mes codes d'accès.

    ........
    0
  2. asterix720 Messages postés 40 Statut Membre
     
    Je supprime ces 5 entrées et c'est tout?

    voila ce que ça donne après suppression :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:32:01, on 17/03/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\svchost.exe
    D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
    C:\Acer\Empowering Technology\admServ.exe
    D:\Program Files\Bonjour\mDNSResponder.exe
    D:\Program Files\Java\jre6\bin\jqs.exe
    D:\WINDOWS\system32\nvsvc32.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\RTHDCPL.EXE
    D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RtkBtMnt.exe
    D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
    C:\Acer\Empowering Technology\admtray.exe
    C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    D:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
    D:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
    D:\Program Files\Mozilla Firefox\firefox.exe
    D:\WINDOWS\system32\taskmgr.exe
    D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files\FlashGet\jccatch.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Program Files\FlashGet\getflash.dll
    O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - D:\WINDOWS\system32\eDStoolbar.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SynTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
    O4 - HKLM\..\Run: [Athan] D:\Program Files\Athan\Athan.exe
    O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
    O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [PC Suite Tray] "D:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
    O8 - Extra context menu item: &Tout télécharger avec FlashGet - D:\Program Files\FlashGet\jc_all.htm
    O8 - Extra context menu item: &Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
    O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
    O23 - Service: Apple Mobile Device - Apple Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
    O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Program Files\WinPcap\rpcapd.exe
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.10\bin\httpd.exe
    O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe
    0
  3. asterix720 Messages postés 40 Statut Membre
     
    Sinon est ce que l'éventuel pirate a déjà reçu des informations confidentielles depuis mon ordinateur?
    Devrais je modifier mes mots de passe?
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. asterix720 Messages postés 40 Statut Membre
     
    Merci de ta réponse,
    voila le rapport complet :

    Malwarebytes' Anti-Malware 1.34
    Version de la base de données: 1859
    Windows 5.1.2600 Service Pack 3

    17/03/2009 20:27:00
    mbam-log-2009-03-17 (20-27-00).txt

    Type de recherche: Examen complet (C:\|D:\|E:\|)
    Eléments examinés: 222818
    Temps écoulé: 1 hour(s), 55 minute(s), 44 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 4
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  6. asterix720 Messages postés 40 Statut Membre
     
    J'ai fais un netstat et voila ce que j'ai trouvé, est ce que c'est normal?

    TCP user-f33118:3717 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
    TCP user-f33118:3721 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
    TCP user-f33118:3728 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
    TCP user-f33118:3736 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
    TCP user-f33118:3737 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
    TCP user-f33118:3738 213-248-125-128.customer.teliacarrier.com:http ESTABLISHED
    TCP user-f33118:4002 75.6.5746.static.theplanet.com:http ESTABLISHED
    TCP user-f33118:4006 75.6.5746.static.theplanet.com:http ESTABLISHED
    TCP user-f33118:4009 75.6.5746.static.theplanet.com:http ESTABLISHED
    TCP user-f33118:4039 66.179.5.20:http ESTABLISHED
    TCP user-f33118:4046 orbit-beta.theplanet.com:http ESTABLISHED
    0
  7. Redbart Messages postés 20952 Date d'inscription   Statut Membre Dernière intervention   3 382
     
    est ce que ces connexions ne sont pas en rapport avec ton site web?

    quel est ton pare feu?
    0
  8. asterix720 Messages postés 40 Statut Membre
     
    Non je ne connais pas ces sites web, j'utilise le pare feu de Windows XP.
    0
  9. Redbart Messages postés 20952 Date d'inscription   Statut Membre Dernière intervention   3 382
     
    ce pare feu est de la poudre aux yeux:
    http://www.commentcamarche.net/faq/sujet 3486 securite le pare feu de windows xp

    installe :
    https://www.zonealarm.com/software/free-firewall
    tuto :
    https://www.malekal.com/tutoriel-zonealarm-firewall/

    Soyez précis et complet dans vos questions, les lecteurs ne sont pas devins.
    Les moteurs de recherche sont là pour vous aider.
    0
  10. asterix720 Messages postés 40 Statut Membre
     
    J'ai installé zone alarm, voila ce qu'il a trouvé:

    Fichier: D:\Program Files\PPStream\PowerPlayer.dll
    GUID: {1AF34165-6CA9-4F08-BC21-49AEDC68D828}
    Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{1AF34165-6CA9-4F08-BC21-49AEDC68D828}
    Fichier: D:\Program Files\PPStream\PowerList.ocx
    GUID: {20C2C286-BDE8-441B-B73D-AFA22D914DA5}
    Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{20C2C286-BDE8-441B-B73D-AFA22D914DA5}
    GUID: {5EC7C511-CD0F-42E6-830C-1BD9882F3458}
    Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{5EC7C511-CD0F-42E6-830C-1BD9882F3458}
    GUID: {EB394D1B-799F-4372-B405-B11F5220B75F}
    Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EB394D1B-799F-4372-B405-B11F5220B75F}
    Répertoire: D:\Documents and Settings\Administrateur\Application Data\PPStream\Skin
    Répertoire: D:\Documents and Settings\Administrateur\Application Data\PPStream\Skin\Vista
    Répertoire: D:\Documents and Settings\Administrateur\Application Data\PPStream
    Clé de registre: HKEY_CURRENT_USER\Software\PPStream
    Clé de registre d'interface: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{3790C037-C104-4AAC-97D4-0DE9280AF7E3}
    Nom de l'interface: _DPowerListEvents
    Clé de registre d'interface: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{3F95A360-48CA-47B4-B9EF-CA19B94D074D}
    Nom de l'interface: _DPowerList
    Clé de registre d'interface: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{5D0CE636-38CD-4AE7-8BEF-D33CE4A01C83}
    Nom de l'interface: _DPowerPlayerEvents
    Clé de registre d'interface: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{98CB8A58-AF21-45A2-9B41-6626C2F79665}
    Nom de l'interface: _DPowerPlayer
    Clé de registre TypeLib: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TypeLib\{8BEBA807-5611-4E22-BCF7-280DAED9A1F3}
    Clé de registre TypeLib: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TypeLib\{C400B05B-CD0E-4ADF-9381-20A3C672B473}
    Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\POWERLIST.PowerListCtrl.1
    Clé de registre: HKEY_LOCAL_MACHINE\Software\Classes\POWERPLAYER.PowerPlayerCtrl.1
    Clé de registre: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\pps
    Clé de registre: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\ppstream
    Clé de registre: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\ppstreamvod
    Clé de registre: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\ppstreamvodres
    Fichier: D:\WINDOWS\Powerplayer.ini
    Fichier: D:\WINDOWS\psnetwork.ini
    Fichier: D:\Documents and Settings\Administrateur\Application Data\Microsoft\Internet Explorer\Quick Launch\PPStream.lnk
    Fichier: D:\Documents and Settings\Administrateur\Bureau\PPStream.lnk
    Fichier: D:\Documents and Settings\Administrateur\Application Data\PPStream\Skin\Vista\Vista.jpg
    Fichier: D:\Documents and Settings\Administrateur\Application Data\PPStream\Skin\Vista\Vista.ssk

    Comment être sur que l'ordinateur n'est plus infecté?

    Merci bcp de votre aide.
    0
  11. Redbart Messages postés 20952 Date d'inscription   Statut Membre Dernière intervention   3 382
     
    où as tu trouvé ce rapport? je n'en ai pas demandé

    Zonealarm est un parefeu, son usage est de bloquer le maximum d'entrées et de sorties indésirables de ton pc
    il protège ton pc des attaques venant du net, évidemment pas à 100 %

    pour le reste t'as spybot , est ce que tu as vacciné régulièrement ton pc? et planifié les màj + scan

    je pense que kaspersky AV est bon, là aussi màj et scan régulier

    Comment être sur que l'ordinateur n'est plus infecté? il existe une bonne Xzaines d'outils divers pour la désinfection

    Soyez précis et complet dans vos questions, les lecteurs ne sont pas devins.
    Les moteurs de recherche sont là pour vous aider.
    0
  12. asterix720 Messages postés 40 Statut Membre
     
    C'est le rapport d'analyse de zone alarm.

    Sinon pour les customer.teliacarrier.com qui j'ai trouvé dans le netstat, après une recherche sur Google j'ai vu que ça a un rapport avec les jeux en ligne comme World of craft, or je ne joue à aucun jeu en ligne depuis mon pc.
    0
  13. Redbart Messages postés 20952 Date d'inscription   Statut Membre Dernière intervention   3 382
     
    ppstream : est ce que tu regarde la télé chinoise?
    http://www.chine-informations.com/mods/telecharger/chine-logiciel-ppstream-fr-la-television-gratuite-grace-au-pp_90.html

    ok on arrête là pour aujourd'hui
    bonne nuit
    0
  14. asterix720 Messages postés 40 Statut Membre
     
    Oui je regarde une télé chinoise.

    Merci pour tout!

    Bonne nuit.
    0
  15. Redbart Messages postés 20952 Date d'inscription   Statut Membre Dernière intervention   3 382
     
    il parait que tv ants à + de chaines
    sur clubic
    0
  16. asterix720 Messages postés 40 Statut Membre
     
    Je la regarde uniquement pour les matchs du foot ;)
    0
  17. Redbart Messages postés 20952 Date d'inscription   Statut Membre Dernière intervention   3 382
     
    qu'en est il de ton keylogger? est il toujours là?
    0
  18. asterix720 Messages postés 40 Statut Membre
     
    Je viens de faire un scan en ligne avec BitDefender
    voila le rapport :

    D:\System Volume Information\_restore{D22CECB7-3472-4990-B1F4-1378DEFB73EF}\RP64\A0032554.exe

    Infecté par: Trojan.Generic.151372

    D:\System Volume Information\_restore{D22CECB7-3472-4990-B1F4-1378DEFB73EF}\RP64\A0032554.exe

    Supprimé

    D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0176

    Détecté avec: Adware.Baidu.Sobar.A

    D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0176

    Supprimé

    D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)

    Echec de la mise à jour

    D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0177

    Infecté par: Trojan.Generic.764323

    D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0177

    Supprimé

    D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)

    Echec de la mise à jour

    D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0178

    Détecté avec: Adware.Generic.36883

    D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)=>lzma_nsis0178

    Supprimé

    D:\Utils\uusee_uusee_v3.0.15_autres_42827.exe=>(NSIS o)

    Echec de la mise à jour

    Je crois que je n'aurais pas du faire la restauration du système avant de virer les trojans :-(
    0
    1. Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention   236
       
      Hello,

      Il faut que tu purges ta restauration.
      @+
      0
  19. Redbart Messages postés 20952 Date d'inscription   Statut Membre Dernière intervention   3 382
     
    après la purge fait un aussi scan avec spybot à jour

    0
  20. asterix720 Messages postés 40 Statut Membre
     
    Voila j'ai fais la purge, et j'ai refais un scan après reboot du pc avec spybot et avec Kaspersky, apparemment plus de trace du trojan, j'espère qu'il est vraiment partie!

    En tout cas merci pour toute l'aide que vous m'avez apporter.
    0
    1. Trying2 Messages postés 7096 Date d'inscription   Statut Contributeur sécurité Dernière intervention   236
       
      Hello,

      Reposte un scan d'hijackthis pour vérifier.
      0
  • 1
  • 2