Sujet Précédent Sujet Suivant

Infection win32

yanlm54 Messages postés 126 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

J'ai allumé adsl tv hier et mon pc s'est éteint. Depuis avast et spybot me trouve une infection win32 (j'ai pas eu le temps de retenir lequel?) et je pensais avoir supprimé l'infection mais aujourd'hui tout est revenu et mon pc bug.

Ci dessous le log hijackthis et malware si quelqu'un peut m'aider à déchiffrer? Merci d'avance...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:32:11, on 02/01/2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVAST Software\Avast\afwServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Juniper Networks\Common Files\dsNcService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxduserv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\lxducoms.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Lexmark 5600-6600 Series\ezprint.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Fichiers communs\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Lexmark 5600-6600 Series\lxdumon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.rpidity.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [lxdumon.exe] "C:\Program Files\Lexmark 5600-6600 Series\lxdumon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 5600-6600 Series\ezprint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] C:\Program Files\Iomega\Iomega Automatic Backup\ibackup.exe
O4 - HKLM\..\Run: [RIMBBLaunchAgent.exe] C:\Program Files\Fichiers communs\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} (JuniperSetupClientControl Class) - https://juniper.net/dana-cached/sc/JuniperSetupClient.cab
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: avast! Firewall - AVAST Software - C:\Program Files\AVAST Software\Avast\afwServ.exe
O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Program Files\Juniper Networks\Common Files\dsNcService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lxduCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxduserv.exe
O23 - Service: lxdu_device - - C:\WINDOWS\system32\lxducoms.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TeamViewer 8 (TeamViewer8) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe

22 réponses

  • 1
  • 2
Réponse 1 / 22
Utilisateur anonyme
 
salut faut supprimer avec Malwarebytes ce qu'il a détecté....

====

▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
▶ Double cliquez sur UsbFix.exe. (pour les utilisateurs de windows Vista , windows 7 , windows 8 , clique droit => executer en tant qu'administrateur"

▶ Cliquez sur Suppression.
▶ Laissez travailler l'outil.

▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
Tutoriel vidéo

1
Réponse 2 / 22
Utilisateur anonyme
 
tu avais bien supprimé la selection des elements trouvés avec Malwarebytes ?
1
Réponse 3 / 22
Utilisateur anonyme
 
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

1
Réponse 4 / 22
Utilisateur anonyme
 
relance l'outil , clique sur Diag , heberge le rapport pre_diag et donne le lien
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
Utilisateur anonyme
 
re

il bloque ? ou ca ?
1
Réponse 6 / 22
Utilisateur anonyme
 
tu avais firefox en route à ce moment-là .?
1
Réponse 7 / 22
yanlm54 Messages postés 126 Statut Membre 1
 
Bonjour,

Merci pour ton aide, j'ai l'impression que c'était cette valeur registre (supprimée ci-dessous) qui apparaissait souvent?

################## | Registre |

Supprimé! HKU\.DEFAULT\Software\Microsoft\Handle

################## | Mountpoints2 |

################## | Listing |

[24/10/2009 - 22:53:55 | D ] C:\Achats
[08/10/2009 - 17:08:55 | N | 0] C:\AUTOEXEC.BAT
[09/10/2009 - 22:47:31 | N | 221] C:\boot.ini
[10/08/2004 - 13:00:00 | N | 4952] C:\Bootfont.bin
[02/01/2013 - 19:35:03 | D ] C:\Config.Msi
[08/10/2009 - 17:08:55 | N | 0] C:\CONFIG.SYS
[08/10/2009 - 20:20:22 | D ] C:\DELL
[08/10/2009 - 20:16:40 | D ] C:\Documents and Settings
[09/10/2009 - 11:28:25 | D ] C:\drivers
[14/03/2010 - 10:53:08 | D ] C:\Forums
[08/10/2009 - 17:08:55 | N | 0] C:\IO.SYS
[31/12/2010 - 18:28:18 | N | 186] C:\logfile.dat
[23/10/2009 - 18:52:26 | D ] C:\logs
[08/10/2009 - 17:08:55 | N | 0] C:\MSDOS.SYS
[03/06/2010 - 20:01:17 | RHD ] C:\MSOCache
[10/08/2004 - 13:00:00 | N | 47564] C:\NTDETECT.COM
[13/10/2009 - 15:36:37 | N | 252240] C:\ntldr
[10/10/2009 - 21:04:50 | D ] C:\NVIDIA
[02/01/2013 - 22:07:16 | ASH | 2145386496] C:\pagefile.sys
[02/01/2013 - 19:47:44 | D ] C:\Program Files
[02/01/2013 - 22:45:10 | SHD ] C:\RECYCLER
[02/01/2013 - 13:56:50 | D ] C:\rsit
[11/12/2009 - 20:40:11 | D ] C:\spoolerlogs
[28/10/2009 - 00:32:17 | SHD ] C:\System Volume Information
[02/12/2011 - 16:37:57 | ASH | 5632] C:\Thumbs.db
[02/01/2013 - 22:45:10 | D ] C:\UsbFix
[02/01/2013 - 22:47:08 | A | 5219] C:\UsbFix.txt
[02/01/2013 - 22:07:51 | D ] C:\WINDOWS
[17/11/2012 - 20:27:13 | D ] C:\~set~gee
[27/08/2012 - 17:40:42 | DC ] D:\Afpa
[09/06/2012 - 14:30:56 | DC ] D:\Assurance
[01/12/2012 - 15:31:15 | DC ] D:\Banque
[18/08/2011 - 21:14:10 | DC ] D:\Cnam
[11/07/2010 - 17:25:57 | DC ] D:\Dossier Santé Yann
[11/11/2012 - 16:22:14 | DC ] D:\Impôts
[03/11/2012 - 15:02:16 | DC ] D:\Ma musique
[24/03/2012 - 12:51:10 | DC ] D:\Mes courriers
[06/03/2011 - 21:07:44 | DC ] D:\Mes ebook
[25/03/2010 - 19:22:27 | DC ] D:\Mes images
[11/07/2010 - 18:00:27 | DC ] D:\Mes jeux ds
[28/10/2012 - 15:26:58 | DC ] D:\Mes photos
[28/10/2012 - 14:56:38 | DC ] D:\Mes vidéos
[04/12/2011 - 11:40:54 | DC ] D:\Recettes cuisine
[02/01/2013 - 22:45:10 | SHDC ] D:\RECYCLER
[08/02/2012 - 13:38:45 | DC ] D:\Scan doc
[01/01/2013 - 20:56:18 | SHD ] D:\System Volume Information
[13/11/2011 - 14:59:48 | ASHC | 55296] D:\Thumbs.db
[04/12/2010 - 15:13:10 | DC ] D:\Tricot

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC081009DELL.zip
http://eldesaparecido.com/upload.php
Merci de votre contribution.

################## | E.O.F |
0
Réponse 8 / 22
yanlm54 Messages postés 126 Statut Membre 1
 
Oui pourtant j'ai fait supprimer ou purger après le scan mais j'ai l'impression que ça revient? Enfin j'y connais trop rien mais mon pc s'est éteint et j'ai eu un écran bleu qui disait que windows se mettait en sécurité et il y avait un compte pour le vidage de la mémoire physique...
0
Réponse 9 / 22
yanlm54 Messages postés 126 Statut Membre 1
 
Oupss je viens de lancer malware et tous les fichiers détectés étaient en quarantaine! J'ai donc tout supprimer! Il me semblait l'avoir fait pourtant...
0
Réponse 10 / 22
yanlm54 Messages postés 126 Statut Membre 1
 
Ok je fais tout ça et je reviens après. Encore merci.
0
Utilisateur anonyme
 
à te lire
0
Réponse 11 / 22
yanlm54 Messages postés 126 Statut Membre 1
 
Ci-dessous le lien demandé :

https://www.cjoint.com/?3AcxRaZaKBN
0
Réponse 12 / 22
yanlm54 Messages postés 126 Statut Membre 1
 
Diag tourne depuis hier soir et bloque avant la fin...
0
Réponse 13 / 22
yanlm54 Messages postés 126 Statut Membre 1
 
Bonjour,

Ci dessous le lien où tu trouveras une copie écran ou cela bloque...

https://www.cjoint.com/c/CAdnlE6viia

Et je l'ai lancé deux fois et deux fois il a bloqué au même endroit. Aurais-je mal fait quelque chose?
0
Réponse 14 / 22
yanlm54 Messages postés 126 Statut Membre 1
 
Peut être à un moment je ne m'en souviens pas... Suis pas certaine car au moment où ça a bloqué il n'y avait plus aucune application ouverte!
0
Réponse 15 / 22
Utilisateur anonyme
 
essaie d'en faire un en mode sans echec sans prise en charge reseau
0
Réponse 16 / 22
yanlm54 Messages postés 126 Statut Membre 1
 
Bonjour,

Excuses moi pour le délai de ma réponse. J'ai donc refait un en mode sans échec et il bloque exactement au même endroit.
J'ai passé Spybot qui a détecté de nouveau Win32.FraudLoad.edt
Je vais aller faire un tour sur le forum pour voir si quelqu'un a réussit à s'en débarrasser? Par contre j'ai remis Avast et virer Avira, je n'aurais peut être pas dû?
Encore merci pour ton aide.
0
Réponse 17 / 22
Utilisateur anonyme
 
spybot c'est de la croot en barre
0
Réponse 18 / 22
yanlm54 Messages postés 126 Statut Membre 1
 
Je viens de le désinstaller. Je vais repasser Malware et voire ce que ça me dit?
0
Réponse 19 / 22
Utilisateur anonyme
 
ok j'ai viré la lecture du fichier ou ca bloque , reteecharge pre_scan et refais diag il passera
0
Réponse 20 / 22
yanlm54 Messages postés 126 Statut Membre 1
 
Ok je recommence. Merci.
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
PUADlManager:Win32/OfferCore
tenmalade -
tenmalade -

2 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
Pb Windows 7, .EXE n'est pas app win32 valide
Witeric -
Lio -

15 réponses