Surement une inféction. - page 1 - Désinfections

Forum Security-X > Désinfections

Surement une inféction.

(1/4) > >>

Tribal78711:
Bonjour,

Je suis surement infecter par un virus. Alors déjà pour commencer je suis sous windows 7 64bit et j'ai fait un log hijackthis. Je vous le poste et je vous montre les points étranges que j'ai remarquer.

La machine a des ralentissements et des bugs étrange de boot de certain fichier.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:07:41, on 04/10/2011
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
c:\Program Files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DPAgent.exe
C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files (x86)\Common Files\microsoft shared\virtualization handler\cvh.exe
Q:\140066.fra\Office14\WINWORDC.EXE
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
Q:\140066.fra\Office14\OffSpon.EXE
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Alexandre\Desktop\Helpeur\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPCOM/9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPCOM/9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPCOM/9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPCOM/9
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 13.37.13.37:1337
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: BHO_Startup - {3134413B-49B4-425C-98A5-893C1F195601} - C:\Program Files (x86)\Hewlett-Packard\File Sanitizer\IEBHO.dll
O2 - BHO: HP ProtectTools Security Manager Extension - {395610AE-C624-4f58-B89E-23733EA00F9A} - c:\Program Files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DpOtsPluginIe8.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O9 - Extra button: @C:\Program Files\Motorola\Bluetooth\btmshell.dll,-137 - {bd707fe6-39f6-4bda-9265-86a76719bdc5} - C:\Program Files\Motorola\Bluetooth\btmiesend.htm
O9 - Extra 'Tools' menuitem: @C:\Program Files\Motorola\Bluetooth\btmshell.dll,-137 - {bd707fe6-39f6-4bda-9265-86a76719bdc5} - C:\Program Files\Motorola\Bluetooth\btmiesend.htm
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: DeviceNP - C:\windows\SYSTEM32\DeviceNP.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b20011ea53a6b83e\AESTSr64.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agr64svc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\windows\system32\atiesrxx.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Bluetooth Device Manager - Motorola, Inc. - C:\Program Files\Motorola\Bluetooth\devmgrsrv.exe
O23 - Service: Bluetooth Media Service - Motorola, Inc. - C:\Program Files\Motorola\Bluetooth\audiosrv.exe
O23 - Service: Bluetooth OBEX Service - Motorola, Inc. - C:\Program Files\Motorola\Bluetooth\obexsrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: DEBridge - McAfee, Inc. - c:\Program Files\Hewlett-Packard\Drive Encryption\SbHpAuthenticatorService.exe
O23 - Service: @c:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DpHostW.exe,-128 (DpHost) - DigitalPersona, Inc. - c:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DpHostW.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\windows\system32\fxssvc.exe (file missing)
O23 - Service: HP ProtectTools Device Locking / Auditing (FLCDLOCK) - Hewlett-Packard Ltd - c:\Windows\SysWOW64\flcdlock.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\x64\maconfservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\windows\system32\lsass.exe (file missing)
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files (x86)\PDF Complete\pdfsvc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\windows\system32\lsass.exe (file missing)
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\windows\system32\sppsvc.exe (file missing)
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b20011ea53a6b83e\STacSV64.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: ArcCapture (uArcCapture) - ArcSoft, Inc. - C:\windows\system\uArcCapture.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\windows\system32\lsass.exe (file missing)
O23 - Service: Validity VCS Fingerprint Service (vcsFPService) - Validity Sensors, Inc. - C:\windows\system32\vcsFPService.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10947 bytes

O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe

Cette ligne est suspecte car je n'est jamais installé ce truc de me*** :D et qu'elle c'est foutu comme sa au démarrage :'(.

Donc si vous pourriez m'aider sa serait super sympas.
Merci.

hyunkel30:
:III Yop,

Alors tu peux éclairer ceci :

--- Citer ---et des bugs étrange de boot de certain fichier.
--- Fin de citation ---

Parce qu'en fait quand je vois ceci :
- windows 7 64bit et Avast

En ce moment je pense de suite à leur FP sur le kernel ... :hi:

Pour pando, ben tu le supprimes de tes programmes ;)

:AAN

Tribal78711:
Par exemple, des logiciels on fini de booter ( je peux les utiliser ) mais il continu de booter sur une autres fenêtre.

J'ai désinstaller, bizarre qu'il se soit installé tout seul celui là. Et vu que le pc est neuf et que j'ai eu des ajouts de logiciel au démarrage.... J'ai trouver sa suspect ^^.

hyunkel30:
Re,

Houlà, :) tu me ré-explique ça s'il te plait ?

--- Citer ---des logiciels on fini de booter ( je peux les utiliser ) mais il continu de booter sur une autres fenêtre.
--- Fin de citation ---

Ils se lancent plusieurs fois quand tu les exécutes ?

Bon, on va faire ça aussi pour voir plus loin qu'hijackthis :

Télécharge OTL (de Old Timer) sur ton bureau.
[*] Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
[*] Coche en haut la case devant "Tous les utilisateurs"
[*] Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

--- Citer ---netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system64\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system64\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
SAVEMBR:0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
--- Fin de citation ---
[*] Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
[*] A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
[*]Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

Note : Les rapports sont aussi enregistrés sur le bureau

AsteroHache:
Yo

un pc qui bug, super :hi: :NNN

pourquoi tu ne mets pas IE9?

C'est quoi comme pc exactement?

c'est uniquement au démarrage les bugs? c'est pas la maj de l'antivirus qui ralentit la chose, c'est souvent le cas au démarrage.

Si après le démarrage, tu n'as plus de souci, et bien fort à parier que ce soit l'AV.

sinon, tu peux enlever la défrag au démarrage, que ce ne soit pas le HDD qui ait des ennuis...souvent le cas des lenteurs quand c'est pas viral.
tuto:
3- Enlever la défragmentation au démarrage
Si vous jugez que votre système démarre vraiment anormalement lentement, il est possible de supprimer la défragmentation des fichiers lors du boot de la machine.
Attention, si vous enlevez cette fonctionnalité,
il vous faudra défragmenter régulièrement vos partitions, avec l'outil windows qui fait très bien son travail sur vista (et seven)
[*]Menu démarrer/ taper « regedit » dans zone de recherche, il apparait en haut
[*]clic droit dessus, et exécuter en tant qu'admin
[*]cliquer sur continuer quand l'UAC titille, vivement conseillé qu'il titille d'ailleurs...
[*]cliquer sur la flèche sous HKEY_LOCAL_MACHINE
[*]de même pourSOFTWARE/ Microsoft / Dfrg
[*]ensuite cliquer sur BootOptimizeFunction, la clé de registre et pas la flèche cette fois
[*]vous verrez sur votre droite "Enable", vous double cliquez dessus
[*]la valeur doit être comme ci-dessous N, pour qu'elle soit désactivée
[*]Redémarrer le système pour la prise en compte de la modification.
[/list]

et ensuite, pense à vérifier ton HDD également avec HDtune, ou l'outil de vérification de disque intégré à Seven.

Si les Hauts Paliers n'ont pas crié, ça va, t'as pas cliqué sur un lien alakhon.... ah si, y'a un scan demanfé par Maitre Hyunkel, pas dit encore donc que tu ne soit pas infecté... :)

PS: pense à reseter le pc aussi.

Tutoriel DRAIN POWER[/color]
La manipulation suivante a pour but de décharger tous les composants qui pourraient stocker une éventuelle électricité statique à leurs bornes, nuisant au bon fonctionnement de la machine. C'est bien évidemment anormal que cela arrive que cette électricité apparaisse...

J'ai vu des problèmes de charge de batterie, des démarrages longs avec écran noir pendant 2 min, des claviers qui ne fonctionnaient plus repartir après ce reset, la liste est bien évidemment longue sur ce que cela résoud parfois...
Cela ne résolvera pas tout malheureusement...

Ce drain power se fait la façon suivante:

1- Sur portable:

[*]On éteint le portable démarrer/arrêter
[*]On débranche le cordon d'alimentation secteur, puis on retire la batterie
[*]On appuie 1 minute minimum sur le bouton d'alimentation "power" qui permet de démarrer normalement
[/list]
PS: si le pc démarre, fuir, les esprits sont parmi nous

2- Sur tour:

[*]On éteint la tour, démarrer/arrêter, et l'écran
[*]On débranche les cordons d'alimentation secteur de la tour, puis de l'écran
[*]On appuie 1 minute minimum sur le bouton d'alimentation "power" de la tour pour son reset bios et de l'écran pour décharger tout composant sur ce dernier également.
[/list]
Ensuite, on redémarre la machine. Et on prie :lol:

PS: certaines machines lancent un test de diagnostics ensuite, qu'on peut arrêter ou laisser tourner,cela ne fait jamais de mal de tester tous ses composants, un test d'erreur pourrait expliquer le pourquoi du problème rencontré.

et bé, si tu ne savais pas quoi faire aujourd'hui, on t'a trouvé des trucs :)
=>>>

Navigation

[0] Index des messages

[#] Page suivante

Sortir du mode mobile