Pc infecté de toutes parts Résolu/Fermé

Question

Bonjour, mon PC est infecté de toutes parts. 
J'ai des fichiers comme svchost.exe, services.exe smss.exe et bien d'autres qui n'ont rien a faire là. Il faudrait que je le nettoie complétement mais malgrès les nombreux anti virus, malwares etc utilisés, rien à faire .... Des installations microsoft se lancent toutes seules, on me vole mes mots de pass, des pages internet s'ouvre continuellement, et l'ordinateur ram de plus en plus ... 
Alors j'appelle au secours pour remettre cet Ordinateur au propre. 
Je suis disponible pour vous envoyer tous les rapports nécessaires 


RAPPORT HIJACKTHIS 

Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 14:42:15, on 29/04/2011 
Platform: Windows XP SP2 (WinNT 5.01.2600) 
MSIE: Internet Explorer v7.00 (7.00.6000.20661) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\System Volume Information\Microsoft\services.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\System Volume Information\Microsoft\smss.exe 
C:\WINDOWS\system32
vsvc32.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\system32\spoolsv.exe 
C:\Program Files\Avira\AntiVir Desktop\sched.exe 
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 
C:\Program Files\Java\jre6\bin\jqs.exe 
C:\WINDOWS\system32\PnkBstrA.exe 
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe 
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe 
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe 
C:\WINDOWS\system32\svchost.exe 
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe 
C:\WINDOWS\RTHDCPL.EXE 
C:\WINDOWS\system32\LVCOMSX.EXE 
C:\Program Files\Logitech\Video\LogiTray.exe 
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe 
C:\WINDOWS\system32\RUNDLL32.EXE 
C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe 
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 
C:\Program Files\cacaoweb\cacaoweb.exe 
C:\Program Files\Logitech\SetPoint\SetPoint.exe 
C:\Program Files\Realtek\11n USB Wireless LAN Utility\RtWLan.exe 
C:\Program Files\Logitech\Video\FxSvr2.exe 
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE 
C:\WINDOWS\explorer.exe 
C:\Program Files\Mozilla Firefox\firefox.exe 
C:\Program Files\Mozilla Firefox\plugin-container.exe 
C:\WINDOWS\system32\msiexec.exe 
C:\Program Files\Uniblue\RegistryBoosteregistrybooster.exe 
C:\Documents and Settings\Administrateur\Mes documents\HiJackThis.exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.durable.com/recherche 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.durable.com/recherche 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.durable.com/recherche 
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.durable.com/recherche 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.durable.com/recherche 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.durable.com/recherche 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 219.93.178.162:3128 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll 
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll 
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll 
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE 
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE 
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE 
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe  
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe" 
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install 
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe 
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE 
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu 
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot 
O4 - HKCU\..\Run: [cacaoweb] "C:\Program Files\cacaoweb\cacaoweb.exe" -noplayer 
O4 - HKCU\..\Run: [RegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000  
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user') 
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE 
O4 - Global Startup: REALTEK 11n USB Wireless LAN Utility.lnk = C:\Program Files\Realtek\11n USB Wireless LAN Utility\RtWLan.exe 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 
O17 - HKLM\System\CCS\Services\Tcpip\..\{333592E1-32B5-453A-996A-3A05F677A92E}: NameServer = 192.168.1.1 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL 
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe 
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe 
O23 - Service: Hitman Pro 3.5 Crusader (Boot) (HitmanPro35CrusaderBoot) - SurfRight B.V. - C:\Documents and Settings\Administrateur\Mes documents\HitmanPro35.exe 
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe 
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe 
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe 
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe 
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe 
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe 

End of file - 7202 bytes 


En espérant avoir votre aide,  
Cordialement, 

Configuration: Configuration: Windows XP / Firefox 3.6.16

Malekal_morte- · Answer

Salut, 

J'ai des fichiers comme svchost.exe, services.exe smss.exe et bien d'autres qui n'ont rien a faire là.  

Il sont légitimes. 

Registry Booster boost quedalle... 
Tu devrais le désinstaller. 

~~ 

Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement.
Bien poster les rapports comme demandés aafin de pouvoir les analyser.

Télécharge AD-Remover : http://www.teamxscript.org/adremoverTelechargement.html 
Lance le en mode nettoyage 
Poste le rapport ici. 

ensuite :  

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.   
!!! Malwarebyte doit être à jour avant de faire le scan !!!  

ensuite :  

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/  

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.  
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)  

* Lance OTL  
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :  
netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%temp%\.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
CREATERESTOREPOINT 
nslookup www.google.fr /c 
SAVEMBR:0 
hklm\software\clients\startmenuinternet|command /rs 
hklm\software\clients\startmenuinternet|command /64 /rs  
* Clique sur le bouton Analyse.  
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.  
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés. 
Yes, no, maybe 
I don't know 
Can you repeat the question? 
You're not the boss of me now

Utilisateur anonyme · Answer

Pour commencer avoir "de nombreux" anti virus ne sert strictement à rien.
Si ton pc est si infecté que tu le dis tu peux lancer un reformatage.

Bon courage

Valom35 · Answer

Premier rapport :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:52:14 le 29/04/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 2 (X86) 
Administrateur@WINDOWS-CC1BBAD ( ) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.16 (fr)] ****


-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\ucbwimxs.default --
Extensions\cacaoweb@cacaoweb.org (cacaoweb)
Extensions\illimitux@illimitux.net (Illimitux)
Extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66} (?)
Extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} (Adobe DLM (powered by getPlus(R)))
Searchplugins\durable.xml (?)
Prefs.js - browser.download.lastDir, C:\Documents and Settings\Administrateur\Mes documents
Prefs.js - browser.search.defaultenginename, Durable
Prefs.js - browser.search.defaulturl, hxxp://www.durable.com/result?cx=partner-pub-7902900401080901%3Azbljezwsgul&cof=FORID%3A10&ie...
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://worldofwarcraft.judgehype.com/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16
Prefs.js - keyword.URL, hxxp://www.durable.com/result?cx=partner-pub-7902900401080901%3Azbljezwsgul&cof=FORID%3A10&ie=UTF-8&q=

========================================

**** Google Chrome Version [10.0.648.205] ****


-- C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: ) (?)
Preferences - homepage: hxxp://www.google.com
Preferences - homepage_is_newtabpage: true
Plugin - CANON iMAGE GATEWAY Album Plugin Utility (Activé: true) (L:\Easy-PhotoPrint EX\NPEZFFPI.DLL)
Plugin - "CANON iMAGE GATEWAY Album Plugin Utility" (Activé: true)

========================================

**** Internet Explorer Version [7.0.5730.13] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{2B7B7EFC-C234-4532-822B-A8D74D7EF7EB} - "Durable.com" (hxxp://www.durable.com/result?cx=partner-pub-7902900401080901%3Azbljezwsgul&cof=...)
HKCU_SearchScopes\{35065594-9169-4a34-B167-FC4865038E53} - "Barre d'outils Easy Gif Animator" (hxxp://search.easygifanimator-toolbar.com/search?p=Q&ts=ne&w={searchTerms}&csrc=...)
HKCU_Toolbar\WebBrowser|{35065594-9169-4A34-B167-FC4865038E53} (x)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 29/04/2011 14:52:16 (1577 Octet(s)) 

Fin à: 14:52:47, 29/04/2011 
 
============== E.O.F ==============

Valom35 · Answer

Deuxieme rapport:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6472

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

29/04/2011 15:02:53
mbam-log-2011-04-29 (15-02-53).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 137567
Temps écoulé: 3 minute(s), 44 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
c:\system volume information\microsoft\services.exe (Trojan.Cycler) -> 1792 -> Failed to unload process.
c:\system volume information\microsoft\smss.exe (Trojan.Cycler) -> 228 -> Failed to unload process.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\microsoft\services.exe (Trojan.Cycler) -> Quarantined and deleted successfully.
c:\system volume information\microsoft\smss.exe (Trojan.Cycler) -> Quarantined and deleted successfully.

Valom35 · Answer

Et voici le lien pour la dernière partie :
https://pjjoint.malekal.com/files.php?id=c7z10c9q12d7p5d5w12p6

Malekal_morte- · Answer

c:\system volume information\microsoft\services.exe (Trojan.Cycler) -> 1792 -> Failed to unload process.  
c:\system volume information\microsoft\smss.exe (Trojan.Cycler) -> 228 -> Failed to unload process.   

wow, il est vivant lui encore :)  

bon ces services.exe et smss.exe sont anormaux, effectivement.  
T'as un Whistler Bootkit =>  https://forum.malekal.com/viewtopic.php?t=25956&start=&hilit=bootkit#p212530  

Les AV sont à la rue pour le virer, donc HitMan Pro & compagnie, laisse tomber, tu perds ton temps.  

Vas sur le lien donné plus et utilise bootkit_remover : http://www.esagelab.com/files/bootkit_remover.rar  

Fais une capture de bootkit remover et envoie la sur pjjoint.malekal.com  
File la capture de l'image, voir ce qu'il dit du MBR.  



Yes, no, maybe  
I don't know  
Can you repeat the question?  
You're not the boss of me now

Valom35 · Answer

https://pjjoint.malekal.com/files.php?read=77b8be23ee121114

PS: Je tiens à dire qu'un fichier IEXPLORE.EXE me "bouffe" pas mal de mémoire vive aussi :)

Utilisateur anonyme · Answer

Un geek de wow qui utilise des plugin pour virer les limitations des streaming (c'est illégal !)

Valom35 · Answer

Voici le rapport ComboFix https://pjjoint.malekal.com/files.php?read=d12i15g6v13o15r15n11f12h7

Malekal_morte- · Answer

si c'est résolu, t'es censé ne plus avoir unknown boot code sur bootkit remover
et ne plus avoir de IE lancé par SYSTEM.

Sinon fais le nettoyage avec bootkit remover.

Valom35 · Answer

Ok donc ça a l'air résolu, merci beaucoup à toi :)

Malekal_morte- · Answer

Une remarque :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 219.93.178.162:3128 


Ca sent le proxy pour anonymer....
On peux récup tes identifiants de connexion sur les connexion non sécurisées
==> https://forum.malekal.com/viewtopic.php?t=15059&start=

donc c'est tout sauf une bonne idée.



~~


Fais plus attention à l'avenir....

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite    
Absolument à faire.    

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf  
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html  
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte : 
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

Valom35 · Answer

En effet on m'a volé des identifiants.
Et ce proxy est encore sur mon ordinateur ou c'est résolu ?