Sujet Précédent Sujet Suivant

Probable virus; demande de conseil/infos

Fermé
Methredel Messages postés 228 Date d'inscription vendredi 11 mai 2007 Statut Membre Dernière intervention 13 février 2014 - 11 juin 2010 à 02:04
Methredel Messages postés 228 Date d'inscription vendredi 11 mai 2007 Statut Membre Dernière intervention 13 février 2014 - 12 juin 2010 à 17:27
Bonjour,

J'utilise Kerio personnal firewall avec avira antivir. J'ai remarque un echange de donnees grace au moniteur de bande passante de Kerio. Le probleme est aue dans la liste des prossessus Kerio indique normallement quel programme transmet des donnees, mais la, rien. Aucune info.

Et apparament mon firewall et antivirus viennentr de s'inteindre seul et impossible de les relancer.

Voici le rapport HijackThis : 

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:03:54, on 10/6/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\HijackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2fbr%2faccess%2fallinone.asp%3f
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Arquivos de programas\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Arquivos de programas\Sunbelt Software\Personal Firewall\SbPFSvc.exe

--
End of file - 4547 bytes


Merci d'avance.

A voir également:

7 réponses

Réponse 1 / 7
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
11 juin 2010 à 02:35
Bonjour,

Je ne vois pas d'infection dans ce rapport.
1
Methredel Messages postés 228 Date d'inscription vendredi 11 mai 2007 Statut Membre Dernière intervention 13 février 2014 16
11 juin 2010 à 16:58
Rebonjour,

Moi non plus je n'ai trouve aucun fichier/processus suspect avec le peu de connaissance que j'ai. Mais je suis certain qu'un logiciel qui m'est inconnu et que je n'ai pas installe accede a internet sans l'autorisation de l'utilisateur. Par experience je sais que tout logiciel "officiel" qui accede a internet est liste dans la liste des processus - utilisant internet - de Kerio.

Y a-t-il un autre logiciel du meme genre que hijackthis mais en plus performant ?

J'ai un echange permanant de 1 a 6 ko/s quand je suis connecte a internet ; et cela ne me laisse vraiment pas l'esprit tranquil.

Merci d'avance.
0
Réponse 2 / 7
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
11 juin 2010 à 18:08
--> Télécharge OTL (de OldTimer) sur ton Bureau.
--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
--> Coche également les cases à côté de Recherche Lop et Recherche Purity.
--> Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
--> Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

Pour me transmettre les rapports :
--> Clique sur ce lien : http://www.cijoint.fr/
--> Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
--> Clique sur Ouvrir.
--> Clique sur Cliquez ici pour déposer le fichier.
--> Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
--> Copie-colle ce lien dans ta réponse.
1
Methredel Messages postés 228 Date d'inscription vendredi 11 mai 2007 Statut Membre Dernière intervention 13 février 2014 16
11 juin 2010 à 19:19
Voici les rapports :

- http://www.cijoint.fr/cjlink.php?file=cj201006/cijhPsaOiz.txt
- http://www.cijoint.fr/cjlink.php?file=cj201006/cijzAXcpLk.txt
0
Réponse 3 / 7
Methredel Messages postés 228 Date d'inscription vendredi 11 mai 2007 Statut Membre Dernière intervention 13 février 2014 16
Modifié par Methredel le 12/06/2010 à 01:40
Bonsoir,

Nouveau symptom... Impossible de me delogger d'msn pour entrer sur un autre compte... Et avec bol apparament quand j'envoi un email, d'autre fichiers que mon texte son envoye : cela dit 'envois des fichiers' alors que mon message ne fait que 50ko...

Edit : J'y arrive en utilisant IE. Mon firefox serait il infecte ?
0
Réponse 4 / 7
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
12 juin 2010 à 01:53
---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Methredel Messages postés 228 Date d'inscription vendredi 11 mai 2007 Statut Membre Dernière intervention 13 février 2014 16
12 juin 2010 à 02:44
J'ai installe MBAM, mais ua moment de la mise a jours j'ai une erreur : MBAM_ERROR_UPDATING (12150, 0, WinhttpQuerryHeaders)

Je vais essayer avec spybot en espérant un meilleur résultat.
0
Réponse 6 / 7
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
12 juin 2010 à 03:09
Non.

http://www.malwarebytes.org/mbam/database/mbam-rules.exe
0
Réponse 7 / 7
Methredel Messages postés 228 Date d'inscription vendredi 11 mai 2007 Statut Membre Dernière intervention 13 février 2014 16
12 juin 2010 à 17:27
Bonjour,

Le scan de MBAM n'a rien trouve. C'est tres frustrant, surtout qu'il y a quelques minutes un processus fermait toutes mes applications (impossible d'acceder au menu demarrer, telechargement de l'update de mbam s'arretait et recommencai en boucle, etc...). Je n'ai pas eu le temps de bien lire le nom du processus avant de le terminer mais je crois que c'etait wipsys, ou quelque chose de similaire.

Je commence vraiment a etre a cours d'idees. J'espere pouvoir trouver une solution avant demain car je dois partir en voyage...

Merci d'avance pour votre aide.

Ps : Est il possible que ces 'soucis' soit cause directement par un hacker et non un bot ?
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Virus MSN Tinyurl
djkifkif -
matt56430 -

8 réponses