Je crois être infecter par b.exe

penguinswacker -  
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité -
Bonjour, À tous

J'ai télécharger un fichier il y'a deux jours, j'ai fait une erreur quand est venu le temps de l'ouvrir, c'était un .exe et je l'ai exécuter, je suis tout le temps prudent par rapport à ça mais pas cette fois.

J'ai fait un scan avec Avira free et ça n'a pas marché et maintenant mes programme par défaut ( en bas à droite de l'écran Windows XP ) n'ouvre plus au démarrage. Quand j'essai d'ouvrir ad-aware l'erreur suivante apparait FAILED TO CONNECT TO SERVICE et j'ai installer hijackthis avec succès mais quand le temps est venu de scanner l'interface à tous simplement disparu sans jamais réapparaitre.Et maintenant quand j'ouvre le programme avec l'icône sur le bureau l'erreur suivante apparait :

Window ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifier vous ne disposez peut-¸etre pas des autorisations appropriées pour avoir accès à l'élément.

En revange j'ai fouillé un peu et je suis tomber sur Prevx 3.0 et je l'ai installer avec succès, j'ai scanner et il m'a trouver deux éléments dangereux : b.exe in c: document...................... et Registry user S-1-5-21..............................
Mais pour enlever les élément il faut payer alors j'aimerais avoir votre avis SVP

MERCI !
Configuration: Windows XP
Firefox 3.5.2

3 réponses

  1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonsoir,

    Me faire ceci pour un examen complet de ton PC.

    ▶ Télécharge Random's System Information Tool (RSIT).

    ▶ Un tutoriel est à ta disposition pour l'installer et l'utiliser correctement ici

    ▶ Double clique sur RSIT.exe pour lancer l'outil.

    ▶ Clique sur 'Continue' à l'écran Disclaimer.

    ▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

    ▶ Une fois le scan fini , 2 rapports vont apparaitre. ▶ Héberge le contenu des 2 rapports.

    ( C:\RSIT\log.txt et C:\RSIT\info.txt )

    CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

    Petite chose à faire pour les rapports générés par RSIT avant de continuer

    ▶ Vous devez fusionner les deux rapports.
    ▶ C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt dans un bloc note pour ne faire qu'un seul rapport.
    ▶ Ensuite enregistrer le rapport log.txt.

    Ensuite :

    ▶ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

    ▶ Cliquez sur parcourir, puis sur créer le lien cjoint

    ▶ Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
    0
    1. penguinswacker
       
      Désolé j'ai peut-être répondu trop vite

      Dans c : rsit il y'a ceci est-ce bien ça ?

      Logfile of random's system information tool 1.06 (written by random/random)
      Run by x at 2009-09-07 13:50:11
      Microsoft Windows XP Professionnel Service Pack 3
      System drive C: has 225 GB (74%) free of 305 GB
      Total RAM: 1022 MB (52% free)


      ======Scheduled tasks folder======

      C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
      C:\WINDOWS\tasks\AppleSoftwareUpdate.job
      C:\WINDOWS\tasks\Google Software Updater.job
      C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
      C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
      C:\WINDOWS\tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
      C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job

      ======Registry dump======

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
      Adobe PDF Link Helper - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
      Spybot-S&D IE Protection - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll []

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
      Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
      Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll [2009-07-15 669168]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
      Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-07-25 41760]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
      JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-25 73728]

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
      "SoundMAXPnP"=C:\Program Files\Analog Devices\Core\smax4pnp.exe [2004-10-14 1404928]
      "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2008-03-24 8523776]
      "nwiz"=nwiz.exe /install []
      "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2008-03-24 81920]
      "RemoteControl"=C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [2006-11-23 56928]
      "LanguageShortcut"=C:\Program Files\CyberLink\PowerDVD\Language\Language.exe [2006-12-05 54832]
      "NeroFilterCheck"=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe [2007-03-01 153136]
      "SecurDisc"=C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe [2007-05-15 1628208]
      "InCD"=C:\Program Files\Nero\Nero 7\InCD\InCD.exe [2007-05-15 1057328]
      "StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2009-02-25 61440]
      "avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
      "WinampAgent"=C:\Program Files\Winamp\winampa.exe []
      "Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
      "QuickTime Task"=C:\Program Files\QuickTime\qttask.exe [2009-05-26 413696]
      "iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2009-07-13 292128]
      "SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-07-25 149280]

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      ""= []

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-13 15360]
      "swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2009-07-11 39408]
      "msnmsgr"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe [2009-02-06 3885408]
      "Monopod"=C:\DOCUME~1\x\LOCALS~1\Temp\b.exe [2009-09-06 154112]
      "SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe []

      C:\Documents and Settings\x\Menu Démarrer\Programmes\Démarrage
      OpenOffice.org 3.1.lnk - C:\Program Files\OpenOffice.org 3\program\quickstart.exe

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
      C:\WINDOWS\system32\Ati2evxx.dll [2009-02-25 155648]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
      C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265088]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
      "dontdisplaylastusername"=0
      "legalnoticecaption"=
      "legalnoticetext"=
      "shutdownwithoutlogon"=1
      "undockwithoutlogon"=1

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
      "NoDriveTypeAutoRun"=145

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
      "HonorAutoRunSetting"=

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
      "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "C:\Program Files\BitComet\BitComet.exe"="C:\Program Files\BitComet\BitComet.exe:*:Enabled:BitComet.exe"
      "C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
      "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
      "C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
      "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
      "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

      ======List of files/folders created in the last 1 months======

      2009-09-07 13:50:11 ----D---- C:\rsit
      2009-09-07 13:05:08 ----D---- C:\FindyKill
      2009-09-07 12:12:08 ----D---- C:\Program Files\Trend Micro
      2009-09-07 12:04:08 ----D---- C:\Program Files\Prevx
      2009-09-07 12:04:00 ----D---- C:\Documents and Settings\All Users\Application Data\PrevxCSI
      2009-09-07 12:04:00 ----A---- C:\WINDOWS\wininit.ini
      2009-09-06 11:38:53 ----D---- C:\Program Files\Spybot - Search & Destroy
      2009-09-06 11:38:53 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
      2009-09-06 09:04:43 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
      2009-09-01 03:00:24 ----HDC---- C:\WINDOWS\$NtUninstallKB968389$
      2009-08-27 18:41:47 ----A---- C:\WINDOWS\system32\javaws.exe
      2009-08-27 18:41:47 ----A---- C:\WINDOWS\system32\javaw.exe
      2009-08-27 18:41:47 ----A---- C:\WINDOWS\system32\java.exe
      2009-08-26 03:00:15 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$
      2009-08-22 03:00:27 ----HDC---- C:\WINDOWS\$NtUninstallKB961118$
      2009-08-21 03:04:16 ----D---- C:\WINDOWS\system32\XPSViewer
      2009-08-21 03:04:09 ----D---- C:\Program Files\MSBuild
      2009-08-21 03:04:07 ----D---- C:\WINDOWS\system32\en-US
      2009-08-21 03:03:56 ----D---- C:\Program Files\Reference Assemblies
      2009-08-21 03:03:27 ----N---- C:\WINDOWS\system32\prntvpt.dll
      2009-08-21 03:03:26 ----N---- C:\WINDOWS\system32\xpssvcs.dll
      2009-08-21 03:03:26 ----N---- C:\WINDOWS\system32\xpsshhdr.dll
      2009-08-21 03:03:26 ----D---- C:\6bbbae40495f1381792ac860
      2009-08-13 03:02:14 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
      2009-08-13 03:02:09 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
      2009-08-13 03:02:04 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
      2009-08-13 03:01:59 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
      2009-08-13 03:01:54 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
      2009-08-13 03:01:49 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
      2009-08-13 03:01:44 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
      2009-08-13 03:01:42 ----A---- C:\WINDOWS\system32\wmpns.dll
      2009-08-13 03:01:36 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
      2009-08-13 03:00:21 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
      2009-08-09 15:45:54 ----A---- C:\WINDOWS\system32\AudioVisu.dll
      2009-08-09 15:45:53 ----A---- C:\WINDOWS\system32\VB6STKIT.DLL
      2009-08-09 15:45:53 ----A---- C:\WINDOWS\system32\VB6FR.DLL
      2009-08-09 15:45:53 ----A---- C:\WINDOWS\system32\TABCTFR.DLL
      2009-08-09 15:45:53 ----A---- C:\WINDOWS\system32\inetfr.DLL
      2009-08-09 15:45:53 ----A---- C:\WINDOWS\system32\AudPlayer.dll
      2009-08-09 15:45:53 ----A---- C:\WINDOWS\system32\AudioRecord.dll
      2009-08-09 15:45:53 ----A---- C:\WINDOWS\system32\AudioInfos.dll
      2009-08-09 15:45:53 ----A---- C:\WINDOWS\system32\AudFile.dll
      2009-08-09 15:45:53 ----A---- C:\WINDOWS\system32\AudDisplay.dll
      2009-08-09 15:45:53 ----A---- C:\WINDOWS\system32\AudDesign.dll
      2009-08-09 15:45:52 ----D---- C:\Program Files\Free Audio Pack
      2009-08-09 15:45:52 ----A---- C:\WINDOWS\system32\msvcr70.dll
      2009-08-09 15:45:52 ----A---- C:\WINDOWS\system32\MSCMCFR.DLL
      2009-08-09 15:45:52 ----A---- C:\WINDOWS\system32\Mscc2fr.dll
      2009-08-09 15:45:52 ----A---- C:\WINDOWS\system32\MFC71.dll
      2009-08-09 15:45:52 ----A---- C:\WINDOWS\system32\lame_enc.dll
      2009-08-09 15:45:52 ----A---- C:\WINDOWS\system32\CMDLGFR.DLL
      2009-08-08 17:46:55 ----D---- C:\Program Files\ExtractNow

      ======List of files/folders modified in the last 1 months======

      2009-09-07 13:35:04 ----SD---- C:\WINDOWS\Tasks
      2009-09-07 13:05:11 ----D---- C:\WINDOWS\Prefetch
      2009-09-07 12:20:56 ----D---- C:\Program Files\Mozilla Firefox
      2009-09-07 12:12:08 ----RD---- C:\Program Files
      2009-09-07 12:04:08 ----D---- C:\WINDOWS\system32\drivers
      2009-09-07 12:04:00 ----D---- C:\WINDOWS
      2009-09-07 11:42:00 ----A---- C:\WINDOWS\SchedLgU.Txt
      2009-09-07 10:46:06 ----D---- C:\WINDOWS\Temp
      2009-09-07 10:46:02 ----D---- C:\WINDOWS\system32\CatRoot2
      2009-09-07 03:32:22 ----D---- C:\WINDOWS\system32\xircom
      2009-09-07 03:32:22 ----D---- C:\WINDOWS\system32\wins
      2009-09-07 03:32:22 ----D---- C:\WINDOWS\system32\ShellExt
      2009-09-07 03:32:22 ----D---- C:\WINDOWS\system32\export
      2009-09-07 03:32:21 ----D---- C:\WINDOWS\system32\dhcp
      2009-09-07 03:32:21 ----D---- C:\WINDOWS\system32\3com_dmi
      2009-09-07 03:32:21 ----D---- C:\WINDOWS\system32\3076
      2009-09-07 03:32:21 ----D---- C:\WINDOWS\system32\2052
      2009-09-07 03:32:21 ----D---- C:\WINDOWS\system32\1054
      2009-09-07 03:32:21 ----D---- C:\WINDOWS\system32\1042
      2009-09-07 03:32:21 ----D---- C:\WINDOWS\system32\1041
      2009-09-07 03:32:21 ----D---- C:\WINDOWS\system32\1037
      2009-09-07 03:32:21 ----D---- C:\WINDOWS\system32\1031
      2009-09-07 03:32:21 ----D---- C:\WINDOWS\system32\1028
      2009-09-07 03:32:21 ----D---- C:\WINDOWS\system32\1025
      2009-09-07 03:32:20 ----D---- C:\WINDOWS\mui
      2009-09-07 03:32:18 ----D---- C:\WINDOWS\Connection Wizard
      2009-09-07 03:32:18 ----D---- C:\WINDOWS\Config
      2009-09-07 03:32:16 ----D---- C:\WINDOWS\addins
      2009-09-07 03:31:25 ----D---- C:\WINDOWS\system32\Restore
      2009-09-06 12:50:11 ----HDC---- C:\Documents and Settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}
      2009-09-06 10:41:26 --
      0
  2. penguinswacker
     
    Merci ! pour votre aide

    Malheureusement, RSIT à fait la même chose que HIJACKTHIS c'est à dire que j'ai installer comme le tutoriel le démontre mais quand le scan à débuter l'interface à disparu sans me donner de rapport.

    Quoi faire ?

    Merci beaucoup !
    0
  3. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    je ne peux pas analyser le rapport RSIT il est incomplet,

    Tu va essayer de me faire ceci, ça va déjà listé les infections que tu dois avoir :

    Télécharge GenProc sur ton bureau afin de voir ce qu'il à ton pc.

    Double-clique sur GenProc.exe

    et poste le contenu du rapport qui s'ouvre à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.

    Si pas de rapport .txt, regarder sur le bureau, il doit y avoir une icône Genproc qui renvoie sur internet avec la procédure.

    Voir comment utiliser GenProc

    Pour ceux qui ont Vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

    IMPORTANT : Poste la procédure Genproc et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )
    0