Infection Ou Faux Positif..?

[BaronDuCiel]

Bonjour à Tous!

 

Depuis environ avant-hier, mon ordinateur à un sévère problème, ou tout du moins Antivir; selon lui, tous les fichiers sont infectés, ce qui fait que je ne peut pas ouvrir le gestionnaire de tâches, ni supprimer des programmes, internet explorer est bloqué (Merci Firefox), et refuse d'ouvrir tout les programmes que je télécharge, mais m'ouvre aussi des fenêtres comme "Porno.org"... Ca aurais encore pû paraître normal si un jour je l'avais téléchargé, Antivir, mais il me semble qu'il soit arrivé tout seul. J'ai essayé de faire un rapport HiJackThis, mais la fenêtre se ferme quasiment deux secondes après que je l'ai ouverte, ce qui fait que je ne suis pas sûr qu'il soit complet. Je vous le colle ;

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:40:17, on 15/07/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Alwil Software\Avast5\AvastSvc.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\notepad.exe

D:\WINDOWS\RTHDCPL.EXE

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

D:\Program Files\Java\jre6\bin\jusched.exe

D:\Program Files\HP\HP Software Update\HPWuSchd2.exe

D:\Program Files\iTunes\iTunesHelper.exe

D:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\Windows Live\Messenger\msnmsgr.exe

D:\Program Files\Messenger\msmsgs.exe

D:\Program Files\Skype\Phone\Skype.exe

D:\Documents and Settings\Propriétaire\Local Settings\Application Data\ccvjnwlra\bcynwsotssd.exe

D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

D:\Documents and Settings\Propriétaire\Bureau\Limewire\LimeWire\LimeWire.exe

D:\Program Files\OpenOffice.org 3\program\soffice.exe

D:\Program Files\OpenOffice.org 3\program\soffice.bin

D:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

D:\Program Files\Bonjour\mDNSResponder.exe

D:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

D:\WINDOWS\system32\svchost.exe

D:\Program Files\Java\jre6\bin\jqs.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\Program Files\iPod\bin\iPodService.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Documents and Settings\Propriétaire\Bureau\HiJackThis.exe

D:\Documents and Settings\Propriétaire\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - D:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - D:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - D:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - D:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "D:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [ORAHSSSessionManager] "D:\Program Files\OrangeHSS\SessionManager\SessionManager.exe"

O4 - HKLM\..\Run: [HP Software Update] D:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [wcdrjund] D:\Documents and Settings\Propriétaire\Local Settings\Application Data\ccvjnwlra\bcynwsotssd.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast5] D:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\msn

Modifié le 15 juillet 2010 par BaronDuCiel

[BaronDuCiel]

exe" /background

O4 - HKCU\..\Run: [swg] "D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [JDK5SWFMZY] D:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Fsh.exe

O4 - HKCU\..\Run: [wcdrjund] D:\Documents and Settings\Propriétaire\Local Settings\Application Data\ccvjnwlra\bcynwsotssd.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: LimeWire On Startup.lnk = ?

O4 - Startup: OpenOffice.org 3.1.lnk = D:\Program Files\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Google Sidewiki... - res://D:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

O9 - Extra button: Show or hide HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - D:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name)

Modifié le 15 juillet 2010 par BaronDuCiel

[BaronDuCiel]

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

Modifié le 15 juillet 2010 par BaronDuCiel

[Florinator]

Bonjour Baron

 

C'est le beau travail d'un rogue!C'est devenu une vrai saloperie et la bestiole m'interresse.

Ok, suis ceci stp et n'hesites pas à me demander si tu ne comprends pas:

 

1)

Télécharge sur le bureauMBAM

Télécharge sur le bureau OTM

=>Ne les éxécutes pas pour l'instant, si tu ne peux pas le faire de ton pc, transferts le par clé USB, pour l'ouvrir tu ne doubles clique pas dessus mais tu fais clique droit puis explorer pour éviter que les infections se propagent par voies usb.

 

 

• Redemarre en Mode Sans Echec
  
• Appuie sur F5 ou F8 au demarrage du pc
  
• Choisi "démarrer en Mode Sans Echec"

 

 

2)

• Double-clique sur OTM.
  
• Copie la liste qui se trouve dans la zone code ci-dessous et colle-la dans le cadre de gauche sous "Paste instructions for Items to be Moved".

 

go
:Processes
bcynwsotssd.exe 

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"wcdrjund"=-

:Files
d:\documents and settings\propriétaire\local settings\application data\ccvjnwlra\bcynwsotssd.exe

:Commands 
[ZipFiles]
[Reboot] 

 

 

• Clique sur "MoveIt!" pour lancer la suppression. Le résultat apparaitra alors dans le cadre "Results"
  
• Copie/Colle ce résultat
  
• Clique sur Exit pour fermer.

 

Remarque: Il est possible qu'il te soit demandé de redémarrer ton ordinateur pour supprimer les fichiers,ce redémarrage peut être plus long qu’à l’accoutumé.Accepte et dans ce cas, après redémarrage, tu trouveras justement le rapport dans le dossier C:\OTMoveIt\MovedFiles.

 

• Si ton Bureau ne réapparaît pas:
  - Fais CTRL+ALT+SUPP pour ouvrir le Gestionnaire de tâches.
  - Clique en haut à gauche sur "Fichier"
  - Choisi "Nouvelle tâche" (Exécuter ...)
  - Tape "explorer" et valide.
  - Cela fera apparaître ton Bureau.

 

 

3)

Revenu en mode normal

• Installe MBAM
  
• Lance l'outil
  
• Coche "Executer un examen complet"
  
• Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
  
• Clique sur Supprimer la sélection
  
• Pour poster le rapport clique sur l'onglet Rapports/Log et
  
• Sélectionne celui t'intéresse et clique sur Ouvrir
  
• Fait copier coller et poste le rapport stp
  

 

A++

Modifié le 15 juillet 2010 par Florinator

[BaronDuCiel]

Merci à toi Florinator ! j'ai quelques soucis quyi font que je n'arrive pas a poster la fin de mon hiJackthis, et parfois je dois m'y repprendre à quelques dizaines d'essai afin de poster mon message. Je vais essayer ta technique, et encore merci de s'occuper de moi si rapidement ^^

[Florinator]

Re,

 

Pas de soucis

Oublies Hijackthis pour l'instant j'ai les infos qu'il me faut, on creusera un peu plus quand le pc redeviendra utilisable.

Il sagit d'un faux logiciel antivirus, rien à voir avec Antivir, si il te propose d'acheter quoique ce soit tu refuses, idem pour les supressions.

Ton seul Antivirus (si il n'est pas abîmé) c'est avast!, le reste tu ne suis pas.

 

A++

[BaronDuCiel]

========== PROCESSES ==========

No active process named bcynwsotssd.exe was found!

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\wcdrjund not found.

========== FILES ==========

File/Folder d:\documents and settings\propriétaire\local settings\application data\ccvjnwlra\bcynwsotssd.exe not found.

========== COMMANDS ==========

 

OTM by OldTimer - Version 3.1.14.0 log created on 07152010_152724

 

Je crois qu'il y a eu un soucis, j'ai pris l'initiative de ne pas recopier le "Go" que tu avais mis avant "Process", ça me disait que ça ne pouvait pas l'interpréter.

 

Sinon, Internet en mode sans échec, c'est super (Y)

[Florinator]

Le "Go" était volontaire, donc était à reproduire.

Combien de fois a tu passé OTM?

 

Passe Mbam maintenant.

 

A++

[BaronDuCiel]

J'ai finalement mis le "Go devant", puis redémarré.(J'ai dû retaper la commande environ 2 ou 3 fois) J'essaye Mbam. En tout cas, je n'ai déjà plus de popup me disant que je ne suis pas protégé, c'est un super point ! Merci ^^

[Florinator]

Ok,

Le scan de MBAM peut être long,

Laisse lui bien le temps de tourner, son passage sera efficace.

 

A++