[Résolu] De nombreux logiciels suspects

[Charlie51_22]

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

 

--> Recherche:

 

C:\TB.txt: trouvé !

C:\*.msnfix: trouvé !

C:\_OTM: trouvé !

C:\Toolbar SD: trouvé !

C:\Rsit: trouvé !

C:\Documents and Settings\charle\Bureau\OTM.exe: trouvé !

C:\Documents and Settings\charle\Bureau\HijackThis.exe: trouvé !

C:\Documents and Settings\charle\Bureau\ToolBarSD.exe: trouvé !

C:\Documents and Settings\charle\Bureau\hijackthis.log: trouvé !

C:\Documents and Settings\charle\Bureau\Rsit.exe: trouvé !

C:\Documents and Settings\charle\Recent\MSNFix.lnk: trouvé !

C:\Documents and Settings\charle\Recent\HijackThis.lnk: trouvé !

C:\WINDOWS\msnfix.txt: trouvé !

C:\WINDOWS\system32\*.msnfix: trouvé !

 

 

EDIT : oui ca me le fait toujours :/

Modifié le 18 octobre 2009 par Charlie51_22

[Falkra]

Tu n'as pas choisi de supprimer ce qui a été trouvé.

Refais stp.

[Charlie51_22]

Si j'avais mis supprimé sauf que j'ai collé le rapport avant la suppression :/

 

 

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

 

--> Recherche:

 

C:\TB.txt: trouvé !

C:\*.msnfix: trouvé !

C:\_OTM: trouvé !

C:\Toolbar SD: trouvé !

C:\Rsit: trouvé !

C:\Documents and Settings\charle\Bureau\OTM.exe: trouvé !

C:\Documents and Settings\charle\Bureau\HijackThis.exe: trouvé !

C:\Documents and Settings\charle\Bureau\ToolBarSD.exe: trouvé !

C:\Documents and Settings\charle\Bureau\hijackthis.log: trouvé !

C:\Documents and Settings\charle\Bureau\Rsit.exe: trouvé !

C:\Documents and Settings\charle\Recent\MSNFix.lnk: trouvé !

C:\Documents and Settings\charle\Recent\HijackThis.lnk: trouvé !

C:\WINDOWS\msnfix.txt: trouvé !

C:\WINDOWS\system32\*.msnfix: trouvé !

 

---------------------------------

--> Suppression:

 

C:\Documents and Settings\charle\Bureau\OTM.exe: supprimé !

C:\Documents and Settings\charle\Bureau\HijackThis.exe: supprimé !

C:\Documents and Settings\charle\Bureau\ToolBarSD.exe: supprimé !

C:\Documents and Settings\charle\Recent\MSNFix.lnk: supprimé !

C:\Documents and Settings\charle\Recent\HijackThis.lnk: supprimé !

C:\TB.txt: supprimé !

C:\*.msnfix: ERREUR DE SUPPRESSION !!

C:\Documents and Settings\charle\Bureau\hijackthis.log: supprimé !

C:\Documents and Settings\charle\Bureau\Rsit.exe: supprimé !

C:\WINDOWS\msnfix.txt: supprimé !

C:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !!

C:\_OTM: supprimé !

C:\Toolbar SD: supprimé !

C:\Rsit: supprimé !

 

 

EDIT : La session s'est correctement désinstallée après plusieurs tentatives

Modifié le 18 octobre 2009 par Charlie51_22

[Falkra]

Ha pas grave, ok, pas grave pour msnfix non plus.

 

Pour les comptes utilisateurs, Windows est bien à jour ?

 

Essaie ça :

 

• Télécharge Dial-a-fix-v0.60.0.24 => http://djlizard.net/software/Dial-a-fix-v0.60.0.24.zip
  
• Enregistre-le sur ton Bureau.
  
• Décompresse le puis double-clique sur le dossier " Dial-a-fix" qui vient d'être créé puis sur le fichier "Dial-a-fix.exe".
  
• Si une fenêtre avec des permissions s'affiche, referme-la.
  
• Dans la fenêtre principale, coche uniquement "Control panel applets" (à droite), rien d'autre.
  
• Clique ensuite sur "GO" et laisse le logiciel travailler.
  
• Chaque action en cours est soulignée et une fois terminée elle se décoche automatiquement.
   
  
• Une fois la réparation terminée, ferme la fenêtre et fais redémarrer ton ordinateur, après vois si côté comptes ça marche mieux pour supprimer le compte en question.
  

 

Ca a cette tête là, la fenêtre principale :

[Charlie51_22]

J'ai fais la manip' mais le compte avait bien été supprimé avant au bout de 3 essais

 

Je commence à prendre goûts à ces différents logiciels...

 

Encore des étapes à faire?

 

De plus je vois que le nom d'utilisateur (par exemple sur le gestionnaire des tâches) est 'charle'. N'y a-t-il pas moyen de le renommer en 'Charles'? Si tu veux que je fasse d'autres analyses auparavant, pas de soucis.

[Falkra]

Plus de plantage mshta.exe ?

 

Renommer, on peut, mais c'est tout un truc, surtout avec XP Familial (le tien).

 

http://www.d2i.ch/pn/az/p.html#p022

http://www.aidewindows.net/utilisateurs.php

http://www.laboratoire-microsoft.org/scripts/20621/

[Charlie51_22]

Non il ne plante pu.

 

C'est ca que je confondais car le nom de ma session "était bien Charles mais le nom d'utilisateur était charle.

C'est deux trucs différents.

 

Reste-t-il des étapes à réaliser pour que mon ordinateur aille mieux (même si ca va 100x mieux maintenant )

[Falkra]

Non il ne plante pu.

C'est bien ça.

 

Ton PC est clean, mais quand tu es arrivé, tu pensais qu'il allait bien, qu'il y avait juste un petit truc ou deux, et en fait, ça grouillait de bestioles; et avec deux antivirus, pas bons qui plus est : l'illusion de la sécurité, et ce n'est pas de ta faute, ni une question de niveau technique, tu as très bien suivi toutes ces procédures, qui sont compliquées : bravo.

 

Maintenant, je vais te poster un gros paquet de trucs pour sdécuriser ta machine et éviter que ça se reproduise.

 

Pour ça, poste moi un dernier rapport HijackThis stp, pour faire le point.

Si ToolsCleaner l'a supprimé, voici le lien :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

(tu pourras le virer d'ici un post ou deux)

[Charlie51_22]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:10:55, on 18/10/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16915)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\Documents and Settings\charle\Bureau\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {34F12AFD-E9B5-492A-85D2-40FA4535BE83} (AxProdInfoCtl Class) - http://www.symantec.com/techsupp/activedata/nprdtinf.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe

O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

 

--

End of file - 8147 bytes

[Falkra]

Propret tout ça.

Passe le mot à tes amis, et parle-leur de tous ces logiciels, et de Zebulon si tu veux.

Si ça se trouve, eux aussi ont des PC infectés.

 

Garde MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines.

Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.

Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats.

 

Un "vrai" pare-feu est une nécessité, et je n'en vois pas ici, en dehors du pare-feu (basique de l'OS), je te conseille Online Armor free, qui est disponible en français, plutôt facile à prendre en main, et efficace.

 

Voici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1644

 

-----------

 

Passe à IE8 (bien plus rapide, plus fiable, plus récent) :

http://www.microsoft.com/windows/internet-...er/default.aspx

Même si tu ne l'utilises pas, des tas de programmes ont besoin d'IE, et le 8 est plus rapide, plus efficace, et plus à jour. A faire.

 

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

Et voici un tuto JavaRa

Et bien sûr, Windows Updates.

 

Rends toi sur cette page de configuration du plugin Flash.

Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours.

Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage.

 

Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares.

Pour tout savoir sur le plugin flash : la FAQ du plugin Flash

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

Plus d'infos dans cette FAQ sécurité.

 

Tout cela est long et dense, alors prends ton temps, et n'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).