rapport hijack à vérifier Résolu/Fermé

Question

Bonjour, 
Mon ordi a tendance à ralentir en ce moment (surtout au démarrage avec parfois des plantages à l'ouverture de windows), et en jetant un coup d'oeil à la liste de démarrage pour voir ce qu'il fallait que je vire, le premier processus est : winsys2.exe, qui apparemment, serait un root-kit.
Avant de le décocher, j'ai redémarré en mode sans échec et passé une analyse approfondit avec Bit Defender 2011, il n'a trouvé que des cookies.

J'ai installé sophos antirookkit; il ne trouve que des "unknown files", donc pas très fiable pour savoir s'il faut ou non les virer.

Je fais donc un hijack this, en espérant qu'il vous permettra de me donner un coup de main :
 
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:30:35, on 15/09/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\BitDefender\BitDefender 2011\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\BitDefender\BitDefender 2011\updatesrv.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE
C:\Program Files\BitDefender\BitDefender 2011\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\BitDefender\BitDefender 2011\pchooklaunch32.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4F90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2011\IEToolbar.dll
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S13C.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2011\ieshow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2011\bdagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: BitDefender Update Server v2 (Update Server) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: BitDefender Desktop Update Service (Updatesrv) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2011\updatesrv.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2011\vsserv.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

H3RV3 · Answer

Salut, 

On va analyser un fichier : 

&#9679; Va sur le site VirusTotal 

&#9679; Clique sur le bouton "parcourir" 

&#9679; Recherche le fichier présent ici ==> C:\WINDOWS\System32\winsys2.exe 

&#9679; Clique sur le bouton "Envoyer le fichier" 

&#9679; Patiente pendant le scan du fichier 

&#9679; Copie le rapport dans ta réponse 


Merci de rester jusqu'à la fin de la désinfection.

wen452 · Answer

Merci pour ton aide

apparemment c'est bien un virus, pourquoi bit défender ne l'a pas vu ? (et moi qui viens tout juste de renouveller la licence pour 2 ans...)

Je supprime le fichier et ce sera ok ?

J'ai encore eu des problémes au démarrage, c'est un bug à l'ouverture de la session, j'espère que ça vient de là....

URL : http://www.virustotal.com/file-scan/report.html?id=7c47e876766ecd62aad68812a40f30bad56a32d994cc16a116b8d3c4ea30ee82-1284582947

Copie:
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 1 VT Community user(s) with a total of 1 reputation credit(s) say(s) this sample is malware. 
File name: WinSys2.exe
Submission date: 2010-09-15 20:35:47 (UTC)
Current status: queued queued (#1) analysing finished


Result: 1/ 43 (2.3%)


Antivirus Version Last Update Result 
AhnLab-V3 2010.09.16.00 2010.09.15 - 
AntiVir 8.2.4.52 2010.09.15 - 
Antiy-AVL 2.0.3.7 2010.09.15 - 
Authentium 5.2.0.5 2010.09.15 - 
Avast 4.8.1351.0 2010.09.15 - 
Avast5 5.0.594.0 2010.09.15 - 
AVG 9.0.0.851 2010.09.15 - 
BitDefender 7.2 2010.09.15 - 
CAT-QuickHeal 11.00 2010.09.15 - 
ClamAV 0.96.2.0-git 2010.09.15 - 
Comodo 6089 2010.09.15 - 
DrWeb 5.0.2.03300 2010.09.15 - 
Emsisoft 5.0.0.37 2010.09.15 - 
eSafe 7.0.17.0 2010.09.15 Win32.TrojanHorse 
eTrust-Vet 36.1.7856 2010.09.15 - 
F-Prot 4.6.1.107 2010.09.15 - 
F-Secure 9.0.15370.0 2010.09.15 - 
Fortinet 4.1.143.0 2010.09.15 - 
GData 21 2010.09.15 - 
Ikarus T3.1.1.88.0 2010.09.15 - 
Jiangmin 13.0.900 2010.09.15 - 
K7AntiVirus 9.63.2522 2010.09.15 - 
Kaspersky 7.0.0.125 2010.09.15 - 
McAfee 5.400.0.1158 2010.09.15 - 
McAfee-GW-Edition 2010.1C 2010.09.15 - 
Microsoft 1.6103 2010.09.15 - 
NOD32 5453 2010.09.15 - 
Norman 6.06.06 2010.09.15 - 
nProtect 2010-09-15.01 2010.09.15 - 
Panda 10.0.2.7 2010.09.15 - 
PCTools 7.0.3.5 2010.09.15 - 
Prevx 3.0 2010.09.15 - 
Rising 22.65.02.04 2010.09.15 - 
Sophos 4.57.0 2010.09.15 - 
Sunbelt 6880 2010.09.15 - 
SUPERAntiSpyware 4.40.0.1006 2010.09.15 - 
Symantec 20101.1.1.7 2010.09.15 - 
TheHacker 6.7.0.0.018 2010.09.15 - 
TrendMicro 9.120.0.1004 2010.09.15 - 
TrendMicro-HouseCall 9.120.0.1004 2010.09.15 - 
VBA32 3.12.14.0 2010.09.15 - 
ViRobot 2010.8.25.4006 2010.09.15 - 
VirusBuster 12.65.8.0 2010.09.15

H3RV3 · Answer

Bien, on va s'en occuper, mais avant, on va analyser ton PC plus en détail :

&#9679; Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

&#9679; Double clique sur ZHPDiag_silent.exe

&#9679; Patiente pendant le scan. Un rapport s'ouvrira à la fin.

&#9679; Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

Note :
    Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.

wen452 · Answer

ps, je suis dans ma liste de démarrage, et ça continue, deuxiéme processus : nwiz.exe, selon la pacman startup list, c'est aussi un virus "Ajouté par le ver GAOBOT.ADV! Note - ce n'est pas la véritable application nVidia qui partage le même nom"
et aussi msmsger.exe "Ajouté par une variante du ver SDBOT!"
et encore : CTFM0N.exe  "Ajouté par le trojan STARTPAGE.P!"

et tout ça, Bit défender n'y a vu que du feu, même en mode sans échec, je vais leur envoyer un mail...

Je les ai décoché de la liste, mais comment les virer de l'ordi ?


et je n'ai pas trouvé pour 
HDeck.exe
E_S13C.tmp
reader_sl.exe
AdobeARM.exe

H3RV3 · Answer

Fais un rapport ZHPDiag comme expliqué plus haut stp.

wen452 · Answer

voilà :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijy4GX1l3.txt

H3RV3 · Answer

Bien, alors, dans ton cas :
nwiz.exe correspond bien au pilote Nvidia
msmsgr.exe correspond à MSN Messenger
ctfmon.exe correspond à un fichier légitime Windows
HDeck.exe correspond au pilote audio Via
la ligne E_S13C.tmp correspond au pilote de ton imprimante EPSON Stylus D78 Series
reader_sl.exe correspond au démarrage rapide de Adobe Reader
AdobeARM.exe correspond à la mise à jour automatique de Adobe Reader

Concernant C:\WINDOWS\System32\winsys2.exe , as-tu une carte graphique MSI ?


&#9679; Sous XP : Double clique sur ZHPFix présent sur ton bureau
&#9679; Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Clique sur l'icône représentant un H vert

&#9679; Copie puis colle le texte suivant dans le cadre jaune de ZHPFix :





O64 - Services: CurCS - (.not file.) - 00ba39bc (00ba39bc)  .(.Pas de propriétaire - Pas de description.) - LEGACY_00BA39BC
O64 - Services: CurCS - (.not file.) - 039c07c0 (039c07c0)  .(.Pas de propriétaire - Pas de description.) - LEGACY_039C07C0
O64 - Services: CurCS - (.not file.) - 03fb0e80 (03fb0e80)  .(.Pas de propriétaire - Pas de description.) - LEGACY_03FB0E80
O64 - Services: CurCS - (.not file.) - 03fbf09c (03fbf09c)  .(.Pas de propriétaire - Pas de description.) - LEGACY_03FBF09C
O64 - Services: CurCS - (.not file.) - 059e9143 (059e9143)  .(.Pas de propriétaire - Pas de description.) - LEGACY_059E9143
O64 - Services: CurCS - (.not file.) - 0980c0b9 (0980c0b9)  .(.Pas de propriétaire - Pas de description.) - LEGACY_0980C0B9
O64 - Services: CurCS - (.not file.) - 0b6aaa09 (0b6aaa09)  .(.Pas de propriétaire - Pas de description.) - LEGACY_0B6AAA09
O64 - Services: CurCS - (.not file.) - 1a94ae78 (1a94ae78)  .(.Pas de propriétaire - Pas de description.) - LEGACY_1A94AE78
O64 - Services: CurCS - (.not file.) - 2249e54b (2249e54b)  .(.Pas de propriétaire - Pas de description.) - LEGACY_2249E54B
O64 - Services: CurCS - (.not file.) - 22e0bb6b (22e0bb6b)  .(.Pas de propriétaire - Pas de description.) - LEGACY_22E0BB6B
O64 - Services: CurCS - (.not file.) - 2f876b0b (2f876b0b)  .(.Pas de propriétaire - Pas de description.) - LEGACY_2F876B0B
O64 - Services: CurCS - (.not file.) - 3582c466 (3582c466)  .(.Pas de propriétaire - Pas de description.) - LEGACY_3582C466
O64 - Services: CurCS - (.not file.) - 3708046e (3708046e)  .(.Pas de propriétaire - Pas de description.) - LEGACY_3708046E
O64 - Services: CurCS - (.not file.) - 38262635 (38262635)  .(.Pas de propriétaire - Pas de description.) - LEGACY_38262635
O64 - Services: CurCS - (.not file.) - 417fc446 (417fc446)  .(.Pas de propriétaire - Pas de description.) - LEGACY_417FC446
O64 - Services: CurCS - (.not file.) - 41d6a605 (41d6a605)  .(.Pas de propriétaire - Pas de description.) - LEGACY_41D6A605
O64 - Services: CurCS - (.not file.) - 4645d632 (4645d632)  .(.Pas de propriétaire - Pas de description.) - LEGACY_4645D632
O64 - Services: CurCS - (.not file.) - 4658b400 (4658b400)  .(.Pas de propriétaire - Pas de description.) - LEGACY_4658B400
O64 - Services: CurCS - (.not file.) - 4a4f02e1 (4a4f02e1)  .(.Pas de propriétaire - Pas de description.) - LEGACY_4A4F02E1
O64 - Services: CurCS - (.not file.) - 54fd061b (54fd061b)  .(.Pas de propriétaire - Pas de description.) - LEGACY_54FD061B
O64 - Services: CurCS - (.not file.) - 558a0407 (558a0407)  .(.Pas de propriétaire - Pas de description.) - LEGACY_558A0407
O64 - Services: CurCS - (.not file.) - 5f3c06de (5f3c06de)  .(.Pas de propriétaire - Pas de description.) - LEGACY_5F3C06DE
O64 - Services: CurCS - (.not file.) - 5fc66afc (5fc66afc)  .(.Pas de propriétaire - Pas de description.) - LEGACY_5FC66AFC
O64 - Services: CurCS - (.not file.) - 616684a7 (616684a7)  .(.Pas de propriétaire - Pas de description.) - LEGACY_616684A7
O64 - Services: CurCS - (.not file.) - 6efe50a8 (6efe50a8)  .(.Pas de propriétaire - Pas de description.) - LEGACY_6EFE50A8
O64 - Services: CurCS - (.not file.) - 77801217 (77801217)  .(.Pas de propriétaire - Pas de description.) - LEGACY_77801217
O64 - Services: CurCS - (.not file.) - 7786c313 (7786c313)  .(.Pas de propriétaire - Pas de description.) - LEGACY_7786C313
O64 - Services: CurCS - (.not file.) - 7cbcc250 (7cbcc250)  .(.Pas de propriétaire - Pas de description.) - LEGACY_7CBCC250
O64 - Services: CurCS - (.not file.) - 7ed83f85 (7ed83f85)  .(.Pas de propriétaire - Pas de description.) - LEGACY_7ED83F85
O64 - Services: CurCS - (.not file.) - 807bbd77 (807bbd77)  .(.Pas de propriétaire - Pas de description.) - LEGACY_807BBD77
O64 - Services: CurCS - (.not file.) - 9c4e3585 (9c4e3585)  .(.Pas de propriétaire - Pas de description.) - LEGACY_9C4E3585
O64 - Services: CurCS - (.not file.) - a091807b (a091807b)  .(.Pas de propriétaire - Pas de description.) - LEGACY_A091807B
O64 - Services: CurCS - (.not file.) - a1507f21 (a1507f21)  .(.Pas de propriétaire - Pas de description.) - LEGACY_A1507F21
O64 - Services: CurCS - (.not file.) - a6de7bef (a6de7bef)  .(.Pas de propriétaire - Pas de description.) - LEGACY_A6DE7BEF
O64 - Services: CurCS - (.not file.) - abbe8c43 (abbe8c43)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ABBE8C43
O64 - Services: CurCS - (.not file.) - ac6ea8ad (ac6ea8ad)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AC6EA8AD
O64 - Services: CurCS - (.not file.) - afe0a605 (afe0a605)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AFE0A605
O64 - Services: CurCS - (.not file.) - b10c3246 (b10c3246)  .(.Pas de propriétaire - Pas de description.) - LEGACY_B10C3246
O64 - Services: CurCS - (.not file.) - b1f6aa09 (b1f6aa09)  .(.Pas de propriétaire - Pas de description.) - LEGACY_B1F6AA09
O64 - Services: CurCS - (.not file.) - b8ceca61 (b8ceca61)  .(.Pas de propriétaire - Pas de description.) - LEGACY_B8CECA61
O64 - Services: CurCS - (.not file.) - b9c44f4a (b9c44f4a)  .(.Pas de propriétaire - Pas de description.) - LEGACY_B9C44F4A
O64 - Services: CurCS - (.not file.) - BDVEDISK (BDVEDISK)  .(.Pas de propriétaire - Pas de description.) - LEGACY_BDVEDISK
O64 - Services: CurCS - (.not file.) - c4465f3c (c4465f3c)  .(.Pas de propriétaire - Pas de description.) - LEGACY_C4465F3C
O64 - Services: CurCS - (.not file.) - c4779c03 (c4779c03)  .(.Pas de propriétaire - Pas de description.) - LEGACY_C4779C03
O64 - Services: CurCS - (.not file.) - c782d622 (c782d622)  .(.Pas de propriétaire - Pas de description.) - LEGACY_C782D622
O64 - Services: CurCS - (.not file.) - d1c22c17 (d1c22c17)  .(.Pas de propriétaire - Pas de description.) - LEGACY_D1C22C17
O64 - Services: CurCS - (.not file.) - d617466b (d617466b)  .(.Pas de propriétaire - Pas de description.) - LEGACY_D617466B
O64 - Services: CurCS - (.not file.) - d990f108 (d990f108)  .(.Pas de propriétaire - Pas de description.) - LEGACY_D990F108
O64 - Services: CurCS - (.not file.) - dae221af (dae221af)  .(.Pas de propriétaire - Pas de description.) - LEGACY_DAE221AF
O64 - Services: CurCS - (.not file.) - ec6d36a0 (ec6d36a0)  .(.Pas de propriétaire - Pas de description.) - LEGACY_EC6D36A0
O64 - Services: CurCS - (.not file.) - ec7e2561 (ec7e2561)  .(.Pas de propriétaire - Pas de description.) - LEGACY_EC7E2561
O64 - Services: CurCS - (.not file.) - ec9c1d77 (ec9c1d77)  .(.Pas de propriétaire - Pas de description.) - LEGACY_EC9C1D77
O64 - Services: CurCS - (.not file.) - fad44645 (fad44645)  .(.Pas de propriétaire - Pas de description.) - LEGACY_FAD44645




&#9679; Clique sur le bouton Tous puis sur Nettoyer

&#9679; Copie/colle le rapport qui apparaîtra à la fin


&#9679; Télécharge Malwarebytes' Anti-Malware (MBAM)

&#9679; Double clique sur mbam-setup.exe pour lancer l'installation

&#9679; Laisse les options par défaut lors de l'installation

&#9679; Lance MBAM et laisse les Mises à jour se télécharger

&#9679; Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

&#9679; A la fin du scan, clique sur Afficher les résultats

&#9679; Coche tous les éléments détectés puis clique sur Supprimer la sélection

&#9679; S'il t'est demandé de redémarrer, clique sur Yes

&#9679; Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport se trouve dans l'onglet Rapports/Logs de MBAM

wen452 · Answer

rapport de ZHPfix
http://www.cijoint.fr/cjlink.php?file=cj201009/cijziGaqgd.txt 

rapport de mbam (il est compabtible avec bitdefender et fiable ? Parce que dans ce cas là je le garderais bien pour faire des analyses de temps en temps)
Il a trouvé un malware
http://www.cijoint.fr/cjlink.php?file=cj201009/cij3PsXfHQ.txt 

merci pour ton aide !

H3RV3 · Answer

Tu peux effectivement garder Malwarebytes (compatible avec BitDefender) pour faire des scans réguliers.

Peux-tu refaire un rapport ZHPDiag stp.

wen452 · Answer

Je pense que c'est celui là, car "ci-joint" merdouille un peu
http://www.cijoint.fr/cjlink.php?file=cj201009/cijSerTvur.txt

H3RV3 · Answer

OK, on va encore faire un peu de ménage :

&#9679; Sous XP : Double clique sur ZHPFix présent sur ton bureau
&#9679; Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Clique sur l'icône représentant un H vert

&#9679; Copie puis colle le texte suivant dans le cadre jaune de ZHPFix :





O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (. - .) -- (.not file.)
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
OPT:O4 - HKCU\..\Run: [MSMSGS] . (.Microsoft Corporation - Windows Messenger.) -- C:\Program Files\Messenger\msmsgs.exe
O8 - Extra context menu item: Barre RoboForm - (.not file.) - file:\C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - (.not file.) - file:\C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - (.not file.) - file:\C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - (.not file.) - file:\C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} . (.not file.) - (.not file.)




&#9679; Clique sur le bouton Tous puis sur Nettoyer

&#9679; Copie/colle le rapport qui apparaîtra à la fin

wen452 · Answer

avant d'aller plus loin, j'ai un petit pb avec outlook express, il buguait déjà ces derniers jours (plantage), mais là j'ai dû faire une fausse mannip en voulant ajouter une identitée (j'ai fait "ajouter courrier" dans le compte de la nouvelle identitée, car il n'y avais aucunes données et depuis, les mots de passe de cette boite (neuf/sfr) et des autres (hotmail) sont sans cesse demandés...

Si je fais une restauration systéme, ça peut régler le probléme en remettant les paramétres tels qu'ils étaient lors de sa création (qui remonte à hier) ?
Mais si oui, je vais devoir refaire ce que tu m'as fait faire ou les suppressions de malwares seront toujours effectives ?
Désolée de ce contre-temps

H3RV3 · Answer

Je ne sais pas si les points de restauration inclus les paramètres de Outlook Express.
Tu peux faire l'essai, dans le pire des cas on refera les manipulations.

wen452 · Answer

oh la la, ça s'arrange pas....
J'ai lancée la restau, il a fait son petit travail, et a redémarré. Jusque là, RAS.
Au redémarrage, il me demande de choisir l'utilisateur, comme d'habitude, je clique, et là, il n'y avait que mon fond d'écran, pas d'icone, et surtout pas de fenêtre de confirmation de restauration. Passé 15 minutes, j'ai appuyé sur reset:
- Redémarrage, et cette fois-ci gel sur l'écran bleu de windows, aprés avoir séléctionné l'utilisateur....
- redémarrage, trés long, et me voici....

Je sens que je vais tout sauvegarder et me préparer psychologiquement à devoir faire 2h de route pour l'emmener chez le docteur...
Je voulais de toutes manière tout sauvegarder avant de défragmenter

Revoici le rapport ZHP, pour savoir si la restauration n'a pas annulé les modifs (si tant est qu'elle se soit vraiment effectuée....). Je refais un scan anti malware ou ça suffit pour savoir si on est ok ?

http://www.cijoint.fr/cjlink.php?file=cj201009/cij8khoL9A.txt

H3RV3 · Answer

Tu peux déjà faire un scan complet avec Malwarebytes.

wen452 · Answer

il est en cours ;)
J'ai réussi à paramétrer la nouvelle adresse SFR, mais les boites hotmails continuent à merder et refusent d'envoyer des mails (demande incessante d'identification).

wen452 · Answer

voilà, nada cette fois-ci: 
http://www.cijoint.fr/cjlink.php?file=cj201009/cij6dMqCaG.txt

PS : hotmail refonctionne, bizarre....

H3RV3 · Answer

OK, peux-tu faire maintenant un rapport ZHPDiag stp.

wen452 · Answer

Je l'emmène demain matin chez mon informaticien, car il a encore refusé de s'ouvrir plusieurs fois. Je donnerais le résultat des courses ;)
Merci pour ton aide

wen452 · Answer

Résultat des courses pas si tardif que ça, car ça ne fait qu'une semaine que l'ordinateur n'a plus eu le moindre probléme.
Aprés deux visites chez l'informaticien avec nettoyage en profondeur, scandisk, defragmentation etc, le pb revenait systématiquement une fois de retour chez moi, jusqu'à ce que l'on pointe le responsable : la mise à jour de la version 2009 à la 2011 de bit défender. Il a bugé sur l'antivrius une fois et un rapport a été envoyé. 2 jours plus tard, tout était réglé, surement une mise à jour corrective.
Voilà pour l'histoire

H3RV3 · Answer

Salut,

Merci pour les infos, le met le sujet en résolu.

Rapport hijack à vérifier

21 réponses

Discussions similaires