VIRUS RECALCITRANT... Fermé

Question

bonjour à tous,

Cela fait un moment que mon ordinateur est infecté sans que je puisse trouver la réelle cause de cela...

J'ai installé un Firewall (Kerio Sunbelt) et pourtant à chaque fois que je passe mes anti-virus et spyware je découvre qu'il ya encore des éléments qui ne s'en vont pas...

Au départ je n'avais que Ad-aware et Spybot, j'ai pris aussi AVG-AntiSpyware mais aucun de ces trois logiciels n'en vient à bout...

sur vos conseils j'ai donc passé un coup de HiJackThis dont voici le LogFile :


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\FarStone\VirtualDrive\VDTask.exe
C:\WINDOWS\vcdplayx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Messenger\Msmsgs.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Carrefour\Bureau\NETTOYAGE\LejackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3E7CE047-E60B-4FC1-A99E-C0C8018FD7F5} - C:\WINDOWS\system32xrrdrek.dll (file missing)
O2 - BHO: (no name) - {4EA5C3A9-ECC4-4829-96DD-2F5CACD01A6B} - C:\WINDOWS\system32\mllmk.dll
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32	amdscwd.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\hggdded.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [VirtualDrive] "C:\Program Files\FarStone\VirtualDrive\VDTask.exe" /AutoRestore
O4 - HKLM\..\Run: [vcdplayx] "C:\WINDOWS\vcdplayx.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [j3271935] rundll32 C:\WINDOWS\system32\j3271935.dll sook
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\psmsttgr.dll",realset
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\Msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [FFTI] C:\Documents and Settings\Carrefour\Application Data\Mozilla\Firefox\Profiles\j1zdsenr.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Documents and Settings\Carrefour\Application Data\Mozilla\Firefox\Profiles/j1zdsenr.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: hggdded - C:\WINDOWS\SYSTEM32\hggdded.dll
O20 - Winlogon Notify: mllmk - C:\WINDOWS\system32\mllmk.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\kqqcegdp.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

il ya entre autre des (file missing) bizarres qui s'ajoutent de temps en temps...

merci si vous voyez quoi faire...

Laurent.

Ghixlain · Answer

Salut, j'ai deja eu un virus qui n'etait detecte par Norton ou encore AVG, j'ai maintenant NOD32 et il detecte plusieurs problemes. www.eset.com pour un anti virus en "trial" pour 30 jours. Il pourra sans doutes t'aider. Bonne chance

TazDevil · Answer

Effectivement, il y a eu et il y a encore des cochonneries :

O2 - BHO: (no name) - {3E7CE047-E60B-4FC1-A99E-C0C8018FD7F5} - C:\WINDOWS\system32xrrdrek.dll (file missing)
O2 - BHO: (no name) - {4EA5C3A9-ECC4-4829-96DD-2F5CACD01A6B} - C:\WINDOWS\system32\mllmk.dll
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32	amdscwd.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\hggdded.dll 

O4 - HKLM\..\Run: [j3271935] rundll32 C:\WINDOWS\system32\j3271935.dll sook
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\psmsttgr.dll",realset 

O20 - Winlogon Notify: hggdded - C:\WINDOWS\SYSTEM32\hggdded.dll
O20 - Winlogon Notify: mllmk - C:\WINDOWS\system32\mllmk.dll 

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\kqqcegdp.exe (file missing) 

Un petit scan avec BlackLight pour vérifier la présence ou non d'un rootkit serait judicieux : https://www.f-secure.com/en (tu peux aussi essayer Navilog1 qui utilise justement BlackLight et possède d'autres fonctions complémentaires, voici un tutoriel sur l'utilisation de ce logiciel : http://mickael.barroux.free.fr/securite/navilog.php

Autre chose, si la ligne suivante ne disparait pas après redémarrage suite à l'installation de Skype (avec la toolbar pour FireFox), c'est que le processus d'installation déconne :

O4 - HKCU\..\RunOnce: [FFTI] C:\Documents and Settings\Carrefour\Application Data\Mozilla\Firefox\Profiles\j1zdsenr.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Documents and Settings\Carrefour\Application Data\Mozilla\Firefox\Profiles/j1zdsenr.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"

Yves · Answer

Pr eradiqué tous virus conus ou inconus utilise mcafee virus scan directeman sur leur site ces gratuit !
et pr les espions utilise plus spy sweeper qui lui et bcp plus eficaces moi je les depuis 3 ans et je n'est jamai eu de plantage grace à lui !
www.webroot.com essaye le il et gratui pandan 15 jours aprer achete la licence sur 2ans tu sera pas decu de tous ce qu'il va te trouvé comme espions croit moi !
a+

VIRUS RECALCITRANT...

3 réponses

Discussions similaires

Newsletters