Virus/Trojan services.exe et smss.exe

Résolu
epidemik Messages postés 18 Statut Membre -  
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Bonjour,

Alors voila depuis quelque temps, j'ai un soucis, c'est que en permanence reçoit des msg de mon antivirus "Avira" comme quoi deux logiciels malveillants veuillent pourrir mon PC ^^

C:\Documents and Settings\Jerome\Local Settings\Temp\~temp\sndp20\services.exe'
C:\Documents and Settings\Jerome\Local Settings\Temp\~temp\btr13\smss.exe'

Alors voila je ne sais absolument pas comment m'en débarrasser et malgré les autres post sur le sujet. Je n'est pas trouvé de solution, car je pense que s'est des réponses propre a chacun.

Merci d'avoir des réponses clair et précise, sans mot barbare, car je ne suis pas un As de l'informatique ...

Processeur : WINDOWS XP

PEACE

13 réponses

  1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    EDIT:

    * Télécharge sur le bureau RogueKiller (par tigzy)
    * Quitte tous tes programmes en cours
    * Lance le.
    * Lorsque demandé, tape 1 et valide
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

    Contributeur SECURITE
    Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
    0
  2. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour,

    Bonne continuité à vous deux.
    Et bonnes fêtes;

    @+

    Allez jusqu'au bout de la procédure de désinfection.
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Salut

      bonnes fêtes à toi aussi ;)

      PS: J'ai édité car pensé à un batimal et posté un Cf, mais visiblement c'est plutôt un rogue...
      0
    2. epidemik Messages postés 18 Statut Membre
       
      Merci, bonne fête aussi :) ++
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tu as passé le mode 2? ;)
      0
  3. epidemik Messages postés 18 Statut Membre
     
    D'accord très bien, merci de ta réponse RAPIDE!!
    Voici le report :

    RogueKiller V3.5.1 by Tigzy
    contact at www.sur-la-toile.com
    mail: tigzy44<at>hotmail<dot>fr
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
    Mode: Scan -- Time : 23/12/2010 13:26:59

    Bad processes:
    Killed c:\docume~1\jerome\locals~1\applic~1\esentutl.exe
    Killed c:\docume~1\jerome\locals~1\temp\~temp\mlp326\mdm.exe

    Found:
    HKCU\...\RUN\ DEAD BYTE : C:\DOCUME~1\Jerome\APPLIC~1\SOFTRE~1\web dvd dash.exe
    HKCU\...\RUN\ Badoo Desktop : "C:\Documents and Settings\All Users\Application Data\Badoo\Badoo Desktop\1.2.22.828\Badoo.Desktop.exe"
    HKLM\...\RUN\ mpeg heck log link : C:\Documents and Settings\All Users\Application Data\Joy coal mpeg heck\Army sixth.exe
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe -> "C:\PROGRAM FILES\PROCESS EXPLORER\PROCEXP.EXE"
    Task -> AD8E410F9185F15B.job : c:\docume~1\jerome\applic~1\softre~1\blahstopdrv.exe

    Finished
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      ok, relance le en mode 2
      0
  4. epidemik Messages postés 18 Statut Membre
     
    RogueKiller V3.5.1 by Tigzy
    contact at www.sur-la-toile.com
    mail: tigzy44<at>hotmail<dot>fr
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
    Mode: Scan -- Time : 23/12/2010 13:26:59

    Bad processes:
    Killed c:\docume~1\jerome\locals~1\applic~1\esentutl.exe
    Killed c:\docume~1\jerome\locals~1\temp\~temp\mlp326\mdm.exe

    Found:
    HKCU\...\RUN\ DEAD BYTE : C:\DOCUME~1\Jerome\APPLIC~1\SOFTRE~1\web dvd dash.exe
    HKCU\...\RUN\ Badoo Desktop : "C:\Documents and Settings\All Users\Application Data\Badoo\Badoo Desktop\1.2.22.828\Badoo.Desktop.exe"
    HKLM\...\RUN\ mpeg heck log link : C:\Documents and Settings\All Users\Application Data\Joy coal mpeg heck\Army sixth.exe
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe -> "C:\PROGRAM FILES\PROCESS EXPLORER\PROCEXP.EXE"
    Task -> AD8E410F9185F15B.job : c:\docume~1\jerome\applic~1\softre~1\blahstopdrv.exe

    Finished

    RogueKiller V3.5.1 by Tigzy
    contact at www.sur-la-toile.com
    mail: tigzy44<at>hotmail<dot>fr
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
    Mode: Remove -- Time : 23/12/2010 13:35:15

    Bad processes:

    Deregistred:
    HKCU\...\RUN\ DEAD BYTE : C:\DOCUME~1\Jerome\APPLIC~1\SOFTRE~1\web dvd dash.exe
    HKCU\...\RUN\ Badoo Desktop : "C:\Documents and Settings\All Users\Application Data\Badoo\Badoo Desktop\1.2.22.828\Badoo.Desktop.exe"
    HKLM\...\RUN\ mpeg heck log link : C:\Documents and Settings\All Users\Application Data\Joy coal mpeg heck\Army sixth.exe
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe -> "C:\PROGRAM FILES\PROCESS EXPLORER\PROCEXP.EXE"
    Task -> AD8E410F9185F15B.job : c:\docume~1\jerome\applic~1\softre~1\blahstopdrv.exe

    Finished
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      C'est toi qui a mis process explorer à la place du gestionnaire de tâches?
      Si oui tu devras le remettre.
      0
    2. epidemik Messages postés 18 Statut Membre
       
      Nan ce n'est pas moi ... un ancien ami qui m'avait fait des modif' sur le PC pour qu'il soit plus rapide!
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. epidemik Messages postés 18 Statut Membre
     
    Voila la réponse
    0
  7. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Ok, on enchaine.
    Ne redémarre pas ton PC.

    Télécharger sur le bureau Malwarebyte's Anti-Malware

    = double-clic sur mbam-setup pour lancer l'installation
    = Installer simplement sans rien modifier
    = Ne pas décocher "Faire la mise à jour"
    = si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
    = Quand le programme lancé ==> cocher Exécuter un examen complet
    = Clic Rechercher
    = Eventuellement décocher les disque à ne pas analyser
    = Clic Lancer l'examen
    = En fin de scan ( 1h environ), si infection trouvée
    ==> Clic Afficher résultat
    = Fermer vos applications en cours
    = Vérifier si tout est coché et clic Supprimer la sélection

    un rapport s'ouvre le copier et le coller dans la réponse

    0
  8. epidemik Messages postés 18 Statut Membre
     
    Tres bien l'examen est lancé.

    A toute a l'heure !
    0
  9. epidemik Messages postés 18 Statut Membre
     
    alors voila après 1H30 d'analyse le résultat :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5382

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    23/12/2010 15:09:43
    mbam-log-2010-12-23 (15-09-43).txt

    Type d'examen: Examen complet (C:\|J:\|)
    Elément(s) analysé(s): 248862
    Temps écoulé: 1 heure(s), 26 minute(s), 36 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 6
    Valeur(s) du Registre infectée(s): 9
    Elément(s) de données du Registre infecté(s): 6
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 9

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    c:\WINDOWS\system32\AntiWPA.dll (PUP.Wpakill) -> Not selected for removal.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa (PUP.Wpakill) -> Not selected for removal.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Findbasic (Adware.FindBasic) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Findbasic (Adware.FindBasic) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Findbasic Service (Adware.FindBasic) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Logman (Trojan.Agent) -> Value: Logman -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\MstInit (Trojan.Agent) -> Value: MstInit -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\MstInit (Trojan.Agent) -> Value: MstInit -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> Delete on reboot.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ClipSrv (Trojan.Downloader) -> Value: ClipSrv -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Cisvc (Trojan.Rodecap) -> Value: Cisvc -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOCUME~1\Jerome\LOCALS~1\APPLIC~1\esentutl.exe) Good: () -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    c:\documents and settings\all users\application data\findbasic (Adware.FindBasic) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    c:\WINDOWS\system32\AntiWPA.dll (PUP.Wpakill) -> Not selected for removal.
    c:\documents and settings\Jerome\mes documents\mes images\FaceBook\xvid_setup1.2.2-win32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{2be25bee-1bf0-4611-967c-a44c653d59c2}\RP317\A0073574.exe (Adware.Agent) -> Quarantined and deleted successfully.
    c:\documents and settings\Jerome\application data\microsoft\logman.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\documents and settings\Jerome\application data\mstinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\documents and settings\Jerome\local settings\application data\esentutl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\WINDOWS\system\mstinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\documents and settings\Jerome\local settings\application data\clipsrv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\documents and settings\Jerome\local settings\application data\cisvc.exe (Trojan.Rodecap) -> Quarantined and deleted successfully.

    j'ai tout supprimer du coup et redémarrer le PC jspr avoir bien fait!
    Et je n'avais pas remarquer aussi, mais mon pare-feux etait désactiver :/
    0
  10. epidemik Messages postés 18 Statut Membre
     
    d'ailleurs depuis le redémarrage plus d'avertissement! je crois que tu as rempli ta mission! :D

    Merci beaucoup !!!
    0
  11. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa (PUP.Wpakill) -> Not selected for removal.

    Tu as de la chance que je n'ai pas vu cela avant...
    Avec ce genre de crack cela ne m'étonne pas que tu sois infecté. Tu savais que certains antiWPA contenait des trojans?

    * Télécharge ZHPDiag
    Capture

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Sous vista/seven, si un message d'erreur apparait , clique droit => exécuter en tant qu'admin
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Heberge le rapport ici: cijoint et colle le lien dans la réponse

    0
  12. epidemik Messages postés 18 Statut Membre
     
    >>> http://www.cijoint.fr/cjlink.php?file=cj201012/cijvM7VH2x.txt
    0
  13. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    désinstalle Spybot, ça sert à rien

    Télécharger sur le bureau
    AD-Remover
    = Double-Clic AD-R pour l'installer
    = Double-Clic AD-Remover, raccourci qui vient de se créer sur le bureau
    = Faire Nettoyer
    = En fin de scan donner le rapport

    Contributeur SECURITE
    Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
    0
  14. epidemik Messages postés 18 Statut Membre
     
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 22/12/10 à 11:40
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 00:46:59 le 27/12/2010, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    Jerome@EPIDEMIK ( )

    ============== ACTION(S) ==============

    (!) -- Fichiers temporaires supprimés.

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.13 (fr)] **

    -- C:\Documents and Settings\Jerome\Application Data\Mozilla\FireFox\Profiles\emuc56zd.default\Prefs.js --
    browser.download.lastDir, C:\\Documents and Settings\\Jerome\\Bureau
    browser.startup.homepage_override.mstone, rv:1.9.2.13

    ========================================

    ** Internet Explorer Version [8.0.6001.18702] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 210 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 27/12/2010 (10677 Octet(s))
    C:\Ad-Report-CLEAN[2].txt - 27/12/2010 (482 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 27/12/2010 (10226 Octet(s))

    Fin à: 00:47:53, 27/12/2010

    ============== E.O.F ==============
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      il me faudrait le rapport CLEAN[1]
      0