ikowin32 est ce un virus

[sylvainj2]

Salut à tous

Dans msconfig j'ai trouvé ikowin21 qui se lance au démarrage (voir image)

Que dois-je faire de ce processus ?

Merci d'avance

 

voici le log d'hijack This

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:00:56, on 31/07/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\AMT\atchksrv.exe

C:\Program Files\McAfee\Managed VirusScan\VScan\EngineServer.exe

C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Intel\AMT\LMS.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtTry.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\PDF Complete\pdfsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\AMT\UNS.exe

C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Adobe\Adobe Photoshop CS2\Photoshop.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\sylsyl\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [MVS Splash] C:\Program Files\McAfee\Managed VirusScan\Agent\Splash.exe

O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Program Files\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: ikowin32.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O15 - Trusted Zone: http://*.mcafee.com'>http://*.mcafee.com (HKLM)

O15 - Trusted Zone: http://betavscan.mcafeeasap.com (HKLM)

O15 - Trusted Zone: http://vs.mcafeeasap.com (HKLM)

O15 - Trusted Zone: http://www.mcafeeasap.com (HKLM)

O15 - ESC Trusted Zone: http://*.mcafee.com (HKLM)

O15 - ESC Trusted Zone: http://betavscan.mcafeeasap.com (HKLM)

O15 - ESC Trusted Zone: http://vs.mcafeeasap.com (HKLM)

O15 - ESC Trusted Zone: http://www.mcafeeasap.com (HKLM)

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/co...ex/qtplugin.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1184157064328

O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/inst...ctDetection.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1184157179203

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Intel® Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Program Files\Intel\AMT\atchksrv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: EngineServer - McAfee, Inc. - C:\Program Files\McAfee\Managed VirusScan\VScan\EngineServer.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Intel® Active Management Technology Local Management Service (LMS) - Intel - C:\Program Files\Intel\AMT\LMS.exe

O23 - Service: McShield - McAfee, Inc. - C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe

O23 - Service: Service de protection contre les virus et les logiciels espions McAfee (myAgtSvc) - McAfee, Inc. - C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe

O23 - Service: Intel® Active Management Technology User Notification Service (UNS) - Intel - C:\Program Files\Intel\AMT\UNS.exe

 

--

End of file - 8426 bytes

Modifié le 31 juillet 2009 par sylvainj2

[pear]

Bonjour,

 

C'est un trojan que Mbam devrait éliminer.

 

Téléchargez MBAM

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

 

ou Antivir:

Télécharger Avira AntiVir Personal Edition en Français

 

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

....AntiVir ne laisse pas entrer Bagle, sauf si l'utilisateur lui force la main pour récupérer un crack

 

Paramètres conseillés

Clic droit sur le parapluie--------------------->Configurer Antivir

Cliquer Expert mode--------------------------->Recherche:

Cocher: ------------->Selection intelligente des fichiers

Ce réglage est activé par défaut et recommandé.

 

Autres réglages:--->tout cocher

-Recherche+

Action en cas de résultat positif:

Cocher--------------->:Copier le fichier dans la quarantaine avant l'action:

Action principale....>: Réparer ( au cas ou ce serait un fichier système corrompu)

Action secondaire..>: Supprimer ( s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine)

 

Désactivez votre antivirus actuel

Redémarrez en mode sans échec.

Lancez le scan

Postez le rapport

Modifié le 31 juillet 2009 par pear

[sylvainj2]

salut à tous

je possède McAfee comme antivirus, et j'ai installé McAfee vitual technician qui a trouvé un fichier manquant , je ne sais pas comment installer ce fichier merci de votre aide

 

en plus à chaque démarrage McAfee me laisse ce message : débordement de la mémoire tampon bloquée il est dangereux d'utiliser win 32.....

A++

 

merci pear j'ai éliminer le trojan

Modifié le 1 août 2009 par sylvainj2

[pear]

Bonjour,

 

Si vous n'avez pas l'intention de suivre mes conseils, autant le dire tout de suite ,

on gagnera du temps !

[sylvainj2]

Bonjour,

 

Si vous n'avez pas l'intention de suivre mes conseils, autant le dire tout de suite ,

on gagnera du temps !

re bonjour

si bien au contraire j'ai grand besoin de vos conseils, je suis un peu perdu ce qui explique peut etre mes mal adresses, je ne sais plus bien ou j'en suis , j'ai supprimé le trojan avec Mbam, mais il me semble qu'un autre problème est lié à mon antivirus (citer plus haut)

merci d'avance

A++

[pear]

Bonjour,

 

Viruscan manquant

 

il peut être manquant ou en dommagé ou camouflé par un rootkit.

 

Rechercher le rootkit

Téléchargez RootRepeal

Installez RootRepeal , cliquez sur *Files*

Onglet "Général->Only suspicious ..

Cliquez sur Save Report

Lancez le scan

Postez le rapport

[/color]

 

Ws2_32, on verra après, parce que , s'il n'y a pas de rootkit, il faudra désinstaller et réinstaller Mcafee.

[sylvainj2]

merci de vos réponses voici le rapport:

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2009/08/01 17:34

Program Version: Version 1.3.3.0

Windows Version: Windows XP SP3

==================================================

 

Hidden/Locked Files

-------------------

Path: c:\documents and settings\administrateur\local settings\temp\~df498c.tmp

Status: Allocation size mismatch (API: 16384, Raw: 0)

 

Path: c:\documents and settings\administrateur\local settings\temp\~dfa714.tmp

Status: Allocation size mismatch (API: 262144, Raw: 16384)

 

 

Bonjour,

 

 

 

il peut être manquant ou en dommagé ou camouflé par un rootkit.

 

Rechercher le rootkit

Téléchargez RootRepeal

Installez RootRepeal , cliquez sur *Files*

Onglet "Général->Only suspicious ..

Cliquez sur Save Report

Lancez le scan

Postez le rapport

[/color]

 

Ws2_32, on verra après, parce que , s'il n'y a pas de rootkit, il faudra désinstaller et réinstaller Mcafee.

[pear]

Pas de rootkit!

Votre McAffee serait donc défectueux.

 

Désinstallation McAfee

1.Téléchargez et exécutez MCPR.exe

2. Cliquez sur Enregistrer et enregistrez le fichier dans n'importe quel dossier sur votre ordinateur.

3. Recherchez le dossier où est enregistré le fichier.

4. Assurez-vous que toutes les fenêtres McAfee sont fermées.

5. Double-cliquez sur MCPR.exe pour exécuter l'outil de suppression.

Remarque : les utilisateurs de Windows Vista doivent cliquer avec le bouton droit sur MCPR.EXE et sélectionner Exécuter en tant qu'administrateur.

 

6. Redémarrez votre ordinateur après l'affichage du message CleanUp Successful (Nettoyage réussi).

 

Votre produit McAfee ne sera pas entièrement supprimé tant que vous n'aurez pas redémarré.

[sylvainj2]

Pas de rootkit!

Votre McAffee serait donc défectueux.

 

Désinstallation McAfee

1.Téléchargez et exécutez MCPR.exe

2. Cliquez sur Enregistrer et enregistrez le fichier dans n'importe quel dossier sur votre ordinateur.

3. Recherchez le dossier où est enregistré le fichier.

4. Assurez-vous que toutes les fenêtres McAfee sont fermées.

5. Double-cliquez sur MCPR.exe pour exécuter l'outil de suppression.

Remarque : les utilisateurs de Windows Vista doivent cliquer avec le bouton droit sur MCPR.EXE et sélectionner Exécuter en tant qu'administrateur.

 

6. Redémarrez votre ordinateur après l'affichage du message CleanUp Successful (Nettoyage réussi).

 

Votre produit McAfee ne sera pas entièrement supprimé tant que vous n'aurez pas redémarré.

Merci pour ces infos, mais si je désinstalle McAfee je n'ai rien pour le réinstaller, c'est mon informaticien qui me la installer via internet et je n'ai rien d'autre,

Ma licence est valable 3 ans

Je vous propose de revoir tout ca après mes vacances, je pars demain pour la Méditerrané, je reposte en suite.

Merci encore

A ++