L'application contient un ver...

Question

Bonjour à tous
depuis ce matin, j'ai un petit soucis quand je vais sur deux sites (TF1.fr, et le figaro.fr), en effet à chaque visites sur une de leurs pages, j'obtiens un message de mon antivirus kaspersky 2009,me disant que l'application firefox contient un ver, destiné à s'approprier des mots de passe,etc... bon heureusement l'anti virus me les bloquent immédiatement, mais tout de même j'en suis déjà à 29 alerte de ce genre.J'ai écris au support de Kaspersky pour leur signaler le soucis.

Pouvez-vous m'aider ?
Merci

Cosmi · Answer

Bonjour,

Afficher le(s) fichier(s) contenant l'infection et sa localisation.

Rapport d'analyse du PC
 Téléchargement HijackThis : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
Tutoriel : https://jesses.pagesperso-orange.fr/Docs/Logiciels/HTJEasy.htm 

• Installez et lancez HijackThis par un clic-droit et 
>> "Exécuter ce programme en tant qu'administrateur"

• Appuyer sur [Do a system scan and save a logfile].
>> Le bloc-note va s'ouvrir avec un rapport, 
&#9658;Afficher le rapport HijackThis sur votre prochain post.

pinkou · Answer

Bonjour, voici le rapport (mais finalement d'après le support de Kaspersky s'était du à une MAJ, car apparemment maintenant ça ne le fait plus.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:12:50, on 08/06/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Windows Live\Family Safety\fsui.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\André\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Users\ANDR~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Users\André\AppData\Roaming\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Outil de notification Live Search.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Cosmi · Answer

re,

Utilisateur de SpybotSD.
Désactivez la protection résidente de SpybotSD, qui peut interférer avec la désinfection.
• Lancez Spybot > Mode avancé > Outils >> Résident
• Décochez la case résident "tea timer" et refermez Spybot
>> Vous réactiverez la protection après la désinfection. <<

Utilisateur de Vista.
• Panneau de configuration -> "Comptes d'utilisateurs",
• Dans la nouvelle fenêtre -> "Comptes d'utilisateurs",
• Cliquer sur [activer ou désactiver le contrôle des comptes d'utilisateurs,
• Dans la fenêtre en résultant décocher la case "utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur",
• Valider par OK,
• Redémarrer le PC.
>> Vous réactiverez l’UAC après la désinfection. <<.

----------------------------------------------------------------------------

Optimisation des ressources et augmentation des performances du système.
Les lignes 04 dans HijackThis, correspondent à des programmes lancés automatiquement
au démarrage du PC. Plusieurs prennent des ressources système inutilement, puisqu'ils
roulent constamment même lorsque inutilisés. Préférable de leurs créer un raccourcis
placés sur le bureau, pour qu'ils y soit lancés au besoin.

La suppression de lignes 04- ne supprimes aucun fichier. En fait ces lignes sont
des entrées registre, correspondants aux lancement automatique de programmes.

Relancer HijackThis
• Appuyer sur [Do a system scan only],
• Cocher les lignes suivantes (de R0 à 04)
>>> Fermer Internet Explorer et autre fenêtre..
• Appuyer sur [Fix Checked] pour les supprimer.

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Related to High_Definition_Audio_System driver from Realtek
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

Synaptics touchpad tray icon. Displays status and provides quick launch to touchpad features such as scrolling and tap zones. Required on IBM Thinkpads with UnltraNav (pointstick and touchpad combo) if you don't want to loose the advanced pointstick features such as scroll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

allows user to change different driver properties through Windows User Interface. Quick access to the control panel via a System Tray icon. Available via Start -> Settings -> Control Panel
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

allows user to change different driver properties through Windows User Interface. If the user wishes to have "HotKey" access to Intel's customised graphics properties, it is required, otherwise not. It can be disabled via the Display Properties in the Control Panel
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

Synaptics Pointing Device starter belonging to Synaptics Pointing Device Driver
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

allows user to change different driver properties through Windows User Interface. Not known exactly what it does but apparently it isn't required
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

Related to Windows Live Family Family Safety is a parental controls application that you can use to monitor Windows Live program
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun

Si nécessaire pour vous. Créez un raccourci pour :
Adobe Reader, Windows Live Messenger, Windows Media Player.
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - Startup: Outil de notification Live Search.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

► Redémarrez le Pc pour que prennent effet ces suppressions.

----------------------------------------------------------------------------

À propos de RtkBtMnt.exe

rtkbtmnt.exe uses excessive system and memory resources with no corresponding benefit.
Applications such as these should be disabled to improve overall system performance.
C:\Users\ANDR~1\AppData\Local\Temp\RtkBtMnt.exe

Vous pouvez supprimer en mode sans échec : RtkBtMnt.exe
mode sans échec : https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/

----------------------------------------------------------------------------
Mettez à jours JAva..
Utiliser Update Checker et faites les màj proposées.
Téléchargement : http://www.apphit.com/software_update_checker/
----------------------------------------------------------------------------

Nettoyez les fichiers temporaires.. avec CCleaner.
Téléchargement : https://www.ccleaner.com/ccleaner/download
tutoriel : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm

Utiliser CCleaner après chaque session sur le net,
installation de logiciels et/ou avant de fermer le PC.

----------------------------------------------------------------------------

Désinstaller les objets de Yahoo!, si comme pour la plupart des internautes, vous n'utilisez jamais ça.

Avec Kasperksy, vous pouvez aisément laisser Spybot S&D désactivé.
Et même qu'avec Malwarebytes, vous pourriez le désinstaller.

Malwarebytes, utile en 2ième ligne de défense pour un scan occasionnel ou au besoin
(après une màj au préalable), est le logiciel de désinfection le plus performant disponible présentement sur le net ! Protège très efficacement un PC en détection/suppression en tout genre.
Voici une liste des infections gérées par Malwarebytes : http://www.malwarebytes.org/malwarenet.php
Téléchargement : http://www.malwarebytes.org/mbam.php
Tutoriel : http://www.pcinfo-web.com/...

pinkou · Answer

Re, bonsoir, 
toutes les lignes sont supprimés, par contre pour spybot, ma dernière MAJ, vaccination, et scan complet du PC remonte à hier (j'ai pris l'habitude de le faire tout les dimanche).

Pour ccleaner, je l'utilise tout les soirs avant d'éteindre le PC.Enfin dernière chose, est ce que parmi les lignes que vous m'avez supprimés, ça peut jouer sur le faite qur l'icône de msn n'apparaisse plus dans la barre des taches ?
Merci pour votre temps que vous m'accordez. Sinon comme je l'avais présagé, le message de kaspersky n'est plus venu en me rendant sur les sites de TF1 et le Figaro, cela était du a une MAJ et ça s'est corrigé à la suivante, le support me l'a confirmé.

Cosmi · Answer

En désactivant la protection résidente de Spybot, vous pouvez quand même l'utiliser au besoin.
Soit pour vacciner ou un scan occasionnel.
Avec Kaspersky, Spybot fait vraiment double emploi et utilise des ressource inutilement.

Tout comme pour MSN, que vous avez désactiver en supprimant sa ligne avec HijakcThis.
Vous n'auriez qu'à créer un raccourci  avec le fichier .exe qui lance le logiciel à partir de son répertoire d'installation(vérifier le fichier .exe et son rép. dans HijackThis).

Pour créer un raccourci.
Faites un clic-droit sur le fichier .exe du logiciel et sélectionner "Créer un raccourci".
Le raccourci est ajouté dans le répertoire où il a été créé.
Ne reste qu'à le copier sur le bureau, ..dans un répertoire où vous placeriez tous les raccourci logiciels d'utilisation quotidiennes !?

pinkou · Answer

Ah oui d'accord, c'est fait. En faite sur mon bureau, j'ai créer un dossier, ou j'y est inséré toutes les icônes raccourcis des programmes dont je me sers le moins, pour ne pas encombrer tout l'écran.J'ai donc retrouver celle de MSN, et l'ai copiée.

L'application contient un ver...

6 réponses

Votre réponse

Discussions similaires

Newsletters