Confirmation d'infection ?

Résolu
bobflo Messages postés 22 Statut Membre -  
 Utilisateur anonyme -


Bonjour,

je suis confronté à une attaque informatique que je n'arrive ni à identifier, ni à éradiquer :-(

Je cherche donc de l'aide...

Symptômes : freeze de la machine, lenteur apparement générée par une occupation processeur très importante sur le processus LSSAS.EXE, et un troyen détecté par Avira Antivir Personnal

Je n'ai rien relevé qui me choque sur les logs Hijackthis, mais il est vrai que je ne suis pas expert ! J'ai également lancé un scan avec GMER, qui me sort notamment un nom de fichier .sys qui change à chaque nouveau démarrage de la machine...

Si quelqu'un pouvait jeter un oeil au log de GMER attaché, et me donner une orientation, je lui serais très reconnaissant...

http://www.cijoint.fr/cjlink.php?file=cj201005/cij7AAyt5c.txt

Merci par avance,

Bobflo

39 réponses

  • 1
  • 2
Résumé de la discussion

Une machine Windows XP avec Internet Explorer 6 est infectée par une menace détectée par l’antivirus et un fichier système .sys qui change à chaque redémarrage, provoquant gel et forte consommation CPU par LSSAS.EXE. Des solutions proposées incluent un scan complet avec GMER et l’outil ZHPDiag pour diagnostiquer l’infection, puis l’analyse des rapports et l’élimination des éléments malveillants potentiels. Des recommandations supplémentaires préconisent les mises à jour critiques (XP SP3, IE8), la purge des points de restauration et le nettoyage des outils suspects comme Daemon Tools pour éviter les réinfections. Ceci justifie une vérification des entrées de registre liées à Avira Antivir et une purge ciblée des points de restauration pour éviter des réinfections potentielles.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    je ne vois rien d'anormal dans le rapport de gmer
    si tu veux en être sûr si le PC est infecté ou pas, on va faire un examen complet
    * Télécharge ZHPDiag (de Nicolas Coolman)
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Héberge le rapport ICI
    1
  2. Utilisateur anonyme
     
    Platform : Microsoft Windows XP (5.1.2600) Service Pack 2
    MSIE: Internet Explorer v6.0.2900.2180


    Quelle action lancer, maintenant ?
    Ton PC comporte de grosses failles de sécurité, il risque d'être plus
    vulnérable aux attaques de cochonneries en tout genre qui vont
    exploiter ces failles

    on le fera après
    C'est dangereux de garder un PC qui n'est pas à jour

    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    ? Télécharge List_Kill'em et enregistre le sur ton bureau
    http://sd-1.archive-host.com/...
    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    Une fois terminée , clic sur "terminer" et le programme se lancera seul

    Choisis l'option Search

    Une icône blanche et noire va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
    Une autre rouge et noir te servira a désinstaller le prog a la fin de la désinfection.

    ? laisse travailler l'outil

    A l'apparition de la fenêtre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    Un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

    ? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"
    1
  3. Utilisateur anonyme
     
    Bonjour
    C'est le logiciel Daemon Tool qui pose problème, c'est à cause de ce logiciel que
    ce fichier change de nom à chaque redémarrage du PC
    0
  4. bobflo Messages postés 22 Statut Membre
     
    Bonjour,

    merci pour ta réponse.

    En fouillant sur le net, j'avais compris qu'il y avait un lien... je l'ai donc désinstallé depuis le scan (désolé, je réalise que c'est pas très malin, j'aurais dû faire un autre scan depuis).

    Y-a-t-il "autre chose" de bizarre dans le log ?

    Merci par avance...

    Bobflo
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. bobflo Messages postés 22 Statut Membre
     
    Re,

    bon, ça se précise... Avira AntiVir Personal m'a trouvé 3 Troyans :
    - TR/Spy.Gen2
    - TR/Orsam.A.2712
    - TR/Agent.18432.BI

    Quelques questions :
    - Comment être sûr que Antivir a bien tout trouvé ?
    - Le fait de supprimer les fichiers mis en quarantaine par Antivir est-il suffisant ?
    - Les 2 derniers troyans se trouve dans D:\Systeme volume information\_restore{etc...}\RP441\A0108058.exe -> cela signifie-t-il que mes points de restaurations sont infectés ? Si oui, comment les nettoyer ?
    - dernière question : ci-dessous un log fraichement établi par HijackThis. A quoi corresponde les lignes O2 - BHO: (no name) etc...

    Merci d'avance à nouveau pour votre aide...

    Bobflo.

    PS : je travaille sur 2 machine : la machine infectée est maintenant déconnectée du net et de mon réseau, là je vous écris depuis une machine saine qui vient de mon boulot ;-)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:44:01, on 08/05/2010
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\ASUS\Six Engine\SixEngine.exe
    C:\Program Files\ASUS PC Probe II\Probe2.exe
    C:\Program Files\Logitech\Gaming Software\LWEMon.exe
    C:\Program Files\CyberLink PowerDVD\PDVDServ.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
    C:\Program Files\ASUS\AASP\1.00.63\aaCenter.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    D:\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
    C:\Program Files\Microsoft LifeCam\MSCamS32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Documents and Settings\Flo\Bureau\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1036
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
    O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS PC Probe II\Probe2.exe" 1
    O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink PowerDVD\Language\Language.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [MP10_EnsureFileVer] C:\WINDOWS\inf\unregmp2.exe /EnsureFileVersions
    O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - D:\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
    0
  7. bobflo Messages postés 22 Statut Membre
     
    Re,

    bon, ça se précise... Avira AntiVir Personal m'a trouvé 3 Troyans :
    - TR/Spy.Gen2
    - TR/Orsam.A.2712
    - TR/Agent.18432.BI

    Quelques questions :
    - Comment être sûr que Antivir a bien tout trouvé ?
    - Le fait de supprimer les fichiers mis en quarantaine par Antivir est-il suffisant ?
    - Les 2 derniers troyans se trouve dans D:\Systeme volume information\_restore{etc...}\RP441\A0108058.exe -> cela signifie-t-il que mes points de restaurations sont infectés ? Si oui, comment les nettoyer ?
    - dernière question : ci-dessous un log fraichement établi par HijackThis. A quoi corresponde les lignes O2 - BHO: (no name) etc...

    Merci d'avance à nouveau pour votre aide...

    Bobflo.

    PS : je travaille sur 2 machine : la machine infectée est maintenant déconnectée du net et de mon réseau, là je vous écris depuis une machine saine qui vient de mon boulot ;-)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:44:01, on 08/05/2010
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\ASUS\Six Engine\SixEngine.exe
    C:\Program Files\ASUS PC Probe II\Probe2.exe
    C:\Program Files\Logitech\Gaming Software\LWEMon.exe
    C:\Program Files\CyberLink PowerDVD\PDVDServ.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
    C:\Program Files\ASUS\AASP\1.00.63\aaCenter.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    D:\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
    C:\Program Files\Microsoft LifeCam\MSCamS32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Documents and Settings\Flo\Bureau\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1036
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
    O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS PC Probe II\Probe2.exe" 1
    O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink PowerDVD\Language\Language.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [MP10_EnsureFileVer] C:\WINDOWS\inf\unregmp2.exe /EnsureFileVersions
    O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - D:\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
    0
  8. bobflo Messages postés 22 Statut Membre
     
    nathandre 9594Messages postés

    29 avril 2009Date d'inscription

    8 mai 2010Dernière intervention
    8 mai 2010 à 15:49
    je ne vois rien d'anormal dans le rapport de gmer
    si tu veux en être sûr si le PC est infecté ou pas, on va faire un examen complet
    * Télécharge ZHPDiag (de Nicolas Coolman)
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Héberge le rapport ICI


    Nos réponses se sont croisées... je tente le coup avec ZHPDiag... merci ;-)
    0
  9. Utilisateur anonyme
     
    Oui, les points de restauration sont infectés, cela se supprime en purgeant
    la restauration système, on le fera à la fin

    02-BHO Browser Helper Objects, ces lignes correspondent aux extensions du
    navigateur:
    O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
    Légitime
    https://www.systemlookup.com/accessverify.php?redirect=CLSID%2F38753-mnyviewer_dll_MNYVIE_1_DLL.html

    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    Légitimes

    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    Légitime
    https://www.systemlookup.com/accessverify.php?redirect=CLSID%2F20643-Ycomp_dll_Ycomp_dll_yt_dll.html

    Vide la quarantaine d'Antivir
    Pourrai tu faire ZHPDiag, je t'ai donné la procédure plus haut
    0
  10. bobflo Messages postés 22 Statut Membre
     
    Voici le résultat de l'analyse de ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijnaTFGWz.txt

    Merci d'avance...
    0
  11. Utilisateur anonyme
     
    Télécharge mbr.exe de Gmer ici :
    http://www2.gmer.net/mbr/mbr.exe
    et enregistre le fichier sur le Bureau.

    Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    Double clique sur mbr.exe
    Un rapport sera généré : mbr.log
    En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

    Si c'est le cas, continue comme ça :

    Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
    Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

    Réactive tes protections
    Poste ce rapport et supprimes-le ensuite.

    Pour vérifier

    Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    Relance mbr.exe

    Réactive tes protections.

    Le nouveau mbr.log devrait être celui-ci :

    Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

    device: opened successfully

    user: MBR read successfully

    kernel: MBR read successfully

    user & kernel MBR OK

    Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.
    Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.
    0
  12. bobflo Messages postés 22 Statut Membre
     
    Re !

    Bon, et bien user & kernel MBR OK "du premier coup". Plutôt "rassurant", contrairement à ce que j'avais lu dans le rapport de ZHPDiag, qui commençait à me faire flipper...

    Quelle action lancer, maintenant ?

    Merci,

    A+
    0
  13. bobflo Messages postés 22 Statut Membre
     
    Re,

    Merci de t'occuper de mon sort !

    Je pensais pas que mon PC était une passoire à ce point (j'avoue être assez surpris) : c'est bon à savoir !

    Voici le log de List_kill'em : http://www.cijoint.fr/cjlink.php?file=cj201005/cijs6jJZOO.txt

    Que fait-on après ?

    Merci,

    A+
    0
  14. Utilisateur anonyme
     
    ? Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    ? choisis l'Option Clean

    Ton PC va redemarrer,

    Laisse travailler l'outil.

    En fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ? Colle le contenu dans ta réponse
    0
  15. bobflo Messages postés 22 Statut Membre
     
    Voilà qui est fait... voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201005/cijUMUmAzu.txt

    Que faire ensuite ?

    Merci,

    A+
    0
  16. Utilisateur anonyme
     
    J'ai constaté 2 autres failles de sécurité, une petite avec Adobe, et une grosse
    Avec Java

    Les mises à jours vont se faire après
    Télécharge malwarebytes' anti-malware
    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
    Enregistre le sur le bureau
    Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
    Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    Il va se mettre à jour une fois faite
    Va dans l'onglet recherche
    Sélectionne exécuter un examen complet
    Clique sur rechercher
    Le scan démarre
    A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
    Clique sur afficher les résultats pour afficher les objets trouvés
    Clique sur OK pour pousuivre
    Si des malwares ont été détectés, cliquer sur afficher les résultats
    Sélectionne tout (ou laisser coché)
    Clique sur supprimer la sélection
    Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
    copie dans la quarantaine
    Malewarebytes va ouvrir le bloc-note et y copier le rapport
    Redémarre le PC
    Une fois redémarré, double-clique sur Malewarebytes
    Va dans l'onglet rapport/log
    Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
    bloc-note puis sur sélectionner tout
    Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
    Clic droit dans le cadre de la réponse et coller
    0
  17. bobflo Messages postés 22 Statut Membre
     
    Quand tu dis "il va se mettre à jour une fois faite", est-ce que ça sous-entend mise à jour sur le net ? car pour l'instant, le PC est déconnecté du routeur...
    0
  18. Utilisateur anonyme
     
    pourquoi tu l'as déconnecté du routeur ?
    0
  19. bobflo Messages postés 22 Statut Membre
     
    Oui ! Fallait pas ? :-/
    0
  20. Utilisateur anonyme
     
    Il faut le reconnecter au routeur, car tu pourras télécharger Malwarebytes avec
    0
  21. bobflo Messages postés 22 Statut Membre
     
    OK !

    Je relance l'analyse après mise à jour de Malwarebytes ;-)

    A+

    PS : je dois m'absenter...merci pour toutes tes réponses et le temps passé ! J'éspère qu'on pourra poursuivre ensemble plus tard ;-)
    0
  • 1
  • 2