Rapport HijackThis / Infection possible ("pes6.exe")

[dj_titeuf]

Bonjour,

 

Depuis ce matin, voici ce que mon antivirus m'affiche:

 

 

Ceci est plutôt surprenant, venant d'un exécutable d'un jeu que j'ai depuis plus d'un an...

 

Par mesure de précaution, j'ai fait une analyse HijackThis que voici:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:41:33, on 22/05/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16546)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\System32\rundll32.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Windows\ehome\ehtray.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Cisco Systems\VPN Client\vpngui.exe

C:\Users\Scr@t\Desktop\Miranda\miranda32.exe

C:\Windows\system32\NOTEPAD.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\Scr@t\Desktop\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.etud.insa-toulouse.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://wpad/wpad.dat

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = wwwcache.insa-toulouse.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: VPN Client.lnk = ?

O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O13 - Gopher Prefix:

O17 - HKLM\System\CCS\Services\Tcpip\..\{16696610-C07C-479D-94CD-25D10E75E3DB}: NameServer = 195.83.9.11,195.83.9.12

O17 - HKLM\System\CCS\Services\Tcpip\..\{5AE57E1B-126D-4075-8EE9-0B09E54AA4EB}: Domain = insa-toulouse.fr

O17 - HKLM\System\CCS\Services\Tcpip\..\{5AE57E1B-126D-4075-8EE9-0B09E54AA4EB}: NameServer = 195.83.9.11,195.83.9.12

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = insa-toulouse.fr

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = insa-toulouse.fr

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

 

--

End of file - 5095 bytes

 

Qu'en pensez-vous? Que fais-je de pes6.exe?

 

Merci d'avance!

Modifié le 22 mai 2008 par dj_titeuf

[Wullfk]

Bonjour,

 

post directement ton rapport HJT en faisant un copier/coller de ton rapport. et non pas un lien. Merci

 

a tout hasard Télécharger et installer la dernière version d'HIJACKTHIS v2.0.2:

 

@+

[dj_titeuf]

Ok, c'est fait!

[Wullfk]

nan c'est pas bon, c'est pas la bonne version.

 

 

Ta version d'HijackThis est obsolète :

 

Télécharger et installer la dernière version d'HIJACKTHIS v2.0.2:

 

Enregistrer HJTInstall.exe sur le bureau.

Double-cliquer sur HJTInstall.exe pour lancer le programme.

Par défaut, il s'installera là : C:\Program Files\Trend Micro\HijackThis

• .

Accepter la licence en cliquant sur le bouton "I Accept".

 

Important :

Installez HijackThis dans un répertoire NON Temporaire (afin de conserver les sauvegardes qu'il fait)

 

Choisir l'option "Do a system scan and save a log file".

Cliquer sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note.

Cliquer sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport.

Coller le rapport sur ce forum.

Ne fixer encore AUCUNE ligne, cela pourrait empêcher le PC de fonctionner correctement.

 

En cas de doute, un tutoriel très bien fait :

"http://www.libellules.ch/poster_log_hijackthis.php"[/color]

 

@+

[dj_titeuf]

Cette fois-ci, c'est vraiment bon!

[Wullfk]

Ben, au vu de l'analyse, je suis pas plus avancé, j'ai rien constaté d'infectieux.

 

je préférerai qu'un membre Sécurité, puisse donner sont avis, car là je coince, ou alors je cherche ce qui n'existe pas.

 

j'ai pourtant bien regarder l'image de ton premier post, sur la détection faite par ton AntiVirus, et je vois pas la raison à cette détection soudaine au bout d'un an, surtout que cela ma l'air bien d'être le "vrai" exécutable de Pro Evolution Soccer 6.

 

??

[dj_titeuf]

Merci d'avoir donné ton avis, j'attends d'autres remarques éventuelles...