[trojan] Intcodec, virus ds la barr des tache

ludo80 -  
Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour à tous

Depuis quelques temps, j'ai une application qui s'ouvre et se referme aussi vite dans ma barre des taches à interval régulier (5-10min).
kaspersky ne trouve rien
j'ai ensuite utilisé ad aware et d'autre anti spyware qui m'ont permis de nettoyer ma machine mais le probleme existe toujours
j'ai aussi fais une analyse par Panda Activescan qui m'a trouvé IntCodec
est ce que ca un rapport ??!!!

Merci à l'avance.
ludo80

voici un log Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 15:05:41, on 07/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
C:\Program Files\PRISMSVR.EXE
C:\WINDOWS\vsnpstd.exe
C:\Program Files\Trust\MI-4500X WIRELESS OPTICAL MOUSE\Mouse32a.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Program Files\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Trust\MI-4500X WIRELESS OPTICAL MOUSE\Mouse32a.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "D:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SexyDesktops] "D:\Program Files\Sexy Desktops\Sexy Desktops.exe" /hidden
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/1429417886618669ce05/netzip/RdxIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Seekmo/ie/bridge-c9.cab?a766ad8e36bb34bb3129c7e2d...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

et un log Active Scan

Incident Statut Analyse

Adware:adware/ist.istbar No Désinfecté c:\program files\fichiers communs\Totem Shared
Adware:adware/intcodec No Désinfecté Registre Windows
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt[.tradedoubler.com/]
Outil indésirable:Application/Zango No Désinfecté C:\Program Files\Mozilla Firefox\plugins\npclntax.dll

14 réponses

  1. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    il y a rien de special ...

    installe un parfeu !

    et fais le 1/ et 2/ de ce lien stp :

    virus methode preliminaire de desinfection version fr

    ++
    0
    1. ludo80
       
      voila les deux rapports
      il vaut mieux prendre koi comme parefeu?
      merci


      ---------------------------------------------------------
      ewido anti-spyware - Scan Report
      ---------------------------------------------------------

      + Created at: 18:48:23 07/09/2006

      + Scan result:



      :mozilla.10:C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.
      :mozilla.9:C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.
      :mozilla.26:C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt -> TrackingCookie.Bluestreak : Cleaned.
      :mozilla.8:C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned.
      :mozilla.25:C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt -> TrackingCookie.Mediaplex : Cleaned.
      :mozilla.22:C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.
      :mozilla.23:C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.
      :mozilla.24:C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.


      ::Report end

      BitDefender Online Scanner - Real Time Virus Report




      Generated at: Thu, Sep 07, 2006 - 19:53:22





      Scan Info



      Scanned Files


      402853

      Infected Files


      0




      Virus Detected



      No virus found.


      This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.
      0
  2. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    re

    fais ton choix ici ( ils sont tous bien ! )

    securite proteger un ordinateur contre les malwares d internet

    où en sont tes soucis ???

    +++
    0
    1. ludo80
       
      g toujours cette application qui se manifeste ds la barre des taches et qui se referme dans la seconde
      0
    2. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
       
      slt ,

      Quelle genre d'application ?
      Faudrait être un peu + précis ..;-)
      Il y a un icone ou autre ?

      A+
      0
      1. ludo80 > Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention  
         
        salut Seb

        c'est a la fois simple et compliqué à expliqué (désolé)
        quand tu ouvre n'importe quelle application tuas un "rappel" dans la barre des taches , moi c juste ce "rappel" qui s'ouvre et se ferme
        l'icone est pour moi le symbole de la fenetre windows ( un rectagle blanc aves un ligne bleu sur le haut) et l'application n'a pas de nom.

        voila ce que je peux dire de plus

        merci de ton aide
        0
  3. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Scanne ton PC avec Ad-aware et ensuite Spybot mets les à jour avant de les lancer et vire tout ce qu'il te trouve.

    1/ Ad-Aware (gratuit)
    Téléchargement :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
    Le patch en Français pour Ad-Aware (gratuit) :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
    Tuto :
    http://perso.orange.fr/entraide-hijackthis/AdAware/AdAware.htm

    2/ Spybot (gratuit) :
    voir demo d utilisation (merci Balltrap)
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
    Téléchargement :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html

    ***********************************

    Ensuite nettoie ton registre avec ceci :

    jv16

    (ancienne version gratuite) https://puntocr.it/index.php?module=downloads_riz&func=display&pid=3&lid=26
    Lance le, va dans preference, language, et met french.

    là tu le lances tu cliques sur outil registre/outil/nettoyeur de registre/continuer /démarrer
    là tu le laisses faire c’est un peu long
    quand il a fini
    tu sélectionnes les ronds verts par paquet de 20 ou 30
    une fois que tu les a sélectionnés tu cliques sur supprimer en bas à droite
    et tu continues jusqu’à ce qu’il ne reste plus de ronds verts

    Tiens nous au courant.

    A+
    0
  4. ludo80
     
    bonjour

    voila j'ai fais ce qui était demandé
    adaware
    spybot
    et il n'y a plus de rond verts

    j'attend de voir si cette application se relance
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ludo80
     
    aussi tot dit aussi tot fait
    l'application est réapparue :(
    0
  7. ludo80
     
    Les point rouge c'est quoi?
    ils ne m'avais pas l'air tous très sein
    0
  8. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    les point rouge sont à virer si vraiment tu es sur de toi et que c'est une clé de registre que tu ne te sers pas ou que tu e connais pas ...Je serais toi PAS TOUCHE !

    ************************************************

    Pour vérif :

    Télécharge Blacklight (de F-Secure) a l’une des 2 adresses :
    https://www.f-secure.com/en

    et sauvegarde le sur ton Bureau.

    Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport STP.

    ***********************************************

    Avec quel log as tu scanner là ? :

    et un log Active Scan

    Incident Statut Analyse

    Adware:adware/ist.istbar No Désinfecté c:\program files\fichiers communs\Totem Shared
    Adware:adware/intcodec No Désinfecté Registre Windows
    Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt[.xiti.com/]
    Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt[.weborama.fr/]
    Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt[.doubleclick.net/]
    Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Ludo\Application Data\Mozilla\Firefox\Profiles\8rx22oq8.default\cookies.txt[.tradedoubler.com/]
    Outil indésirable:Application/Zango No Désinfecté C:\Program Files\Mozilla Firefox\plugins\npclntax.dll


    Il faudrait que tu le refasses en supprimant tout ce qu'il te trouve.

    A+

    0
  9. ludo80
     
    voila le log

    09/08/06 11:13:11 [Info]: BlackLight Engine 1.0.46 initialized
    09/08/06 11:13:11 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    09/08/06 11:13:11 [Note]: 7019 4
    09/08/06 11:13:11 [Note]: 7005 0
    09/08/06 11:13:35 [Note]: 7006 0
    09/08/06 11:13:35 [Note]: 7011 1760
    09/08/06 11:13:35 [Note]: 7026 0
    09/08/06 11:13:35 [Note]: 7026 0
    09/08/06 11:13:35 [Note]: 7015 132
    09/08/06 11:13:35 [Note]: 7015 5
    09/08/06 11:13:35 [Note]: 7015 928
    09/08/06 11:13:35 [Note]: 7015 5
    09/08/06 11:13:42 [Note]: FSRAW library version 1.7.1019
    09/08/06 11:15:34 [Note]: 7007 0

    le log active scan a été fait ac Panda
    0
  10. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Tu as Kaspersky comme antivirus d'installé sur ta bécane ?

    Scanne ton PC avec cet antivirus en ligne (sous IE, accepte l'activX):
    http://www.bitdefender.fr/bd/site/search.php#
    Clique sur « Bitdefender scan on line » suis les instructions.

    Et colle le rapport.

    A+
    0
  11. ludo80
     
    oui j'ai kaspersky à jour

    je lance bit defender

    a tt de suite
    0
    1. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
       
      A+

      Je dois m'absenter je ne serai là qu'en soirée.
      0
  12. ludo80
     
    ok pas de probleme

    voici le rapport de bitdefender

    BitDefender Online Scanner - Real Time Virus Report

    Generated at: Fri, Sep 08, 2006 - 13:44:10

    Scan Info

    Scanned Files

    736166

    Infected Files

    2

    Virus Detected

    Backdoor.Agobot.3.DI

    1

    Win32.Bagle.GP@mm

    1

    This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.
    0
  13. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Ou en sont tes probs ?

    télécharges smitfraudfix :

    En image :
    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    tu le décompresses tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
    cela vas générer un rapport.
    Si tu vois des lignes avec PRESENT! Continue la manip qui suit.

    Redémarres le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le mode sans échec)

    - Ouvre le dossier "SmitfraudFix" et double clic sur "Smitfraudfix.cmd", choisit l’option 2 et tu réponds oui à tout.

    Copie/colle le rapport sur le forum stp.

    A+
    0
  14. ludo80
     
    bonjour

    apparement le probleme est résoulu : A vérifier dans le temps

    voici le rapport.

    SmitFraudFix v2.84

    Rapport fait à 10:02:53,05, 09/09/2006
    Executé à partir de C:\Documents and Settings\Ludo\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    en tou cas si le probleme est résolu je remercie tous ceux qui y ont participé

    ludo80
    0
  15. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    ok!

    Tu peux refaire un scan avec Panda ? STP et virer tout ce qu'il trouve (s'il en trouve) et me coller le rapport.

    A+
    0