Trojans ?

Résolu
drum -  
ddede67 Messages postés 79 Statut Membre -
Bonjour, voila mon premier rapport hijackthis j'espere que je l'ai bien fait,
j'aimerais savoir si il n'y as aucun mouchard sur mon pc.
Merci d'avance !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:15, on 21/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
C:\Program Files\Sandboxie\SbieSvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\program files\steam\steam.exe
C:\Program Files\Sandboxie\SbieCtrl.exe
C:\Program Files\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Winamp\winamp.exe
E:\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [RGSC] E:\Jeux\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C:\Program Files\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe
O8 - Extra context menu item: Ajouter à l'Anti-bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ6.5\\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ6.5\\ICQ.exe
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 7829 bytes
Configuration: Windows XP Internet Explorer 8.0

15 réponses

  1. ddede67 Messages postés 79 Statut Membre 4
     
    RE, c'est le backup de spyboot
    Tu peux les supprimer directement dans spybot
    1
  2. ddede67 Messages postés 79 Statut Membre 4
     
    Bonsoir drum, rien de visible dans ce log
    Quel est le problème?
    0
  3. drum
     
    bonsoir, c'est que (entre autre) kaspersky me detecte un tactslay protégé par un mot de passe a chaque scan.
    j'ai regardé vite fait il semble que ce soit un spyware.
    merci.
    0
  4. ddede67 Messages postés 79 Statut Membre 4
     
    C'est un trojan de la famille des bakdoor en fait

    Télécharge :

    Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    https://www.malwarebytes.com/

    Mets le à jour

    - Lance MalwareByte's Anti-Malware

    - Onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    - A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    - Si MalwareByte's n'a rien détecté, clique sur OK Un rapport va apparaître ferme-le.

    - Si MalwareByte's a détecté des infections, clique sur

    Afficher les résultats


    puis sur

    Supprimer la sélection


    - Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

    - Le rapport peut être retrouvé sous l'onglet Rapports/logs

    - Ferme MBAM en cliquant sur Quitter.

    Note: MalwareByte's peut être amené à redémarrer pour terminer la suppression, accepte en cliquant sur Ok

    Tutoriel pour MalwareByte's ici https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    - Poste le rapport de malwarebyte's
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. drum
     
    Rien de trouvé, il a du partir avec un ancien scan de spybot.
    voici le log:

    Malwarebytes' Anti-Malware 1.41
    Version de la base de données: 3210
    Windows 5.1.2600 Service Pack 3

    22/11/2009 01:12:43
    mbam-log-2009-11-22 (01-12-43).txt

    Type de recherche: Examen complet (C:\|E:\|)
    Eléments examinés: 195412
    Temps écoulé: 44 minute(s), 54 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Si tu dis que le scan d'hijackthis est clean au revoir et merci !
    0
  7. ddede67 Messages postés 79 Statut Membre 4
     
    Peut être bien mais je n'y crois pas

    - Télécharge RegSeeker (Thibaud Djian) http://www.sosordi.net/Telechargement/Logiciel.83.html A dézipper dans un dossier nommé [b]C:\Regseeker[/b]

    - Ouvre le dossier C:\Regseeker, double clic sur Regseeker.exe

    - Pour le mettre en français clique en haut à droite sur Languages choisis Français (French.lng)

    - Vérifie en bas à gauche que la case devant [b]Backup avant suppression[/b] est bien cochée

    - Clique ensuite [color=#0000FF][b]Rechercher[/b] [/color]

    - Coche toutes les cases sauf [b]Mot entier[/b]

    - Tape [b] tactslay [/b] dans la Zone de recherche. Clique sur [b]Chercher ![/b]

    - La recherche finie Clique sur [b]Sélection[/b] ==> [b]Sélectionner tout[/b]

    - Clique ensuite sur [b]Action[/b] ==> [b]Supprimer les éléments sélectionnés[/b]

    - Redémarre le PC
    0
  8. drum
     
    re,
    j'ai fait comme tu m'as dit, mais regseeker me le detect quand meme a chaque scan et sa doit etre le 20e :/
    0
  9. ddede67 Messages postés 79 Statut Membre 4
     
    RE, tu peux me mettre ce que regseeker détecte?
    0
  10. drum
     
    voici un de mes 24 scans :

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\SCSI\tactslay]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\VEN_10B9&DEV_5239&SUBSYS_816B1043&REV_01\3&267a616a&0&7B\tactslay]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\VEN_10B9&DEV_5229&SUBSYS_522910B9&REV_C7\3&267a616a&0&70\tactslay]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\VEN_10B9&DEV_1689&SUBSYS_00000000&REV_00\3&267a616a&0&00\tactslay]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\VEN_1022&DEV_1103&SUBSYS_00000000&REV_00\3&267a616a&0&C3\tactslay]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\VEN_1022&DEV_1101&SUBSYS_00000000&REV_00\3&267a616a&0&C1\tactslay]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\DISPLAY\tactslay]
    0
  11. ddede67 Messages postés 79 Statut Membre 4
     
    RE, on va approfondir

    - Télécharge Random's System Information Tool (RSIT) de Random / Random
    http://images.malwareremoval.com/random/RSIT.exe et sauvegarde-le sur ton Bureau,

    - Double-clique sur RSIT.exe pour lancer le programme

    - Clique sur continuer sur l'écran Disclaimer,

    NOTE
    Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

    - L'analyse terminée, deux fichiers texte s'ouvriront.

    - Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches) en utilisant cjoint

    - Rend toi sur Cjoint http://www.cijoint.fr/

    - Clique sur Parcourir dans la partie Joindre un fichier

    - Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    - Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

    Note : Tu peux aussi retrouver les deux rapports dans le dossier C:\Rsit
    0
  12. ddede67 Messages postés 79 Statut Membre 4
     
    RE, on ne trouve rien sur ce fichier

    Tu as le chemin complet du fichier?
    0
  13. drum
     
    RE, Voici le chemin et tout les fichiers sont concernés: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery

    Je me suis trompé c'est pas ecrit tactslay mais des sbrecovery.reg et sbrecovery.ini sur tout les fichiers infectés dont tactslay. Je pense que tout va bien a pars que kaspersky s'est desactivé 1 fois pendant la recherche.
    0
  14. drum
     
    Donc ce n'est rien... Je suis rassuré mais desolé si je t'ai fait perdre du temps :/
    A+ et merci baucoup !
    0
  15. ddede67 Messages postés 79 Statut Membre 4
     
    Ne t'inquiète pas pour le temps perdu, c'est une passion

    Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure sur le liens ci-dessous.

    https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
    - Enregistrer ToolsCleaner2.exe sur le Bureau.

    - Clique sur Recherche et laisse le scan agir ...
    - Clique sur Suppression pour finaliser.
    - Tu peux, si tu le souhaites, te servir des Options facultatives.
    - Clique sur Quitter pour obtenir le rapport.
    - Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
    0