Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

infecte ou pas ?

al904

Par al904
dans Analyses et éradication malwares

 Partager

Messages recommandés

al904 Junior Member

al904

Posté(e)
Posté(e)

Bonjour

 

j'ai un certains nombre de petits programmes qui semblent se regener "tout seuls" et se lancent au démarrage

 

je ne peux les effacer qu'en mode démarrage sans echec car sinon ils sont invisibles :

en mode sans echec je trouve dans c:\windows\system32 par exemple :

aqwmmgp.dat

aqwmmgp.exe

aqwmmgp_nav.dat

aqwmmgp_navps.dat

 

j'ai effectué toutes les manips de nettoyage mais je ne viens pas à bout du problème

 

quand j'efface les fichiers de nouveaux se génèrent avec un nouveau nom

 

malgre les netoyages en mode sans echec avec : Startup,HijackThis le problème persiste

SpyBot détecte bien les tentatives d"ecritures dans la base de registre mais malgré l'interdiction le problème reviens

 

quelqu'un a-t-il une idéee ?

 

je joins le dernier log HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 23:41:06, on 10/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\StartupMonitor.exe

C:\Program Files\Soft4Ever\looknstop\looknstop.exe

C:\Program Files\Analog Devices\SoundMAX\smax4.exe

E:\Programmes Systeme\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\taskmgr.exe

E:\Programmes Partages\Mozilla Firefox\firefox.exe

E:\Programmes Systeme\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programmes partages\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [soundMax] "C:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [spybotSD TeaTimer] E:\Programmes Systeme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk.disabled

O4 - Global Startup: MioSync.lnk.disabled

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_01) -

O16 - DPF: {CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA} (Java Plug-in 1.3.1) -

O16 - DPF: {CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA} (Java Plug-in 1.4.2_01) -

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Zonk Godlike Member

Zonk

Posté(e)
Posté(e) (modifié)

Allo Al904

Bienvenue sur le forum....

Ayant déjà Antivir et Hijackthis,cette procédure te sera facilité....tu as fait plusieurs bonnes démarches mais tu ne sembles pas avoir tout ce qui est inclus dans le pré-nettoyage................et bien entendu tu n'auras pas a désinstaller Antivir

http://forum.zebulon.fr/index.php?showtopic=83986

je commencerais pas cela....et peut être une vérification

http://webscanner.kaspersky.fr/

et/ou

http://www.bitdefender.com/ca_fr/

@+

Modifié par Zonk
Zonk Godlike Member

Zonk

Posté(e)
Posté(e) (modifié)
merci je vais faire les manips des que possible

 

j'ai aussi passe les fichiers douteux a anti-virt et a-squared et ils n'ont rien detecte

Tu peux essayer ici.....30 antivirus et + en action!

http://www.virustotal.com/

Modifié par Zonk
angelique Devil Member !

angelique

Posté(e)
Posté(e)
je ne peux les effacer qu'en mode démarrage sans echec car sinon ils sont invisibles :

en mode sans echec je trouve dans c:\windows\system32 par exemple :

aqwmmgp.dat

aqwmmgp.exe

aqwmmgp_nav.dat

aqwmmgp_navps.dat

 

typique d'une infection magic control agent, voit le site de malekal et utilise navilog1 en suivant sa procedure:

 

http://www.malekal.com//Adware.Magic_Control.php

al904 Junior Member

al904

Posté(e)
  • Auteur
Posté(e)
typique d'une infection magic control agent, voit le site de malekal et utilise navilog1 en suivant sa procedure:

 

http://www.malekal.com//Adware.Magic_Control.php

 

Merci grace aux premieres manips du site malekal j'ai progresse

reste encore un probleme d'criture dans la base de registre detecte par spy-bot

 

des que j'aurai le temps je passerai la deuxime etape du site malekal

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...