[Résolu] PC infecté par plusieurs virus

[Falkra]

Donc on n'a pas fini, parce que c'est une vérole de Braviax justement. Tu autorises et tout se réinstalle (pour info ^^)

 

MBAM doit s'en dépatouiller, fais un scan après avoir posté le rapport Gmer, il faudra peut-être un complet, mais le rapide doit suffire.

[stee]

POur Info le scan de GMER est toujours en cours...

[Falkra]

Hein ? Mais c'est bien trop long, alors lui tu peux l'arrêter. Peut-être un souci de disque dur (rien d'endommagé physiquement a priori), qui expliquerait le souci de ce midi.

[stee]

Hello

 

Bon je pense que nous sommes arrivés au bout et l'idée du firewal était une super idée en fait j'aurai du commencer par me douter de ça .En fait tout était dans les éxécutables de google.

 

Ce qui m'a guidé c'est lorsque j'ai fermé les ports 80,443 sur le routeur firewall, j'ai eu 25 sites web en plus essayant de sortir en https (je te raconte pas le nom des domaines) du firewall des que j'ai bloqué le google update, google notifier etc plus rien, j'ai donc tout viré c'était la passerelle pour toutes les véroles, raison pour laquelle ça ce relance automatiquement.

 

Donc à savoir et pas prêt d'utiliser les tools de google dans firefox qui servent de champ de tir (même topo pour IE un vrai nid de surprises )

 

Maintenant réseau branché j'ai un silence de mort sur la machine il y a de temps en temps le firewall qui se connecte .

 

En tous les cas je dois te remercier pour avoir passer autant de temps sur mon problème, sincèrement Merci.

 

@+

[Falkra]

Les utilitaires google veulent se mettre à jour, ça c'est normal qu'ils demandent l'accès, de façon pressante, les demandes sont ok.

 

On nettoie.

 

Désinstalle combofix : entre combofix /u (pas svchost) dans la boite exécuter du menu démarrer.

=> combofix espace slasht u

Après cela, efface ce dossier s'il existe encore :

C:\QooBox

 

Pour Désinstaller OTMoveit, lance-le et clique sur Clean Up!

 

Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines.

Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.

Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats.

 

Je te demanderai juste un dernier rapport HijackThis.

[stee]

Voici le dernier rapport

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:42:14, on 18/08/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16876)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Tall Emu\Online Armor\oasrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\SCardSvr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\MAFWTray.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Tall Emu\Online Armor\oaui.exe

C:\RivaTuner v2.02\RivaTuner.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\System32\svchost.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\MAFWTray.exe

O4 - HKLM\..\Run: [MAFWTaskbarApp] C:\WINDOWS\system32\MAFWTray.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [OnlineArmor GUI] "C:\Program Files\Tall Emu\Online Armor\oaui.exe"

O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\RivaTuner v2.02\RivaTuner.exe" /S

O4 - HKLM\..\Run: [RivaTuner] "C:\RivaTuner v2.02\RivaTuner.exe" /T

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/sit...b?1187128257494

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1227112995362

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1227112974533

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{040CBFAE-B17B-4D4C-83D7-3A631463AC03}: NameServer = 192.168.1.1,212.27.48.10

O17 - HKLM\System\CCS\Services\Tcpip\..\{58E5BC09-7242-4633-99BB-94E7ECA95338}: NameServer = 80.10.246.2,80.10.246.129

O17 - HKLM\System\CCS\Services\Tcpip\..\{6F14E2EC-E3A9-429B-9160-FA199D284144}: NameServer = 212.27.54.252,212.27.32.177

O17 - HKLM\System\CCS\Services\Tcpip\..\{7C2205B0-3CBC-4189-82B7-063F543AD864}: NameServer = 160.92.121.4,160.92.121.6,80.10.246.2,80.10.246.129

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = free.fr

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe

O23 - Service: Google Update Service (gupdate1c9cdb39a729a0) (gupdate1c9cdb39a729a0) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Ixia Endpoint (IxiaEndpoint) - Ixia - C:\Ixia\Endpoint\endpoint.exe

O23 - Service: NSClientpp (Nagios) 0.3.5.2 2008-09-24 w32 (NSClientpp) - Unknown owner - C:\Program Files\NSClient++\nsclient++.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\oasrv.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Server\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Fichiers communs\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - C:\Program Files\VMware\VMware Server\vmserverdWin32.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

O23 - Service: Distributed Audit Service (xdasd) - OpenXDAS - C:\OpenXDAS\xdasd.exe

 

--

End of file - 5696 bytes

[Falkra]

Il y a des DNS free, Wanadoo et (Atos.net ?), je pense que tu es au courant.

 

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités, elles peuvent être exploitées pour installer des bestioles.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

Tuto JavaRa : http://www.libellules.ch/tuto_javara.php

Et bien sûr, Windows Updates.

 

Tu peux passer à IE8 (bien plus rapide, plus fiable, plus récent) :

http://www.microsoft.com/windows/internet-...er/default.aspx

 

 

Rends toi sur cette page de configuration du plugin Flash.

Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours.

Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage.

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) :

(clique sur l'image).

 

Plus d'infos dans la FAQ sécurité du site.

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

[stee]

Un grand merci pour toutes les infos et l'aide que tu m'a apporté ainsi que les différents conseils.

 

@+

[Falkra]

De rien, ça fait plaisir.

 

Bon surf !