Virus/Trojan services.exe et smss.exe [Résolu/Fermé]

Signaler
Messages postés
16
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
29 janvier 2011
-
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
-
Bonjour,


Alors voila depuis quelque temps, j'ai un soucis, c'est que en permanence reçoit des msg de mon antivirus "Avira" comme quoi deux logiciels malveillants veuillent pourrir mon PC ^^

C:\Documents and Settings\Jerome\Local Settings\Temp\~temp\sndp20\services.exe'
C:\Documents and Settings\Jerome\Local Settings\Temp\~temp\btr13\smss.exe'

Alors voila je ne sais absolument pas comment m'en débarrasser et malgré les autres post sur le sujet. Je n'est pas trouvé de solution, car je pense que s'est des réponses propre a chacun.

Merci d'avoir des réponses clair et précise, sans mot barbare, car je ne suis pas un As de l'informatique ...

Processeur : WINDOWS XP

PEACE

13 réponses

Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
564
Salut

EDIT:

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 1 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

Contributeur SECURITE
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
178
Bonjour,

Bonne continuité à vous deux.
Et bonnes fêtes;

@+

Allez jusqu'au bout de la procédure de désinfection.
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
564
Salut

bonnes fêtes à toi aussi ;)

PS: J'ai édité car pensé à un batimal et posté un Cf, mais visiblement c'est plutôt un rogue...
Messages postés
16
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
29 janvier 2011

Merci, bonne fête aussi :) ++
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
564
Tu as passé le mode 2? ;)
Messages postés
16
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
29 janvier 2011

D'accord très bien, merci de ta réponse RAPIDE!!
Voici le report :

RogueKiller V3.5.1 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Scan -- Time : 23/12/2010 13:26:59

Bad processes:
Killed c:\docume~1\jerome\locals~1\applic~1\esentutl.exe
Killed c:\docume~1\jerome\locals~1\temp\~temp\mlp326\mdm.exe

Found:
HKCU\...\RUN\ DEAD BYTE : C:\DOCUME~1\Jerome\APPLIC~1\SOFTRE~1\web dvd dash.exe
HKCU\...\RUN\ Badoo Desktop : "C:\Documents and Settings\All Users\Application Data\Badoo\Badoo Desktop\1.2.22.828\Badoo.Desktop.exe"
HKLM\...\RUN\ mpeg heck log link : C:\Documents and Settings\All Users\Application Data\Joy coal mpeg heck\Army sixth.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe -> "C:\PROGRAM FILES\PROCESS EXPLORER\PROCEXP.EXE"
Task -> AD8E410F9185F15B.job : c:\docume~1\jerome\applic~1\softre~1\blahstopdrv.exe

Finished
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
564
ok, relance le en mode 2
Messages postés
16
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
29 janvier 2011

RogueKiller V3.5.1 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Scan -- Time : 23/12/2010 13:26:59

Bad processes:
Killed c:\docume~1\jerome\locals~1\applic~1\esentutl.exe
Killed c:\docume~1\jerome\locals~1\temp\~temp\mlp326\mdm.exe

Found:
HKCU\...\RUN\ DEAD BYTE : C:\DOCUME~1\Jerome\APPLIC~1\SOFTRE~1\web dvd dash.exe
HKCU\...\RUN\ Badoo Desktop : "C:\Documents and Settings\All Users\Application Data\Badoo\Badoo Desktop\1.2.22.828\Badoo.Desktop.exe"
HKLM\...\RUN\ mpeg heck log link : C:\Documents and Settings\All Users\Application Data\Joy coal mpeg heck\Army sixth.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe -> "C:\PROGRAM FILES\PROCESS EXPLORER\PROCEXP.EXE"
Task -> AD8E410F9185F15B.job : c:\docume~1\jerome\applic~1\softre~1\blahstopdrv.exe

Finished

RogueKiller V3.5.1 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Remove -- Time : 23/12/2010 13:35:15

Bad processes:

Deregistred:
HKCU\...\RUN\ DEAD BYTE : C:\DOCUME~1\Jerome\APPLIC~1\SOFTRE~1\web dvd dash.exe
HKCU\...\RUN\ Badoo Desktop : "C:\Documents and Settings\All Users\Application Data\Badoo\Badoo Desktop\1.2.22.828\Badoo.Desktop.exe"
HKLM\...\RUN\ mpeg heck log link : C:\Documents and Settings\All Users\Application Data\Joy coal mpeg heck\Army sixth.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe -> "C:\PROGRAM FILES\PROCESS EXPLORER\PROCEXP.EXE"
Task -> AD8E410F9185F15B.job : c:\docume~1\jerome\applic~1\softre~1\blahstopdrv.exe

Finished
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
564
C'est toi qui a mis process explorer à la place du gestionnaire de tâches?
Si oui tu devras le remettre.
Messages postés
16
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
29 janvier 2011

Nan ce n'est pas moi ... un ancien ami qui m'avait fait des modif' sur le PC pour qu'il soit plus rapide!
Messages postés
16
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
29 janvier 2011

Voila la réponse
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
564
Ok, on enchaine.
Ne redémarre pas ton PC.


Télécharger sur le bureau Malwarebyte's Anti-Malware

= double-clic sur mbam-setup pour lancer l'installation
= Installer simplement sans rien modifier
= Ne pas décocher "Faire la mise à jour"
= si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
= Quand le programme lancé ==> cocher Exécuter un examen complet
= Clic Rechercher
= Eventuellement décocher les disque à ne pas analyser
= Clic Lancer l'examen
= En fin de scan ( 1h environ), si infection trouvée
==> Clic Afficher résultat
= Fermer vos applications en cours
= Vérifier si tout est coché et clic Supprimer la sélection

un rapport s'ouvre le copier et le coller dans la réponse

Messages postés
16
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
29 janvier 2011

Tres bien l'examen est lancé.

A toute a l'heure !
Messages postés
16
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
29 janvier 2011

alors voila après 1H30 d'analyse le résultat :


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5382

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23/12/2010 15:09:43
mbam-log-2010-12-23 (15-09-43).txt

Type d'examen: Examen complet (C:\|J:\|)
Elément(s) analysé(s): 248862
Temps écoulé: 1 heure(s), 26 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 9
Elément(s) de données du Registre infecté(s): 6
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\AntiWPA.dll (PUP.Wpakill) -> Not selected for removal.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa (PUP.Wpakill) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Findbasic (Adware.FindBasic) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Findbasic (Adware.FindBasic) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Findbasic Service (Adware.FindBasic) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Logman (Trojan.Agent) -> Value: Logman -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\MstInit (Trojan.Agent) -> Value: MstInit -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\MstInit (Trojan.Agent) -> Value: MstInit -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ClipSrv (Trojan.Downloader) -> Value: ClipSrv -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Cisvc (Trojan.Rodecap) -> Value: Cisvc -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOCUME~1\Jerome\LOCALS~1\APPLIC~1\esentutl.exe) Good: () -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
c:\documents and settings\all users\application data\findbasic (Adware.FindBasic) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\WINDOWS\system32\AntiWPA.dll (PUP.Wpakill) -> Not selected for removal.
c:\documents and settings\Jerome\mes documents\mes images\FaceBook\xvid_setup1.2.2-win32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2be25bee-1bf0-4611-967c-a44c653d59c2}\RP317\A0073574.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Jerome\application data\microsoft\logman.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Jerome\application data\mstinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Jerome\local settings\application data\esentutl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system\mstinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Jerome\local settings\application data\clipsrv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\Jerome\local settings\application data\cisvc.exe (Trojan.Rodecap) -> Quarantined and deleted successfully.



j'ai tout supprimer du coup et redémarrer le PC jspr avoir bien fait!
Et je n'avais pas remarquer aussi, mais mon pare-feux etait désactiver :/
Messages postés
16
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
29 janvier 2011

d'ailleurs depuis le redémarrage plus d'avertissement! je crois que tu as rempli ta mission! :D

Merci beaucoup !!!
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
564
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa (PUP.Wpakill) -> Not selected for removal.


Tu as de la chance que je n'ai pas vu cela avant...
Avec ce genre de crack cela ne m'étonne pas que tu sois infecté. Tu savais que certains antiWPA contenait des trojans?

* Télécharge ZHPDiag
Capture

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Sous vista/seven, si un message d'erreur apparait , clique droit => exécuter en tant qu'admin
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Heberge le rapport ici: cijoint et colle le lien dans la réponse

Messages postés
16
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
29 janvier 2011

>>> http://www.cijoint.fr/cjlink.php?file=cj201012/cijvM7VH2x.txt
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
564
désinstalle Spybot, ça sert à rien

Télécharger sur le bureau
AD-Remover
= Double-Clic AD-R pour l'installer
= Double-Clic AD-Remover, raccourci qui vient de se créer sur le bureau
= Faire Nettoyer
= En fin de scan donner le rapport


Contributeur SECURITE
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
Messages postés
16
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
29 janvier 2011

======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 22/12/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 00:46:59 le 27/12/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Jerome@EPIDEMIK ( )

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Documents and Settings\Jerome\Application Data\Mozilla\FireFox\Profiles\emuc56zd.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\Jerome\\Bureau
browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 210 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 27/12/2010 (10677 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 27/12/2010 (482 Octet(s))
C:\Ad-Report-SCAN[1].txt - 27/12/2010 (10226 Octet(s))

Fin à: 00:47:53, 27/12/2010

============== E.O.F ==============
Messages postés
7493
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 décembre 2020
564
il me faudrait le rapport CLEAN[1]