Sujet Précédent Sujet Suivant

Virus

Fermé
nyomp Messages postés 4 Date d'inscription lundi 18 octobre 2010 Statut Membre Dernière intervention 18 octobre 2010 - 18 oct. 2010 à 01:26
 cosmi10 - 18 oct. 2010 à 22:56
Bonjour,

Je sais que j'ai une infection mais je ne la trouve pas je vous met donc un rapport hijackthis.merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:23:16, on 18/10/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\HerculesWiFiService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtblfs.exe
C:\Documents and Settings\HP_Administrateur\Mes documents\Téléchargements\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Canon Easy-WebPrint EX BHO - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexbho.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe"
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\tskmgr.exe
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\tskmgr.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\tskmgr.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\tskmgr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
O8 - Extra context menu item: Ajouter à l'Anti-bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: HerculesWiFi - Guillemot Corporation - C:\WINDOWS\system32\HerculesWiFiService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Canon Inkjet Printer/Scanner/Fax Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
A voir également:

7 réponses

Réponse 1 / 7
Cosmi10 Messages postés 839 Date d'inscription vendredi 12 juin 2009 Statut Membre Dernière intervention 11 mars 2011 89
18 oct. 2010 à 04:43
L'antivirus de service n'a pas réagit la dessus ?

Cocher et Fixer ces lignes.
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\tskmgr.exe
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\tskmgr.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\tskmgr.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\tskmgr.exe


Redémarrer l'ordi.


Aller supprimer ce fichier : C:\WINDOWS\system32\tskmgr.exe
Si nécessaire, afficher les fichiers et les dossiers cachés.
_________________________________________________

Préférable de produire un diagnostique un peu plus complet du PC.
• Téléchargez sur votre bureau ZHPDiag..exe (de N. Coolman)
• Laisser la connexion internet ouverte,
• Lancer ZHPDiag..exe par un double-clique

.........Le rapport ZHPDiag.txt va s'ouvrir..


Au lieu de poster ce rapport "très volumineux" direct sur le forum.
Placer le sur une page Web depuis le site CJoint.com

• Aller sur le site CJoint,
• Appuyez sur [Parcourir] et chercher le rapport ← en image
• Ensuite appuyez sur [Créer le lien CJoint],
.. Une adresse http//......(bleu, mauve) sera créé.
Postez le lien http//...., de cette page Web
0
Réponse 2 / 7
nyomp Messages postés 4 Date d'inscription lundi 18 octobre 2010 Statut Membre Dernière intervention 18 octobre 2010
18 oct. 2010 à 13:08
merci mais kan je fixe c'est ligne elle revienne aprés demarage et quand je supprime le fichier il se remet quelque seconde après voici le rapport zhpdiag

http://cjoint.com/data3/3ksniQVmCDF.htm
0
Réponse 3 / 7
Cosmi10 Messages postés 839 Date d'inscription vendredi 12 juin 2009 Statut Membre Dernière intervention 11 mars 2011 89
18 oct. 2010 à 14:43
Dîtes si après ces manip l'infection revient, ..on utilisera autre chose.

► Faites ces procédures dans la séquence proposée. ◄
_______________________________________________

Lancer ZHPFix.exe par un double-clique
• Sélectionner tout et Copier(par un clic-droit) cette page Web
• Cliquez sur le bouton [H].
• Cliquez sur [OK]
• Cliquez sur [Tous] et sur [Nettoyer],

► Si cela vous ait proposé, ..redémarrer le PC.

► Poster le rapport.
_______________________________________________

Télécharger/ installer Superantispyware Free Edition,
.. Les mises à jours ayant été faites.
• Lancer le et appuyer [Scanner votre ordinateur]..
• Sélectionner ◉ Scan complet et appuyer sur [Suivant],
.. Après le scan,
• Appuyer sur [Préférences] → [Statistiques/Journaux de bord]

Poster le rapport du scan (..avec un lien de chez CJoint !)
_______________________________________________

Télécharger et décompresser ce fichier
• Double-cliquer sur CreerRap.bat
► Poster le rapport C:\RapportDR.txt
_______________________________________________

Mises à jours Logiciels.
Très Important pour prévenir les failles de sécurités des logiciels qui ont accès à Internet.

• Java : https://www.java.com/fr/

Faites Sumo Lite après la désinfection.
• Faites les mise à jours proposées par Sumo Lite
► À vérifier aux 30jours.
_______________________________________________

Purger les points de restaurations du système.

• Désactiver et Réactiverla restauration du système XP

Préférable de tous les supprimés quelques fois par années. Et pour cause, il est fréquent que quelques un des ces points soient, soit infectés et/ou endommagés. Et ça, ont ne s'en rend compte, que lorsque l'on en a besoin. Les désinfections appliquées par l'antivirus de service ou autre scanner, les endommages assez souvent.
Leurs répertoires : ..\System Volume Information\..

La Restauration du système s'applique à des fichiers système et à certains fichiers programme et paramètres du Registre.
Cet outil ne s'applique pas aux fichiers personnels, tels que ; photos, documents ou courrier électronique..
_______________________________________________

Ccleaner - Nettoyage des fichiers temporaires, cookies..

• Cliquez sur "Option" et → "Avancé" et DécochezEffacer uniquement les fichiers temporaire .. de plus de 48 heures,

• Sélectionnez "Nettoyeur" et cliquez sur → "Windows", allez à la section "Avancé",
• Et Cochez uniquement la première case "Vieilles données du prefetch",

• Sélectionnez le bouton [Analyse].., lorsque complété,
• Cliquer sur [Nettoyage], jusqu'à ce que la fenêtre soit vide.

Lorsque ce nettoyage est complété.
Remettre les options standard, pour une utilisation au quotidien.
• Allez Recocher dans les Options → Avancé : Effacer uniquement les fichiers temporaire .. de plus de 48 heures
• Et Décocher "Vieilles données du prefetch" dans Nettoyeur → Windows

P.S.: À utiliser après chaque session ou avant de fermer l'ordi.
_______________________________________________

Que donne un scan rapide avec Kaspersky ?
Si vous pourriez poster le rapport (..avec un lien de chez CJoint !)
0
Cosmi10 Messages postés 839 Date d'inscription vendredi 12 juin 2009 Statut Membre Dernière intervention 11 mars 2011 89
18 oct. 2010 à 14:54
Tient j'viens de remarquer que bizarrement, les tskmgr.exe sont associés à Malwarebytes. 

O4 - HKLM\..\Run: [HKLM] (.Pas de propriétaire - Malwarebytes' Anti-Malware.) -- C:\WINDOWS\system32\tskmgr.exe


Ou avez vous télécharger malwarebytes ..chez l'éditeur.
0
Réponse 4 / 7
nyomp Messages postés 4 Date d'inscription lundi 18 octobre 2010 Statut Membre Dernière intervention 18 octobre 2010
18 oct. 2010 à 20:40
Rapport de ZHPFix 1.12.3212 par Nicolas Coolman, Update du 15/10/2010
Fichier d'export Registre :
Run by HP_Administrateur at 18/10/2010 20:34:02
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} . (.not file.) - (.not file.) => Clé absente
O40 - ASIC: (no name) - {7J11J47L-VT84-650I-534Y-3KUEC42167F0} . (.Pas de propriétaire - Malwarebytes' Anti-Malware.) -- C:\WINDOWS\system32\tskmgr.exe => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [HKLM] . (.Pas de propriétaire - Malwarebytes' Anti-Malware.) -- C:\WINDOWS\system32\tskmgr.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [HKCU] . (.Pas de propriétaire - Malwarebytes' Anti-Malware.) -- C:\WINDOWS\system32\tskmgr.exe => Valeur supprimée avec succès
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.Pas de propriétaire - Malwarebytes' Anti-Malware.) -- C:\WINDOWS\system32\tskmgr.exe => Valeur supprimée avec succès
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.Pas de propriétaire - Malwarebytes' Anti-Malware.) -- C:\WINDOWS\system32\tskmgr.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur absente
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur absente
O4 - HKUS\S-1-5-21-309463755-4285331075-2279918076-1007\..\Run: [HKCU] . (.Pas de propriétaire - Malwarebytes' Anti-Malware.) -- C:\WINDOWS\system32\tskmgr.exe => Valeur supprimée avec succès
O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - (.not file.) => Valeur absente

========== Fichier(s) ==========
c:\windows\system32\tskmgr.exe => Supprimé et mis en quarantaine
c:\windows\system32\ctfmon.exe => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: Java 6 Update 21 - (.Oracle.) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216021FF} => Logiciel déjà supprimé


========== Récapitulatif ==========
2 : Clé(s) du Registre
8 : Valeur(s) du Registre
2 : Fichier(s)
1 : Logiciel(s)


End of the scan






Le volume dans le lecteur C s'appelle HP_PAVILION
Le num'ro de s'rie du volume est C0B5-2605

R'pertoire de C:\Documents and Settings\HP_Administrateur\Application Data

18/10/2010 19:40 <REP> .
18/10/2010 19:40 <REP> ..
05/10/2010 23:42 <REP> Adobe
16/09/2010 00:25 <REP> Apowersoft
16/09/2010 12:45 <REP> Canon Easy-WebPrint EX
18/10/2010 20:31 12ÿ389 cglogs.dat
10/10/2005 15:24 62 desktop.ini
12/10/2010 23:19 196 G-Force Prefs (WindowsMediaPlayer).txt
15/09/2010 15:25 <REP> HPQ
15/11/2005 04:22 <REP> Identities
15/09/2010 15:28 <REP> InstallShield
15/09/2010 16:11 <REP> Macromedia
17/10/2010 21:09 <REP> Malwarebytes
23/09/2010 01:11 <REP> Microsoft
15/09/2010 16:13 <REP> Mozilla
15/09/2010 15:16 <REP> Real
15/09/2010 15:21 <REP> Sun
18/10/2010 19:40 <REP> SUPERAntiSpyware.com
23/09/2010 01:11 <REP> Template
08/10/2010 13:12 <REP> TomTom
15/09/2010 17:32 <REP> TuneUp Software
17/10/2010 23:35 <REP> vlc
15/09/2010 17:34 <REP> WinRAR
23/09/2010 01:11 0 wklnhst.dat
4 fichier(s) 12ÿ647 octets
20 R'p(s) 300ÿ617ÿ605ÿ120 octets libres
.
.
[HKEY_CURRENT_USER\Software\maintenance]
"FirstExecution"=hex(2):31,00,38,00,2f,00,31,00,30,00,2f,00,32,00,30,00,31,00,\
30,00,20,00,2d,00,2d,00,20,00,30,00,30,00,3a,00,30,00,31,00,00,00
"NewIdentification"=hex(2):6d,00,61,00,69,00,6e,00,74,00,65,00,6e,00,61,00,6e,\
00,63,00,65,00,00,00
"NewGroup"=hex(2):




L'autre rapport je les effacé mais il ne m'avais rien trouver est je les encore .merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Cosmi10 Messages postés 839 Date d'inscription vendredi 12 juin 2009 Statut Membre Dernière intervention 11 mars 2011 89
18 oct. 2010 à 21:10
Aller supprimer ce fichier "cglogs.dat" :
C:\Documents and Settings\HP_Administrateur\Application Data\cglogs.dat

L'infection ne s'est pas réinstallée.
D'où vient votre version de Malwarebytes, est-ce que ça vient de chez l'éditeur ou..
0
Réponse 6 / 7
nyomp Messages postés 4 Date d'inscription lundi 18 octobre 2010 Statut Membre Dernière intervention 18 octobre 2010
18 oct. 2010 à 21:28
je les pri sur wawa mania et je ne trouve pas ce fichier est quand je demarre sa me mais toujours qu'il y est
0
Réponse 7 / 7
cosmi10
18 oct. 2010 à 22:56
Désinstaller cette version de Malwarebytes.
Compléter cette désinstallation en recherchant / supprimant toutes les traces de ses répertoires restant, dans ;

C:\Program Files\..
C:\Program Files\Fichier Commun\..

* Vérifier aussi dans les \Application Data\..:
C:\Document and Setting\ToutVosCompteUser\Application Data\..
C:\Document and Setting\ToutVosCompteUser\Local Settings\Application Data\..
C:\Document and Setting\Administrateur\Application Data\..
C:\Document and Setting\Administrateur\Local Settings\Application Data\..
C:\Document and Setting\All Users\Application Data\..

Ensuite re-télécharger le depuis l'éditeur.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Virus MSN Tinyurl
djkifkif -
matt56430 -

8 réponses