01net    Web


Actuellement en ligne : 176 Utilisateurs dont 26 dans Questions techniques diverses >S'inscrire      >S'identifier      >Recherche      >Aide  
modéré par fml, tekways, herisson41, marsupilaminett'  
Micro Hebdo > Forum de Micro Hebdo > Questions techniques diverses > Sécurité
> infecté par virus backdoor [RESOLU]
Aller à :
Auteur
Message
 
<     1       >
hellokitty5615
  
   
  Posté le 30/01/2010 09:21:34       ?   @    
Voter pour ce message
:hello:

Alors voilà le soucis, suis sous VISTA premium familial et AVIRA a mis en quarantaine après analyse le virus BACKDOOR hier mais ce matin dans la quarantaine d'AVIRA, il n'y est plus.
Comme ce virus s'est installé dans la partition système (plutôt très dangereux ce virus), une aide serait bienvenue! merci
-->Message édité par hellokitty5615 le 05/02/2010 09:21:01<--
hellokitty5615
  
   
  Posté le 01/02/2010 12:50:03       ?   @    
Voter pour ce message
:hello:

pourrais je avoir votre aide svp?
Jypalou
  Héron,héron petit,pas tapon
  :-)
  H / F :  H
  Posté le 01/02/2010 13:57:32       ?   @    
Voter pour ce message
:hello: Bonjour,fait ceci
[:azerty39:1] Télécharge et fait un scan avec Malwarebytes' Antimalware < inclued picture >

[:herblinois:1] [:herblinois:1] Téléchargement et Tuto < inclued picture >


[:fml:8] Ne pas télécharger MBAM ailleurs que sur le site de l'éditeur [:fml:8]

[:onimura:4] Faire la mise a jour

[:jami:1] Il est préférable de faire le scan en mode sans échec


[:onimura:4] Choisi, [:herblinois:1] [:herblinois:1] Exécuter un examen complet

[:onimura:4] Attends la fin du scan

[:fml:8] Si une infection est trouvée, [:dj QUIOU:5] coche la case a coté et valides avec l’Onglet [:herblinois:1] [:herblinois:1] < inclued picture >

[:fml:8] Il est conseillé de désactiver Tea-Timer si tu as Spybot-S&D juste le temps du scan. [:fml:8]

Pour désactiver le Tea-Timer. Lancez Spybot-S&D, passez en Mode Avancé via le Menu Mode (en haut) [:herblinois:1] cliquez sur Oui [:herblinois:1] choisissez Outils dans la barre de navigation sur la gauche [:herblinois:1] Résident et là vous pouvez décocher les cases situées devant les deux outils.

< inclued picture >

[:onimura:4] Poste le rapport

Puis ceci:
[:azerty39:1] Télécharge,et poste un rapport HijackThis < inclued picture > [:herblinois:1] [:herblinois:1] [:herblinois:1] Tuto et Téléchargement < inclued picture >

A+ :salut:
-------
[:Lilou46:1]
Il vaut mieux aller plus loin avec quelqu'un que nulle part avec tout le monde
hellokitty5615
  
   
  Posté le 01/02/2010 16:02:58       ?   @    
Voter pour ce message
:hello:

Merci de votre réponse. Alors voilà PANDA online me trouve des cookies (pas grave), mais aussi un trojan (gravité moyenne) : vous poste le rapport (1) , mais quand je lance malewarebytes, il ne trouve rien et donc ne désinfecte rien je suppose... Enfin je vous poste le rapport hijackthis (2)

rapport PANDA online :

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-02-01 14:50:59
PROTECTIONS: 1
MALWARE: 14
SUSPECTS: 4
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
AntiVir Desktop Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\nathalie\appdata\local\temp\low\cookies\nathalie@atdmt[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\administrateur\appdata\roaming\microsoft\windows\cookies\administrateur@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\nathalie@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@atdmt[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No c:\users\administrateur\appdata\roaming\microsoft\windows\cookies\administrateur@tradedoubler[1].txt
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@247realmedia[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@xiti[2].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@xiti[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@ad.yieldmanager[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@weborama[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@weborama[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@adtech[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@adtech[2].txt
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@server.iad.liveperson[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\users\administrateur\appdata\roaming\microsoft\windows\cookies\administrateur@advertising[1].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No c:\users\administrateur\appdata\roaming\microsoft\windows\cookies\administrateur@atwola[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\users\administrateur\appdata\roaming\microsoft\windows\cookies\administrateur@smartadserver[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@smartadserver[2].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@smartadserver[3].txt
00309864 W32/Puce.G.worm Virus/Worm No 0 No No k:\my music\albums\deja graves\black eyed peas - the end (2010).rar[setup.exe]
03509749 Trj/Spy.YK Virus/Trojan No 0 No No k:\my games\ds\la fee clochette\( 2008) la fee clochette la pierre de lune nds.rar[install.exe][install.exe][install.exe]
03509749 Trj/Spy.YK Virus/Trojan No 0 No No k:\my games\ds\asterix ils sont fous ses romains\( 2008 ) asterix ils sont fous ces romains nds .rar[crack\patch.exe]
03509749 Trj/Spy.YK Virus/Trojan No 0 No No k:\my games\ds\kung fu panda\(2009 portable) jeux kung fu panda, guerriers légendaires nds.zip[setup.exe][setup.exe][install.exe]
04167972 Trj/Downloader.MDW Virus/Trojan No 1 No No k:\my games\ds\la fee clochette\jeu fee clochette nds multilanguage.rar[setup.exe]
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
No c:\program files (x86)\easybits for kids\ezimportfiles.exe
No k:\logiciels video\codecs\pack de codec\koepixvid\xvid-dec-1.0-beta3.exe
No k:\my games\ds\la fee clochette\( 2008) la fee clochette la pierre de lune nds.rar[install.exe][install.exe][setup_00.exe]
No k:\my games\ds\la fee clochette\( 2008) la fee clochette la pierre de lune nds.rar[install.exe][install.exe][setup_00.exe][setup_00.exe][netpumperinstaller.exe]
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================


RAPPORT HIJACKTHIS :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:59:06, on 01/02/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe
C:\Windows\SysWow64\Macromed\Flash\FlashUtil10d.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c(...)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.gdark.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.gdark.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://neufportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c(...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.gdark.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.gdark.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fr.gdark.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fr.gdark.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.gdark.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: IEPlugin Class - {11222041-111B-46E3-BD29-EFB2449479B1} - C:\PROGRA~2\ArcSoft\MEDIAC~1\INTERN~1\ARCURL~1.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [TSMAgent] "c:\Program Files (x86)\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ISUSPM Startup] c:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Philips GoGear VIBE Device Manager.lnk = ?
O8 - Extra context menu item: &Recherche AOL Toolbar - C:\ProgramData\AOL\ieToolbar\resources\fr-FR\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {680285A8-96D3-43DA-9D3D-51DD987D0B77} (NeroVersionCheckerControl Control) - http://www.nero.com/doc/NeroVersionCheckerControl.cab
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader(...)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_3_0.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{146BDD8E-41DE-4848-B383-32DB620D1543}: NameServer = 212.30.96.108,213.203.124.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{146BDD8E-41DE-4848-B383-32DB620D1543}: NameServer = 212.30.96.108,213.203.124.146
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\HP Games\HP Game Console\GameConsoleService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files (x86)\ma-config.com\maconfservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10781 bytes
Jypalou
  Héron,héron petit,pas tapon
  :-)
  H / F :  H
  Posté le 01/02/2010 17:22:38       ?   @    
Voter pour ce message
:hello: [:onimura:4] Ferme toutes les applications actives et relance HijackThis < inclued picture >

[:onimura:4] Clique sur [:herblinois:1] [:herblinois:1] < inclued picture > [:herblinois:1] Coche [:dj QUIOU:5] les lignes suivantes [:herblinois:1] [:herblinois:1]

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ISUSPM Startup] c:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - Global Startup: Philips GoGear VIBE Device Manager.lnk = ?


[:onimura:4] Clique sur [:herblinois:1] < inclued picture >


[:onimura:4] Valide par oui (Yes) au message qui va s'afficher.

Refait un scan avec Antivir et poste le rapport
A+ :salut:
-->Message édité par Jypalou le 01/02/2010 17:23:09<--
-------
[:Lilou46:1]
Il vaut mieux aller plus loin avec quelqu'un que nulle part avec tout le monde
hellokitty5615
  
   
  Posté le 01/02/2010 19:46:29       ?   @    
Voter pour ce message
:chepa: je n'arrive plus à lancer hyjacthis pour faire le "system scan", çà m'ouvre une fenêtre qui dit "hyjacthis already is already running"... il est installé normalement sur mon bureau. J'ai déjà essayé de le désinstaller, puis l'ai retéléchargé sur votre lien direct, mais de nouveau la même fenêtre et le même message????
Jypalou
  Héron,héron petit,pas tapon
  :-)
  H / F :  H
  Posté le 01/02/2010 21:08:36       ?   @    
Voter pour ce message
:hello: Est ce que tu le lance en faisant" Exécuter en tant qu'administrateur"?
ou tu es aller trop vite il n'avait pas fini son scan.
Fait ceci;
Va dans C:\Program Files\Trend Micro\HijackThis, clique droit sur HijackThis.exe, choisis Propriétés et dans l'onglet Compatibilité, coche la case Exécuter en tant qu'administrateur
Si cela ne fonctionne pas essai ceci
Va dans le gestionnaire de taches (ctrl+maj+esc) et choisis l'onglet Processus.
Recherche dans la colonne Nom de l'image le processus HijackThis.exe.
Clique droit dessus et choisis Terminer le processus
Et retente
A+ :salut:
-------
[:Lilou46:1]
Il vaut mieux aller plus loin avec quelqu'un que nulle part avec tout le monde
hellokitty5615
  
   
  Posté le 02/02/2010 13:17:49       ?   @    
Voter pour ce message
:hello:

ok pour hyjackthis, maintenant analyse ANTIVIR ne donne rien RAS, mais pour analyse panda vous poste le rapport

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-02-02 13:15:33
PROTECTIONS: 1
MALWARE: 5
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
AntiVir Desktop Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\administrateur\appdata\roaming\microsoft\windows\cookies\administrateur@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\nathalie\appdata\local\temp\low\cookies\nathalie@atdmt[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\nathalie\appdata\roaming\microsoft\windows\cookies\low\nathalie@atdmt[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No c:\users\administrateur\appdata\roaming\microsoft\windows\cookies\administrateur@tradedoubler[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\users\administrateur\appdata\roaming\microsoft\windows\cookies\administrateur@advertising[1].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No c:\users\administrateur\appdata\roaming\microsoft\windows\cookies\administrateur@atwola[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\users\administrateur\appdata\roaming\microsoft\windows\cookies\administrateur@smartadserver[1].txt
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
No c:\program files (x86)\easybits for kids\ezimportfiles.exe
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
Jypalou
  Héron,héron petit,pas tapon
  :-)
  H / F :  H
  Posté le 02/02/2010 13:38:30       ?   @    
Voter pour ce message
:hello: Bonjour,non rien de dangereux,il détecte easybits for kids\ezimportfiles.exe,c'est un programme sur Vista qui créer une genre de session pour les enfants,ce n'est pas un virus.
Sinon comment se comporte le pc?
Si tu n'as plus de probléme il faut désinstaller les logs de désinfection:
[:Poulbot:6] Fermes toutes les applications en cours.

[:azerty39:1] Télécharge [:herblinois:1] [:herblinois:1] ToolsCleaner < inclued picture > < inclued picture > De (A.Rothstein et dj QUIOU ) Sur ton Bureau.

[:fml:8] Pour Vista Il faut faire un clic droit sur ToolsCleaner , puis Exécuter en tant que Administrateur [:fml:8]

[:herblinois:1] [:herblinois:1] Aide en Image


[:onimura:4] Doubleclique dessus pour lancer le programme.

[:onimura:4] Clique sur Recherche et laisse le scan se terminer (il peut durer une dizaine de minutes au maximum).

[:onimura:4] Une fois la recherche lancée, ne clique pas dans la fenêtre, cela provoquerait un léger bug du programme.

[:fml:8] Si toutes fois la mention (ne réponds pas) apparaissait dans le titre de la fenêtre ToolsCleaner, ne t'en occupes pas et laisse quand même le programme terminer son travail.

[:onimura:4] Poste le rapport qui apparait.

[:fml:8] Attends mon feu vert pour cliquer sur Suppression
A+ :salut:
-------
[:Lilou46:1]
Il vaut mieux aller plus loin avec quelqu'un que nulle part avec tout le monde
hellokitty5615
  
   
  Posté le 02/02/2010 17:42:51       ?   @    
Voter pour ce message
:hello:

voila le rapport tools cleaner :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Rsit: trouvé !
C:\Program Files (x86)\Trend Micro\HijackThis.exe: trouvé !
C:\Program Files (x86)\Trend Micro\hijackthis.log: trouvé !
C:\Program Files (x86)\Trend Micro\HijackThis: trouvé !
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files (x86)\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Administrateur\Desktop\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\nathalie\AppData\Local\VirtualStore\Program Files (x86)\Trend Micro\HijackThis: trouvé !
C:\Users\nathalie\AppData\Local\VirtualStore\Program Files (x86)\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Users\nathalie\AppData\Roaming\Microsoft\Windows\Recent\HijackThis.lnk: trouvé !
C:\Users\nathalie\Desktop\HijackThis.lnk: trouvé !
C:\Users\nathalie\Desktop\HJTInstall.exe: trouvé !
C:\Users\nathalie\Desktop\Rsit.exe: trouvé !

Jypalou
  Héron,héron petit,pas tapon
  :-)
  H / F :  H
  Posté le 02/02/2010 20:44:52       ?   @    
Voter pour ce message
:hello: Ok,tu peux cliquer sur suppression
A+ :salut:
-------
[:Lilou46:1]
Il vaut mieux aller plus loin avec quelqu'un que nulle part avec tout le monde
hellokitty5615
  
   
  Posté le 03/02/2010 09:53:29       ?   @    
Voter pour ce message
:hello:


Tout est supprimé sauf 1 :
voilà le rapport tools cleaner :

C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
Jypalou
  Héron,héron petit,pas tapon
  :-)
  H / F :  H
  Posté le 03/02/2010 11:50:40       ?   @    
Voter pour ce message
:hello: Bonjour,normalement il est quand même supprimé,c'est un petit bug sous Vista,tu peux vérifier quand même dans programme et fonctionalité et dans C:\ProgramData,si toujours présent tu supprimes
A+ :salut:
-------
[:Lilou46:1]
Il vaut mieux aller plus loin avec quelqu'un que nulle part avec tout le monde
hellokitty5615
  
   
  Posté le 03/02/2010 13:05:49       ?   @    
Voter pour ce message
:hello:

merci! :bien: Je supprime Tools cleaner...
<     1       >

Micro Hebdo > Forum de Micro Hebdo > Questions techniques diverses > Sécurité
> infecté par virus backdoor [RESOLU]

Aller à :

Page générée en : 0.213s - X2board 2.2

Nous contacter | Charte de confiance | Voir notice légale

Tous droits réservés © 1999 - 2008 Groupe Tests - 01net.


Sites du réseau 01net Network : 01net - 01men - Rmc.fr - Bfmtv.fr - Radiobfm.com - TousLesPodcasts - Micro Achat - Caractere.net -
Electronique.biz - Mesures.com - Transaction.fr Et aussi : CadresOnLine - Jobfinance - Jobvente

> paru le 19/03/2009
 Télécharger l'index des articles parus

Assembler
et entretenir son PC

Un DVD vidéo 100% pratique
à la portée de tous.


Réalisé par la rédaction
de Micro Hebdo
12,90 € ttc seulement.

Plus d'infos et extraits

Couverture Hors-Série

Hors-Série en vente actuellement.