RESOLU infecté ?

deepsleep · le 19 mai 2009

Bonjours zeb help protect m'indique que je suis infecté (il s'agit de 2 lignes O44 - LFC:Last File Created - C:\WINDOWS\System32\tmp.reg -->26/02/2009 - 20:04:28 et O44 - LFC:Last File Created - C:\WINDOWS\System32\tmp.txt -->26/02/2009 - 20:04:28 ) alors qu'antivir ni MBAM ne detectent rien, pour en avoir le coeur net je m'adresse à vous voici donc le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:38:48, on 19/05/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\WINDOWS\Sminst\Recguard.exe

C:\WINDOWS\SMINST\Scheduler.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Sandboxie\SbieSvc.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe

C:\Documents and Settings\jeannot\Bureau\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\HPQ\IAM\Bin\ItIeAddIN.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe

O4 - HKLM\..\Run: [scheduler] C:\WINDOWS\SMINST\Scheduler.exe

O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DVD Check.lnk] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win

O4 - S-1-5-18 Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE (User 'SYSTEM')

O4 - .DEFAULT Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE (User 'Default user')

O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE

O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe

O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

--

End of file - 5841 bytes

en tout etat de cause je tient le rapport de ZHP à votre disposition

Modifié le 19 mai 2009 par deepsleep

Apollo · le 19 mai 2009

Bonsoir,

Ces deux fichiers n'ont rien à f...aire dans System32, donc c'est bien louche.

Rends toi sur ce lien : Virus Total

Clique sur le bouton Parcourir...
Parcours tes dossiers jusque à ce fichier, si tu le trouves :

C:\WINDOWS\System32\tmp.reg

Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
Une nouvelle fenêtre de ton navigateur va apparaître
Clique alors sur cette image :
Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
Enfin colle le résultat dans ta prochaine réponse.
NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

Fais-en de même avec celui-ci:

C:\WINDOWS\System32\tmp.txt

@++

deepsleep · le 19 mai 2009

Bonjours Apollo merci de ta rapidité et pour les -bon- conseils que tu m'as donne par le passé.

Alors en ce qui concerne C\SYSTEM32\ TMP.TEXT virus total m'envoie ce message d'erreur 0 bytes size received / Se ha recibido un archivo vacio.

Maintenant voici le résultat pour l'autre fichier

Fichier tmp.reg reçu le 2009.05.19 19:21:56 (CET)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.05.19 -

AhnLab-V3 5.0.0.2 2009.05.19 -

AntiVir 7.9.0.168 2009.05.19 -

Antiy-AVL 2.0.3.1 2009.05.19 -

Authentium 5.1.2.4 2009.05.19 -

Avast 4.8.1335.0 2009.05.18 -

AVG 8.5.0.336 2009.05.19 -

BitDefender 7.2 2009.05.19 -

CAT-QuickHeal 10.00 2009.05.19 -

ClamAV 0.94.1 2009.05.19 -

Comodo 1157 2009.05.08 -

DrWeb 5.0.0.12182 2009.05.19 -

eSafe 7.0.17.0 2009.05.19 -

eTrust-Vet 31.6.6511 2009.05.19 -

F-Prot 4.4.4.56 2009.05.18 -

F-Secure 8.0.14470.0 2009.05.19 -

Fortinet 3.117.0.0 2009.05.19 -

GData 19 2009.05.19 -

Ikarus T3.1.1.49.0 2009.05.19 -

K7AntiVirus 7.10.739 2009.05.19 -

Kaspersky 7.0.0.125 2009.05.19 -

McAfee 5620 2009.05.19 -

McAfee+Artemis 5620 2009.05.19 -

McAfee-GW-Edition 6.7.6 2009.05.19 -

Microsoft 1.4602 2009.05.19 -

NOD32 4088 2009.05.19 -

Norman 6.01.05 2009.05.18 -

nProtect 2009.1.8.0 2009.05.19 -

Panda 10.0.0.14 2009.05.18 -

PCTools 4.4.2.0 2009.05.18 -

Prevx 3.0 2009.05.19 -

Rising 21.30.14.00 2009.05.19 -

Sophos 4.41.0 2009.05.19 -

Sunbelt 3.2.1858.2 2009.05.18 -

Symantec 1.4.4.12 2009.05.19 -

TheHacker 6.3.4.1.327 2009.05.19 -

TrendMicro 8.950.0.1092 2009.05.19 -

VBA32 3.12.10.5 2009.05.19 -

ViRobot 2009.5.19.1740 2009.05.19 -

VirusBuster 4.6.5.0 2009.05.19 -

Information additionnelle

File size: 3506 bytes

MD5...: 723576e7c1b1942a0843b83b7021dcdd

SHA1..: 2a302348403726c2207e13be59b9e9b31aef2654

SHA256: 2d6f268db2fde573545ca68585e2d0942ea17f3096bfed722e8365909a867057

SHA512: 6f79af10abf98e54f025fcee5495b9acabd8c391c1732055d0661944cea1e041 8b6ee8c74de114d4b7ace1556b03919f6bfbd7a2de7be98abca0ea77628dfad0

ssdeep: 96:nZ/9MczTjx6olXpbydOOp5G6W2oPsBJ+0MAPd:nZqc/jx6WVydOOp5roPsBJ2 APd

PEiD..: -

TrID..: File type identification Windows Registry Data (Ver. 5.0 - UTF16) (96.8%) Text - UTF-16 (LE) encoded (2.0%) MP3 audio (1.0%) Lumena CEL bitmap (0.0%) Corel Photo Paint (0.0%)

PEInfo: -

PDFiD.: -

RDS...: NSRL Reference Data Set -

packers (F-Prot): Unicode

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.05.19 -

AhnLab-V3 5.0.0.2 2009.05.19 -

AntiVir 7.9.0.168 2009.05.19 -

Antiy-AVL 2.0.3.1 2009.05.19 -

Authentium 5.1.2.4 2009.05.19 -

Avast 4.8.1335.0 2009.05.18 -

AVG 8.5.0.336 2009.05.19 -

BitDefender 7.2 2009.05.19 -

CAT-QuickHeal 10.00 2009.05.19 -

ClamAV 0.94.1 2009.05.19 -

Comodo 1157 2009.05.08 -

DrWeb 5.0.0.12182 2009.05.19 -

eSafe 7.0.17.0 2009.05.19 -

eTrust-Vet 31.6.6511 2009.05.19 -

F-Prot 4.4.4.56 2009.05.18 -

F-Secure 8.0.14470.0 2009.05.19 -

Fortinet 3.117.0.0 2009.05.19 -

GData 19 2009.05.19 -

Ikarus T3.1.1.49.0 2009.05.19 -

K7AntiVirus 7.10.739 2009.05.19 -

Kaspersky 7.0.0.125 2009.05.19 -

McAfee 5620 2009.05.19 -

McAfee+Artemis 5620 2009.05.19 -

McAfee-GW-Edition 6.7.6 2009.05.19 -

Microsoft 1.4602 2009.05.19 -

NOD32 4088 2009.05.19 -

Norman 6.01.05 2009.05.18 -

nProtect 2009.1.8.0 2009.05.19 -

Panda 10.0.0.14 2009.05.18 -

PCTools 4.4.2.0 2009.05.18 -

Prevx 3.0 2009.05.19 -

Rising 21.30.14.00 2009.05.19 -

Sophos 4.41.0 2009.05.19 -

Sunbelt 3.2.1858.2 2009.05.18 -

Symantec 1.4.4.12 2009.05.19 -

TheHacker 6.3.4.1.327 2009.05.19 -

TrendMicro 8.950.0.1092 2009.05.19 -

VBA32 3.12.10.5 2009.05.19 -

ViRobot 2009.5.19.1740 2009.05.19 -

VirusBuster 4.6.5.0 2009.05.19 -

Information additionnelle

File size: 3506 bytes

MD5...: 723576e7c1b1942a0843b83b7021dcdd

SHA1..: 2a302348403726c2207e13be59b9e9b31aef2654

SHA256: 2d6f268db2fde573545ca68585e2d0942ea17f3096bfed722e8365909a867057

SHA512: 6f79af10abf98e54f025fcee5495b9acabd8c391c1732055d0661944cea1e041 8b6ee8c74de114d4b7ace1556b03919f6bfbd7a2de7be98abca0ea77628dfad0

ssdeep: 96:nZ/9MczTjx6olXpbydOOp5G6W2oPsBJ+0MAPd:nZqc/jx6WVydOOp5roPsBJ2 APd

PEiD..: -

TrID..: File type identification Windows Registry Data (Ver. 5.0 - UTF16) (96.8%) Text - UTF-16 (LE) encoded (2.0%) MP3 audio (1.0%) Lumena CEL bitmap (0.0%) Corel Photo Paint (0.0%)

PEInfo: -

PDFiD.: -

RDS...: NSRL Reference Data Set -

packers (F-Prot): Unicode

Apollo · le 19 mai 2009

Bah c'est rien du tout hein.

Si Antivir et MBAM restent muets, tu n'as pas de soucis à avoir.

@++

deepsleep · le 19 mai 2009

Pffiou plus de peur que de mal donc , merci de ton aide je te souhaite une bonne soiré.

Apollo · le 19 mai 2009

Re,

Je suis désolé mais je crois bien m'être trompé; l'analyse VT ne dit rien mais je pense que c'est une infection par supports amovibles qui a créé ces fichiers.

Il est bon de relire les sujets parfois

On va donc vérifier

Connecte tous les supports amovibles que tu as. (clé usb, disque dur externe, carte flash, lecteur mp3 etc.)

1) Sous Vista:Désactiver provisoirement l'UAC

Télécharge USBFix de C_XX & Chiquitine29 sur ton Bureau.

http://sd-1.archive-host.com/membres/up/12...5653/UsbFix.exe

Double-clique pour l'exécuter. ---> (Sous VISTA: clic droit/exécuter en temps qu'administrateur!)

Le programme va s'installer et un raccourci va se créer sur ton Bureau.

Double-clique sur le raccourci pour exécuter l'outil

Sélectionne 1 puis laisse l'outil travailler

Poste le rapport stp.

------------------------------------------

2) Relance USB Fix et choisis cette fois l'option 2, valide par Entrée (Enter).

Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.

Le nettoyage va prendre quelques minutes... Appuyer sur OK sur la fenêtre d'informations.

Le fix peux avoir besoin de redémarrer l'ordinateur, un message vous en avertit, vous devez appuyer sur une touche.

Au redémarrage, le fix se relance... laissez l'opération s'effectuer.

Un rapport de nettoyage vous est proposé... appuyez sur une touche pour ouvrir ce rapport.

Colle le rapport ici stp.

@++

Apollo · le 21 mai 2009

UP.

deepsleep, tu dois revenir, il y a encore une chose à vérifier

@+tard.

Connexion

Pas encore inscrit ?

RESOLU infecté ?

Messages recommandés

deepsleep

Apollo

deepsleep

Apollo

deepsleep

Apollo

Apollo

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer