[Virus] Infecté par un trojan new malware.z

Résolu
Justiceman Messages postés 12 Date d'inscription   Statut Membre -  
Justiceman Messages postés 12 Date d'inscription   Statut Membre -
Voilà, desespéré je viens chercher de l'aide sur internet et plus particulièrement dans cette communauté qui me parait plutôt active.

Il y a environ 2 semaines et demi (et oui ca fait un bail), j'ai reçu un cheval de troie sur mon ordinateur.
Je n'ai pas cessé durant deux jours de lancer des scans avec VirusScan mais en vain: il me semble que le virus "se reconstitue". Le virus est detecté dans C:\Windows\system32\drivers\ip6fw.sys et dès que je le supprime, il réapparait au bout de plusieurs heures ou dès que je redémarre mon ordinateur.

De plus, au démarrage, de temps en temps, VirusScan détecte un virus dans le dossier Temp de Local Setting.

La principale conséquence de ce virus est l'extrème lenteur de mon ordinateur. En effet, il lui faut maintenant 15 à 20 minutes avant de redevenir fluide.

Bref, I need help!!! ;).

PS: Antivirus: VirusScan
Parefeu: Parefeu Windows :D

Je n'ai aucun logiciel pour détecter les virus comme Hijackthis...

Merci bien :).
Configuration: Windows XP
Internet Explorer 6.0

21 réponses

  • 1
  • 2
  1. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    télécharge GenProc de Jean-Chretien1 et Narco4 sur ton bureau
    http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

    dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

    Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
    poste les rapports car parfois il faut ajouter des consignes à la manip pour que cela fonctionne parfaitement
    0
  2. Justiceman Messages postés 12 Date d'inscription   Statut Membre
     
    Merci de ton aide papyber.

    J'ai installé le logiciel et j'ai lancé l'opération, donc.

    Voici le rapport plus court ;):

    Aucune infection caractéristique trouvée !

    A noter, que j'avais supprimer le virus une nouvelle fois avant de faire autre chose sur mon ordinateur.
    0
  3. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    poste un rapport hijack this
    télécharge et installe le logiciel HijackThis v1.99.1
    http://pchelpbordeaux.free.fr/logiciels.html
    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html
    0
  4. Justiceman Messages postés 12 Date d'inscription   Statut Membre
     
    Voici le rapport HijackThis:

    Logfile of HijackThis v1.99.1
    Scan saved at 18:37:12, on 13/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Network

    Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common

    Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Network

    Associates\TalkBack\TBMon.exe
    C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
    C:\Program Files\Winamp\winampa.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Network Associates\Common

    Framework\FrameworkService.exe
    C:\Program Files\Network

    Associates\VirusScan\Mcshield.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Network

    Associates\VirusScan\VsTskMgr.exe
    C:\Program Files\NETGEAR\WPN111 Configuration

    Utility\wpn111.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Hijackthis Version

    Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet

    Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class -

    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

    Files\Adobe\Acrobat

    5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) -

    {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [Cmaudio] RunDll32

    cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

    C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program

    Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program

    Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program

    Files\Network Associates\VirusScan\SHSTAT.EXE"

    /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program

    Files\Network Associates\Common

    Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error

    Reporting Service] "C:\Program Files\Fichiers

    communs\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program

    Files\Java\jre1.5.0_03\bin\jusched.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program

    Files\Winamp\winampa.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE

    C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN

    Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk

    = ?
    O9 - Extra button: Messenger -

    {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

    Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger -

    {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

    Files\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Program Files\Internet

    Explorer\Plugins\NPDocBox.dll
    O18 - Protocol: livecall -

    {828030A1-22C1-4009-854F-8E305202313F} -

    C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim -

    {828030A1-22C1-4009-854F-8E305202313F} -

    C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: iPod Service - Apple Computer, Inc. -

    C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Service Framework McAfee

    (McAfeeFramework) - Network Associates, Inc. -

    C:\Program Files\Network Associates\Common

    Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield

    (McShield) - Network Associates, Inc. - C:\Program

    Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager

    (McTaskManager) - Network Associates, Inc. -

    C:\Program Files\Network

    Associates\VirusScan\VsTskMgr.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc)

    - NVIDIA Corporation -

    C:\WINDOWS\System32\nvsvc32.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    on va faire ceci
    Télécharge ComboFix (créé par sUBs) sur ton Bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Démarre en mode sans echec

    # Double clique combofix.exe.
    # Tape sur la touche Y (Yes) pour démarrer le scan.
    # Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt
    0
  7. Justiceman Messages postés 12 Date d'inscription   Statut Membre
     
    Voici le rapport de ComboFix:

    ComboFix 07-06-13.3 - C:\Documents and Settings\ROMANO\Bureau\ComboFix.exe
    "ROMANO" - 2007-06-13 21:11:02 - Service Pack 2 NTFS [SAFE MODE]

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    C:\WINDOWS\system32\0_exception.nls
    C:\WINDOWS\system32\drivers\runtime2.sys
    C:\WINDOWS\system32\ksys.sys

    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    -------\LEGACY_NDNET1
    -------\LEGACY_RUNTIME
    -------\LEGACY_RUNTIME2
    -------\NDnet1
    -------\Runtime

    ((((((((((((((((((((((((( Files Created from 2007-05-13 to 2007-06-13 )))))))))))))))))))))))))))))))

    2007-06-13 21:10 49,152 --a------ C:\WINDOWS\nircmd.exe
    2007-06-13 18:32 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
    2007-06-09 14:35 <REP> d-------- C:\WINDOWS\system32\SoftwareDistribution
    2007-05-28 19:00 <REP> d-------- C:\QUARANTINE
    2007-05-25 22:40 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
    2007-05-25 22:40 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll
    2007-05-25 22:40 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll
    2007-05-25 21:41 <REP> d-------- C:\SAVE
    2007-05-25 21:21 <REP> d-------- C:\Sierra
    2007-05-17 20:14 <REP> d-------- C:\Program Files\directx

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-06-13 07:37:12 -------- d-----w C:\Program Files\Hijackthis Version Française
    2007-05-23 21:49:57 48,616 ----a-w C:\WINDOWS\system32\perfc00C.dat
    2007-05-23 21:49:57 367,658 ----a-w C:\WINDOWS\system32\perfh00C.dat
    2007-05-17 06:55:51 -------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-04-29 01:18:18 -------- d-----w C:\Program Files\Microsoft Games
    2007-04-14 00:29:15 -------- d-----w C:\Program Files\OpenOffice.org 2.0
    2007-04-12 02:41:38 1,036 ----a-w C:\WINDOWS\eReg.dat

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-03-02 12:02]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Cmaudio"="cmicnfg.cpl" []
    "SoundMan"="SOUNDMAN.EXE" [2005-02-23 21:13 C:\WINDOWS\SOUNDMAN.EXE]
    "nwiz"="nwiz.exe" [2003-11-17 13:33 C:\WINDOWS\system32\nwiz.exe]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 18:58]
    "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-10-30 09:36]
    "ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 20:00]
    "McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50]
    "Network Associates Error Reporting Service"="C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 03:48]
    "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-02-14 05:29]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" []
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:54]

    Contents of the 'Scheduled Tasks' folder
    2007-03-28 22:29:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

    **************************************************************************

    catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-06-13 21:13:48
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-06-13 21:14:42 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-06-13 21:14

    --- E O F ---
    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    C:\WINDOWS\system32\0_exception.nls
    C:\WINDOWS\system32\drivers\runtime2.sys
    C:\WINDOWS\system32\ksys.sys

    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    -------\LEGACY_NDNET1
    -------\LEGACY_RUNTIME
    -------\LEGACY_RUNTIME2
    -------\NDnet1
    -------\Runtime

    ((((((((((((((((((((((((( Files Created from 2007-05-13 to 2007-06-13 )))))))))))))))))))))))))))))))

    No new files created in this timespan

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-06-13 07:37:12 -------- d-----w C:\Program Files\Hijackthis Version Française
    2007-05-23 21:49:57 48,616 ----a-w C:\WINDOWS\system32\perfc00C.dat
    2007-05-23 21:49:57 367,658 ----a-w C:\WINDOWS\system32\perfh00C.dat
    2007-05-17 06:55:51 -------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-04-29 01:18:18 -------- d-----w C:\Program Files\Microsoft Games
    2007-04-14 00:29:15 -------- d-----w C:\Program Files\OpenOffice.org 2.0
    2007-04-12 02:41:38 1,036 ----a-w C:\WINDOWS\eReg.dat

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [02/03/2001 12:02]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Cmaudio"="cmicnfg.cpl" []
    "SoundMan"="SOUNDMAN.EXE" [23/02/2005 21:13 C:\WINDOWS\SOUNDMAN.EXE]
    "nwiz"="nwiz.exe" [17/11/2003 13:33 C:\WINDOWS\system32\nwiz.exe]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [25/10/2006 18:58]
    "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [30/10/2006 09:36]
    "ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [22/09/2004 20:00]
    "McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [06/08/2004 03:50]
    "Network Associates Error Reporting Service"="C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [07/10/2003 09:48]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe" [13/04/2005 03:48]
    "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [14/02/2007 05:29]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" []
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [19/01/2007 12:54]

    Contents of the 'Scheduled Tasks' folder
    2007-03-28 22:29:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

    **************************************************************************

    catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-06-13 21:14:44
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    **************************************************************************

    Completion time: 13/06/2007 21:15:02 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 13/06/2007 21:15

    --- E O F ---

    Au fait, encore merci pour l'aide que vous m'apportez :).
    0
  8. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    de rien,
    remet moi un rapport hijack this
    as tu encore des alertes?
    0
  9. Justiceman Messages postés 12 Date d'inscription   Statut Membre
     
    Voici le rapport HikackThis:

    Logfile of HijackThis v1.99.1
    Scan saved at 07:41:52, on 14/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
    C:\Program Files\Winamp\winampa.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\Program Files\NETGEAR\WPN111 Configuration Utility\wpn111.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = ?
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    C'est impressionant! Mon ordi ne rame plus! Ca me semble être un bon signe. Je vais de ce pas voir si il y a encore un virus sur le fichier ip6fw.

    Je viens d'aller voir. Et surprise! Plus de virus sur le fichier. Le problème me semble résolu. J'attends néanmoins votre expertise sur le dernier rapport HijackThis.

    Merci pour tout. Je commencais à desespérer ;).

    PS: J'ai vu en surfant sur les autres sujets de ce forum que vous aviez donné à un utilisateur après avoir résolu son problème, le lien vers une sorte d'antivirus ou CCleaner avant d'éteindre l'ordi et d'un autre logiciel à lancer une fois par semaine au moins.

    Je pourrais avoir les liens, svp?

    Merci encore. Ca fait plaisir de voir qu'il existe des personne qui lutte contre les "hackers" :).
    0
  10. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    je pense que cette fois c'est bon

    faire un scan antivirus en ligne avec internet explorer et accepter l'activex
    poster le rapport ici ensuite
    https://www.bitdefender.fr/

    En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur I agree
    La fenêtre change encore, clique sur Click here to scan
    Les signatures se chargent, etc.

    tuto en image
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm

    si tout va bien supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais
    conserve néanmoins ccleaner et effectue le nettoyage tous les jours avant de couper le PC
    si tu ne l'as pas
    Télécharge : - CCleaner
    https://www.pcastuces.com/logitheque/ccleaner.htm
    ("Download Latest Version", sur la droite).
    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
    AVG Antispyware
    https://www.avg.com/en-ww/free-antivirus-download

    mode d'utilisation :
    Lance AVG Anti-Spyware, mets le à jour,
    Clique sur le bouton « Analyse »
    Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
    Retour à l'onglet Analyse.
    Clique sur Analyse complète du système.
    A la fin du scan, choisis " Appliquer toutes les actions "
    Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    tu peux le coupler avec celui-ci
    spybot search and destroy
    https://www.safer-networking.org/?page=download

    défragmente

    pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

    https://forum.pcastuces.com/default.asp

    désactive ta restauration
    clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
    redémarre ton PC
    clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer
    démarrer/tous les programmes/ outils système/ restauration du système/ créer un point de restauration

    la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...

    et bon surf
    0
  11. Justiceman Messages postés 12 Date d'inscription   Statut Membre
     
    Bitdefender a découvert trois petits problèmes dans le dossier system volume information.

    voici le lien du scan: file:///C:/Documents%20and%20Settings/ROMANO/Mes%20documents/Mes%20images/analyse%20trojan.html

    Merci pour les liens. Le problème est définitivement réglé?

    Au fait, comme conseillé sur un sujet de ce forum j'ai installé CleanUp, A-squared free et Ad-aware SE personal. Est -ce utile?

    Pour le pare-feu, je pense qu'il y a mieux que celui de Windows mais que choisir en Zone Alarm et Kerio?

    Voili voilou...
    0
  12. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    ils sont dans ta restauration système donc en faisant ceci tu vas les supprimer
    désactive ta restauration
    clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
    redémarre ton PC
    clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer
    démarrer/tous les programmes/ outils système/ restauration du système/ créer un point de restauration

    Au fait, comme conseillé sur un sujet de ce forum j'ai installé CleanUp, A-squared free et Ad-aware SE personal. Est -ce utile?
    
    Pour le pare-feu, je pense qu'il y a mieux que celui de Windows mais que choisir en Zone Alarm et Kerio?

    perso j'ai ccleaner pour le nettoyage
    spybot
    avg antispyware et spywareblaster pour les anti spyware et anti trojans
    Zone alarme comme pare feu
    mais c'est mon choix, le tien n'est pas mauvais non plus

    lis bien le ,ien sur la sécurité que je t'ai fourni, il regorge d'informations...
    pour ton problème, si tu n'as plus de suocis, c'est réglé!!!
    0
  13. Justiceman Messages postés 12 Date d'inscription   Statut Membre
     
    Eh bien, merci mille fois! xD.

    Quelques petites questions de fin de parcours pour ma simple curiosité:

    Les trois derniers trojans dans la restauration système était là pour m'empécher de lancer une restauration système? A un moment, avant de découvrir ce site, c'est ce que j'allais faire.

    Et le point de restauration, c'est bien une sorte de sauvegarde de mes données de façon à pour repartir de ce point si jamais j'ai un gros problème un jour avec mon ordi?

    Voili voilou. Coté protection, j'suis blindé ;): CleanUp, CCleaner, Ad-aware, a-squared, spybot search and destuction, et AVG anti-spyware. Je dispose toujours de mon antivirus VirusScan et pour le pare-feu j'attend un jour ou je serai chez moi pour le télécharger (près de 3H de téléchargement).

    Encore merci pour tout. Bonne chance pour la suite!

    Je poste en problème résolu:

    La solution: Il me semble qu'un fichier runtime était "déguisé" dans mon dossier drivers et que c'était lui la cause de tous les problèmes. J'ai suivi les instruction de Papyber et nous avons anéantin la menace grâce aux rapports HijackThis, à Combofix, au scan online de BitDefender et à une désactivation de restauration système. Papyber m'a semblé quelqu'un de très compétent, qui a su m'expliquer la démarche très simplement. Merci :).

    Ca fait un peu inspecteur ce rapport :P.

    Bon surf à tous!!!
    0
  14. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Les trois derniers trojans dans la restauration système était là pour m'empécher de lancer une restauration système? A un moment, avant de découvrir ce site, c'est ce que j'allais faire.

    non ils étaient là car windows effectue régulièrement des sauvegardes de ton système dans ce qu'il appelle "restauration système"
    c'est très pratique: si un jour tu fais une fausse manip, tu peux ainsi revenir en arrière, mais si le système est infecté, la restauration, automatiquement, l'est par contre coup...si tu ne t'en sers pas, les virus resteront là sans danger, mais si tu t'en sers, tu te réinfectes...voilà pourquoi je te demande de recréer un point de restauration sain...
    par contre, si tu avais désactivé ta restauration, les points infectés auraient disparu, c'est un fait, mais imagine que la désinfection pose un grave problème, tu ne pouvais plus revenir en arrière...c'est pourquoi je préfère demander de faire ces manips avec la restauration système en fin de nettoyage quant tout est propre et que tout fonctionne parfaitement

    Et le point de restauration, c'est bien une sorte de sauvegarde de mes données de façon à pour repartir de ce point si jamais j'ai un gros problème un jour avec mon ordi? 

    c'est très exactement cela
    bon surf
    0
  15. Justiceman Messages postés 12 Date d'inscription   Statut Membre
     
    Merci bien.

    Bon surf à toi aussi ;)!
    0
  16. Justiceman Messages postés 12 Date d'inscription   Statut Membre
     
    Toute compte fait, le problème n'est peut-être pas entièrement résolu :/:

    Je lance AVG anti-spyware et 6 virus ou trojan trouvés. 5 avec niveau d'alerte moyen et un rootkit (élevé). Tous ont été supprimé mais n'est-ce pas bizarre qu'ils n'aient pas été découverts par BitDefender et HijackThis?

    J'installe dès maintenant le pare-feu Zone Alarm.
    0
  17. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    poste moi le rapport obtenu avec AVG stp et un rapport hijack this
    0
  18. Justiceman Messages postés 12 Date d'inscription   Statut Membre
     
    Voici le rapport AVG:

    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 15:26:41 15/06/2007

    + Résultat de l'analyse:

    C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\runtime2.sys.vir -> Rootkit.Agent.ey : Nettoyé.
    C:\Documents and Settings\ROMANO\Cookies\romano@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
    :mozilla.15:C:\Documents and Settings\ROMANO\Application Data\Mozilla\Firefox\Profiles\5mfefona.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
    C:\Documents and Settings\ROMANO\Cookies\romano@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
    C:\Documents and Settings\ROMANO\Cookies\romano@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
    C:\Documents and Settings\ROMANO\Cookies\romano@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.

    Fin du rapport

    et voici le rapporte HijackThis:

    Logfile of HijackThis v1.99.1
    Scan saved at 19:15:46, on 15/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\NETGEAR\WPN111 Configuration Utility\wpn111.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = ?
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    C'est un gros problèmes? J'ai l'impression que runtime2 existe toujours :/.
    0
  19. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    ouf!!!!!!!!!!!!!!!!!!!j'avais eu peur!!!!!!!!!!!!

    non le rootkit est dans la quarantaine de combofix!!!!!
    le reste ce sont des cookies que tu supprimes facilement avec ccleaner

    fais ceci
    supprime Combofix si tu ne l'as pas fait
    C:\Documents and Settings\ROMANO\Bureau\ComboFix.exe

    ensuite recherche et supprime la quarantaine de Combofix
    C:\QooBox

    vide ta corbeille
    passe ccleaner nettoyeur puis erreur et supprime tout ce qu'il trouve

    bon surf!!!!!!
    0
  20. Justiceman Messages postés 12 Date d'inscription   Statut Membre
     
    Pourquoi t'as eu peur? :P

    Voilà, j'ai tout néttoyé :)

    Mici!
    0
  21. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    ben oui!!!j'étais sur que tout était propre et tu m'annonces un rootkit!!! j'ai cru l'avoir "loupé"!! mais tout est bien qui finit bien
    bonne journée
    0
  • 1
  • 2