[Virus]introuvable

Résolu
pierrot88 Messages postés 11 Statut Membre -  
pierrot88 Messages postés 11 Statut Membre -
Bonjour,j'ai fait un scan de mon pc récemment et mon antivirus a détecté un trojan(pigsearch).Depuis que je l'ai supprimé mon antivirus ne détecte plus rien mais mon pc rame toujours et je constate des modification dans certaines configurations de mes programmes.Sur ce lien se trouve un imprim écran de mon gestionnaire des tâches:http://cjoint.com/data/chutjGznO3.htm Merci de bien vouloir jetter un oeil pour me dire s'il n'y a aucune tâches douteuses de lançées.Je remercie d'avance ceux qui répondront à mon post.Bonne soirée a tous
Configuration: Windows XP
Firefox 1.5.0.9

10 réponses

  1. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir,

    télécharge HijackThis:

    http://pchelpbordeaux.free.fr/logiciels.html

    Tutorial:

    http://pchelpbordeaux.free.fr/tuto.html

    Démo en image:

    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Fais un scan et poste l'analyse.

    a+
    0
    1. pierrot88 Messages postés 11 Statut Membre
       
      Merci pour ton aide détaillée;sa fait plaisir quand c'est bien expliqué ;).Voici mon log en attente de ton diagnostic merci d'avance:http://cjoint.com/data/chvTzbpnCP.htm
      0
  2. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    poste le rapport ici sans passer par cjoint!

    a+
    0
    1. pierrot88 Messages postés 11 Statut Membre
       
      comment poster le rapport sur place dsl je suis un débutant dans l'utilisation des forums.
      0
  3. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    je t'ai mis le lien!

    regarde ici:

    http://pageperso.aol.fr/balltrap34/demohijack.htm

    a+
    0
    1. pierrot88 Messages postés 11 Statut Membre
       
      re
      Logfile of HijackThis v1.99.1
      Scan saved at 21:40:24, on 07/02/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\ATKKBService.exe
      C:\WINDOWS\System32\GEARSec.exe
      C:\Program Files\Eset\nod32krn.exe
      C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
      C:\Program Files\Eset\nod32kui.exe
      C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\WINDOWS\system32\WgaTray.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\Program Files\MSN Messenger\usnsvc.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O1 - Hosts: 82.235.3.134 L2authd.lineage2.com # redirection vers 82.235.3.134
      O1 - Hosts: 82.235.3.134 L2testauthd.lineage2.com # redirection vers 82.235.3.134
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
      O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O17 - HKLM\System\CCS\Services\Tcpip\..\{7C25D7CA-6000-40B8-A890-FA19CD5C1E65}: NameServer = 80.10.246.2,80.10.246.129
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - AppInit_DLLs: MsgPlusLoader.dll
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
      O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
      O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
      O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

      Désolé je n'ai même pas pensé au copier-coller mdr.
      merci @+
      0
  4. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    Télécharge clean.zip

    http://www2.malekal.com/download/clean.zip

    Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
    Ouvre le dossier Clean qui se trouve sur ton bureau.
    Double-clic sur clean.cmd.
    Une fenêtre noire va apparaître, choisis l'option 1.

    Poste le rapport qui se trouve ici C:\rapport_clean.txt

    a+
    0
    1. pierrot88 Messages postés 11 Statut Membre
       
      Merci,le rapport:
      Rapport clean par Malekal_morte - http://www.malekal.com
      Option 1, executee le 08/02/2007 a 7:43:28,48

      *** Recherche de fichiers sur C:
      C:\unwise.exe FOUND

      *** Recherche des fichiers dans C:\WINDOWS\

      *** Recherche des fichiers dans C:\WINDOWS\system32

      *** Fin du rapport !
      @+
      0
    2. pierrot88 Messages postés 11 Statut Membre
       
      Au passage explique moi aussi stp pourquoi ton programme a été identifié en tant que riskware par mon antivirus?
      0
    3. pierrot88 Messages postés 11 Statut Membre
       
      Y a t'il quelqu'un sur ce forum pour m'aider??
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir,

    1) relance cleanzip,

    Choisis cette fois l'option 2!

    Poste le rapport ensuite

    2) Télécharge Hoster

    http://www.funkytoad.com/download/hoster.zip

    Ensuite, tu le dézippes sur ton bureau.

    Lance Hoster - Toadbee et clique sur " Restore original Hosts"

    3) poste un nouvel hijackthis ensuite!

    a+
    0
  7. pierrot88 Messages postés 11 Statut Membre
     
    re,
    Script execute en mode normal
    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 2, executee le 08/02/2007 a 20:18:00,01

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression de fichiers sur C:

    Logfile of HijackThis v1.99.1
    Scan saved at 20:29:35, on 08/02/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ATKKBService.exe
    C:\WINDOWS\System32\GEARSec.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
    O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7C25D7CA-6000-40B8-A890-FA19CD5C1E65}: NameServer = 80.10.246.2,80.10.246.129
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    voila le tout @++merci
    0
  8. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    le rapport est propre!

    on continue le nettoyage!

    Télécharge AVG Anti-Spyware:

    https://www.avg.com/en-ww/free-antivirus-download

    Tu l'installes.
    Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

    Lance AVG Anti-Spyware
    Clique sur le bouton Analyse (de la barre d'outils)
    Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
    A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
    Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    poste le rapport AVG!

    a+
    0
    1. pierrot88 Messages postés 11 Statut Membre
       
      re,
      ---------------------------------------------------------
      AVG Anti-Spyware - Rapport d'analyse
      ---------------------------------------------------------

      + Créé à: 21:52:44 08/02/2007

      + Résultat de l'analyse:



      E:\temp\validation micro$oft\1 - windowsxpservicepack2activationcrack\KeyGen.exe -> Backdoor.Tagent.e : Nettoyé et sauvegardé (mise en quarantaine).
      C:\Documents and Settings\Pierre\Cookies\pierre@microsoftwga.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
      F:\Documents and Settings\Alain\Cookies\alain@microsoftwga.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
      F:\Documents and Settings\Alain\Cookies\alain@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
      C:\Documents and Settings\Pierre\Cookies\pierre@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
      C:\Documents and Settings\Pierre\Cookies\pierre@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
      F:\Documents and Settings\Alain\Cookies\alain@casalemedia[2].txt -> TrackingCookie.Casalemedia : Nettoyé.
      F:\Documents and Settings\Alain\Cookies\alain@com[1].txt -> TrackingCookie.Com : Nettoyé.
      C:\Documents and Settings\Pierre\Cookies\pierre@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
      F:\Documents and Settings\Alain\Cookies\alain@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
      C:\Documents and Settings\Pierre\Cookies\pierre@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
      C:\Documents and Settings\Pierre\Cookies\pierre@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Nettoyé.
      C:\Documents and Settings\Pierre\Cookies\pierre@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
      F:\Documents and Settings\Alain\Cookies\alain@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyé.
      C:\Documents and Settings\Pierre\Cookies\pierre@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.


      Fin du rapport

      voilà merci c'est gentil @+
      0
  9. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    AVG a supprimé les fichiers infectés!

    Comment se comporte le pc?

    a+
    0
  10. pierrot88 Messages postés 11 Statut Membre
     
    Apparement sa marche bien j'espère que je n'aurai plus de changement dans les configs de mes programmes.Est que je peux garder en même temps avg et nod32??merci @+
    0
  11. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    oui sans problème, ils sont complémentaires!

    indique ton sujet comme résolu si tout va bien!

    a+
    0
    1. pierrot88 Messages postés 11 Statut Membre
       
      Merci,j'ai indiqué mon sujet comme résolu j'ai enfin l'impression que mon pc est en sécurité grâce à toi bonne continuation @++ sur le forum
      0