[ Résolu ]infection très gènante

[elodie.net]

Voila, j'ai fait ce que tu m'as dis avec HiJackThis. Veux-tu un nouveau rapport?

 

Et pour ce qui est de Boonty, ça ne me disait rien j'ai donc trouvé un site qui propose des jeux mais a vrai dire.. Je ne vois pas comment le désinstaller donc si tu peu m'apporter de l'aide, elle serait la bienvenue... ^^" sinon, j'essaierai de me débrouiller toute seule..

 

En tout cas merci pour ton aide =)

[Falkra]

Voila, j'ai fait ce que tu m'as dis avec HiJackThis. Veux-tu un nouveau rapport?

Ok. Je vote pour le nouveau rapport.

 

Boonty, il doit avoir une entrée dans ajout/suppression de programmes (dans le panneau de configuration), là tu peux le désinstaller.

Si ça coince, on fera "à la main", pas de souci.

[elodie.net]

voici le nouveau rapport:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:54:06, on 09/07/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe

C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE

C:\Windows\VM305_STI.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Securitoo\av_fw\FSGUI\fsguidll.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Java\jre1.6.0_04\bin\jucheck.exe

C:\Users\Elodie\Desktop\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iesearch.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gateway.com/g/startpage.html?Ch...ys=&M=E4200

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [bigDog305] C:\Windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Users\Elodie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU\IMVU\Run IMVU.lnk (file missing)

O13 - Gopher Prefix:

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/...NPUpldfr-fr.cab

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS

 

--

End of file - 4368 bytes

 

Pour ce qui est de l'entrée de Boonty dans les programmes, je l'ai cherchée et impossible de la trouver.. enfin je veux dire que aucun des programmes ne porte ce nom..

 

EDIT: en lisant le rapport HiJackThis, j'ai trouvé ça:

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

(Comme tu m'a dis qu'il s'agissait d'un service et qu'ils étaient répertoriés sur le rapport, je l'ai lu ^^")

 

J'ai donc retrouvé l'application Boonty mais celles-ci ne semble pas avoir été exécutée.. Du moins, elle n'est pas dans le panneau de désinstallation des programmes...

Modifié le 9 juillet 2008 par elodie.net

[Falkra]

Ok, tu peux la désinstaller (Boonty).

 

Mets à jour Java, via le panneau de config, tu dois avoir une icône Java qui te permet de le mettre à jour.

Si ça ne suffit pas, tu peux installer la dernière version depuis le site : http://www.java.com/fr/

 

F-Secure est ok, je te propose en complément un antimalware performant : MalwareBytes' Anti-malware, on l'a utilisé, tu peux le garder.

Site officiel : http://www.malwarebytes.org/

Le module résident (qui tourne à l'arrière plan) est payant, mais cela reste gratuit, ce module ne s'active simplement pas, sauf paiement).

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

[elodie.net]

Ralala.. Merci infiniment ^^ je vais pouvoir me servir du pc convenablement ce Week- End =)

 

Et merci pour les conseils anti - réinfection, ça m'apprendra ^^"

 

Sinon, aucun question et encore merci pour le travail fourni pour une petit internaute pas très douée ^^"

 

Merci merci, vous faîtes un travail fabuleux ^^

[Falkra]

Bon week-end.