Virus ??? Fermé

Question

Bonjour, 



Configuration: Windows XP / Firefox 3.6.6

Après plusieurs scan antivir, ccleanage et spybotage aucun moyen de retirer ces pop-up de IE (tandis que j'use mozilla) qu'il y ai 3IE différents qui tourne en meme temps (gestionnaire des tâches) et que le son se barre de temps en temps.
Voici le hijack de mon pc

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:55:34, on 14/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Chantal\Local Settings\Apps\F.lux\flux.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Chantal\Bureau\HiJackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [F.lux] "C:\Documents and Settings\Chantal\Local Settings\Apps\F.lux\flux.exe" /noshow
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Xplode · Answer

Bonsoir,

Encore un TR/Clicker :)

-+-+-+-+-> Bootkit Remover <-+-+-+-+-


[x] Télécharge Bootkit Remover et décompresse le sur ton bureau.

[x] Télécharge BTKR_Runbox ( de jeanmimigab ) également sur ton bureau.

Note : Tu dois avoir ces deux fichiers sur ton bureau -> Remover.exe et BTKR_Runbox.exe

[x] Lance BTKR_Runbox, puis sélectionne l'option n°1. Valide en appuyant sur [Entrée]

[x] Suis les instructions et copie/colle le rapport dans ta prochaine réponse.

ZeKzU · Answer

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: d4b876239615e81ab805b6a9431ee920

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>

Press any key to quit...
Faite un clic-droit dans cette fen^tre et choisissez "coller" pour faire apparaOEtre le rapport scanxp.txt

Xplode · Answer

-+-+-+-+-> Bootkit Remover <-+-+-+-+-


[x] Relance BTKR_Runbox mais sélectionne cette fois ci l'option n°3 puis [Entrée]

[x] Confirme en appuyant sur " 1 " puis [Entrée]

[x] Ton PC redémarrera. Au redémarrage, relance BTKR_Runbox avec l'option n°1 et copie/colle le rapport.

ZeKzU · Answer

c'est en cours par contre j'ai lancé l'autre(remover.Exe) en premier par erreur pas grave ?

ZeKzU · Answer

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\.\C: -> \.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd

     Size  Device Name          MBR Status
 --------------------------------------------
   232 GB  \.\PhysicalDrive0   OK (DOS/Win32 Boot code found)


Press any key to quit...
Faite un clic-droit dans cette fen^tre et choisissez "coller" pour faire apparaOEtre le rapport scanxp.txt

Xplode · Answer

Comment se porte le PC?

ZeKzU · Answer

bah pas de iexplorer exe dans le gestionnaire, sa met du temps apres un reboot a revenir... je le scan et défrag souvent nettoyage physique y'a pas longtemps et par contre dèrnière formate y'a un an et demi

Xplode · Answer

On va faire une vérification du PC pour voir si il n'a pas d'autres infections :

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\ 

[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Parcourir ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

ZeKzU · Answer

https://www.cjoint.com/?howJ7C2Pwe sa a l'air long merci pour ton dévouement ^^

Xplode · Answer

Ton PC est clean côté infections.

Par contre, tu peux désinstaller spybot ( complètement inutile ) , panda activescan idem et AVG antispyware aussi.

Antivir suffit amplement.

Puis fais ceci pour virer quelque restes :

-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".

[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]


O47 - AAKE:Key Export SP - "C:\Program Files\StarCraft II bêta\StarCraft II.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\StarCraft II bêta\StarCraft II.exe
O47 - AAKE:Key Export SP - "C:\Program Files\StarCraft II bêta\Versions\Base15343\SC2.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\StarCraft II bêta\Versions\Base15343\SC2.exe
O47 - AAKE:Key Export SP - "C:\Program Files\StarCraft II bêta\Versions\Base15392\SC2.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\StarCraft II bêta\Versions\Base15392\SC2.exe
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Chantal\Local Settings\Apps\2.0\VOQBHEEX.RZ1\PBWX4CNB.6GJ\curs..tion_eee711038731a406_0004.0000_172b37d8269e5e48\CurseClient.exe" [Enabled] .(.Curse - .) (.not file.) -- C:\Documents and Settings\Chant
O44 - LFC:[MD5.76BD6507721BB139A52EE39185F4ABD4] - 14/07/2010 - 16:23:50 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-SCAN[1].txt   [4936]  


[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

ZeKzU · Answer

sinon peut-etre sa peut t'aider mais mon antivirus (antivir) a trouvé y'a qqe jour TR/click.cycler.akdt et des cookies apparaissent tout seul dans c/documents and settings/localservice/Cookies

ZeKzU · Answer

Rapport de ZHPFix v1.12.3121 par Nicolas Coolman, Update du 14/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-14-07-2010-22-46-14.txt
Run by Chantal at 14/07/2010 22:46:14
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur du Registre ==========
O47 - AAKE:Key Export SP - "C:\Program Files\StarCraft II bêta\StarCraft II.exe" [Enabled] .(.) (.not file.) -- C:\Program Files\StarCraft II bêta\StarCraft II.exe  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Program Files\StarCraft II bêta\Versions\Base15343\SC2.exe" [Enabled] .(.) (.not file.) -- C:\Program Files\StarCraft II bêta\Versions\Base15343\SC2.exe  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Program Files\StarCraft II bêta\Versions\Base15392\SC2.exe" [Enabled] .(.) (.not file.) -- C:\Program Files\StarCraft II bêta\Versions\Base15392\SC2.exe  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Chantal\Local Settings\Apps\2.0\VOQBHEEX.RZ1\PBWX4CNB.6GJ\curs..tion_eee711038731a406_0004.0000_172b37d8269e5e48\CurseClient.exe" [Enabled] .(.Curse - .) (.not file.) -- C:\Documents and Settings\Chant  => Valeur supprimée avec succès

========== Fichier ==========
c:\ad-report-scan[1].txt  => Supprimé et mis en quarantaine

========== Autre ==========
https://www.cjoint.com/?howJ7C2Pwe  => Format Non supporté


========== Récapitulatif ==========
4 : Valeur du Registre
1 : Fichier
1 : Autre


End of the scan

ZeKzU · Answer

antivir évènement 
Dans le fichier 'C:\Documents and Settings\Chantal\Local Settings\Temp\28832218.exe'
un virus ou un programme indésirable 'TR/Click.Cycler.akdt' [trojan] a été détecté.
Action exécutée : Supprimer le fichier

Xplode · Answer

Ok c'est bon alors :)

Surfe un peu et dis moi comment se porte le PC.. après on pourra finaliser.

ZeKzU · Answer

je désinstalles les trucs que t'a dis , il tourne bien

ZeKzU · Answer

jpeu désinstaller hijackthis et les ZHP ?

Virus ???

16 réponses

Discussions similaires