[Résolu] Je pense que mon PC est infecté

zesuila · le 20 juillet 2010

Bonjour a tous,

Voici un rapport Hi Jack This que je viens de lancer.

Je pense que mon Pc est infecté Qu'en pensez vous ?

Merci d'avance

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:37:56, on 20/07/2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v7.00 (7.00.6002.18005)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe

C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe

C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Users\indyol\AppData\Roaming\regsdkrl32\regsdkrl13.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Synaptics\SynTP\SynTPHelper.exe

C:\Windows\system32\wuauclt.exe

C:\Windows\explorer.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Glary Utilities\Integrator.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Babylon Search

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = %s - Yahoo! France Résultats de recherche

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Program Files\Tall Emu\Online Armor\oaui.exe"

O4 - HKLM\..\Run: [vtrssrsys] rundll32.exe "qomjig.dll",DllRegisterServer

O4 - HKLM\..\Run: [cbyaxusys] rundll32.exe "qomjig.dll",DllRegisterServer

O4 - HKLM\..\Run: [cbyabasys] rundll32.exe "qomjig.dll",DllRegisterServer

O4 - HKCU\..\Run: [regsdkrl32] C:\Users\indyol\AppData\Roaming\regsdkrl32\regsdkrl13.exe

O4 - HKCU\..\Run: [jkheffsys] rundll32.exe "qomjig.dll",DllRegisterServer

O4 - HKCU\..\Run: [jkkiiisys] rundll32.exe "qomjig.dll",DllRegisterServer

O4 - HKUS\S-1-5-18\..\Run: [rqpmkjsys] rundll32.exe "qomjig.dll",DllRegisterServer (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [fcbywxsys] rundll32.exe "qomjig.dll",DllRegisterServer (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [rqpmkjsys] rundll32.exe "qomjig.dll",DllRegisterServer (User 'Default user')

O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

O17 - HKLM\System\CCS\Services\Tcpip\..\{A1921C75-81C8-43DB-BAC6-67BA511ACF81}: NameServer = 8.8.8.8,8.8.4.4,8.8.8.8,8.8.4.4

O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Cobian Backup 9 service (CobianBackupAmanita) - Luis Cobian - C:\Program Files\Cobian Backup 9\cbService.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: Online Armor Helper Service (OAcat) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\OAcat.exe

O23 - Service: PS3 Media Server - Unknown owner - C:\Program Files\PS3 Media Server\win32\service\wrapper.exe

O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\oasrv.exe

O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe

O23 - Service: TVersityMediaServer - Unknown owner - C:\Users\indyol\AppData\Local\TVersity\Media Server\MediaServer.exe

--

End of file - 7723 bytes

Modifié le 25 juillet 2010 par zesuila

Florinator · le 20 juillet 2010

Bonjour zesuila

Effectivement la machine est infecté.

Fais ceci stp:

Télécharge MBAM

Installe le
Lance l'outil
Coche "Executer un examen complet"
Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
Clique sur Supprimer la sélection
Pour poster le rapport clique sur l'onglet Rapports/Log et
Sélectionne celui t'intéresse et clique sur Ouvrir
Fait copier coller et poste le rapport stp

A++

zesuila · le 20 juillet 2010

Merci Florinator

Je m'en occupe de suite et t'envoie le rapport

zesuila · le 20 juillet 2010

VOIL0 LE RAPPORT

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Version de la base de données: 4329

Windows 6.0.6002 Service Pack 2

Internet Explorer 7.0.6002.18005

20/07/2010 14:22:28

mbam-log-2010-07-20 (14-22-28).txt

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 382306

Temps écoulé: 2 heure(s), 15 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 9

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Amnesiac (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jkheffsys (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jkkiiisys (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vtrssrsys (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cbyaxusys (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cbyabasys (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rqpmkjsys (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fcbywxsys (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rqpmkjsys (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fcbywxsys (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

C:\Program Files\Anti-Leech (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Florinator · le 20 juillet 2010

Bonsoir zesuila

Ok, tout n'a pas été supprimé:

Télécharge sur le bureau OTM crée par de Old_Timer

Enregistre-le sur ton Bureau.
Double-clique dessus.
Copie la liste qui se trouve dans la zone code ci-dessous et colle-la dans le cadre de gauche sous "Paste instructions for Items to be Moved".

go

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"regsdkrl32"=-

:Files
C:\Users\indyol\AppData\Roaming\regsdkrl32\regsdkrl13.exe

:Commands
[clearallrestorepoints]
[emptytemp] 
[ZipFiles]
[Reboot]

Clique sur "MoveIt!" pour lancer la suppression. Le résultat apparaitra alors dans le cadre "Results"
Copie/Colle ce résultat
Clique sur Exit pour fermer.

Remarque: Il est possible qu'il te soit demandé de redémarrer ton ordinateur pour supprimer les fichiers,ce redémarrage peut être plus long qu’à l’accoutumé.Accepte et dans ce cas, après redémarrage, tu trouveras justement le rapport dans le dossier C:\OTMoveIt\MovedFiles.

Si ton Bureau ne réapparaît pas:
- Fais CTRL+ALT+SUPP pour ouvrir le Gestionnaire de tâches.
- Clique en haut à gauche sur "Fichier"
- Choisi "Nouvelle tâche" (Exécuter ...)
- Tape "explorer" et valide.
- Cela fera apparaître ton Bureau.

A++

zesuila · le 21 juillet 2010

bonjour

le lien ne fonctionne pas :

403 Forbidden

Access to this resource on the server is denied!

que faire ?

Thanos · le 21 juillet 2010

salut @ vous deux

Petite incruste pour te donner un autre lien zesuila => OTM par OldTimer

bonne désinfection

zesuila · le 21 juillet 2010

Merci Thanos :super:

voilà le rapport de OTM

All processes killed

Error: Unable to interpret <go> in the current context!

========== REGISTRY ==========

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\regsdkrl32 deleted successfully.

========== FILES ==========

C:\Users\indyol\AppData\Roaming\regsdkrl32\regsdkrl13.exe moved successfully.

========== COMMANDS ==========

Restore point Set: OTM Restore Point

[EMPTYTEMP]

User: All Users

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

->Flash cache emptied: 56504 bytes

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

User: indyol

->Temp folder emptied: 738821 bytes

->Temporary Internet Files folder emptied: 170416 bytes

->Java cache emptied: 19371515 bytes

->FireFox cache emptied: 124548428 bytes

->Flash cache emptied: 3173 bytes

User: LangloO.EDA-FR

->Temp folder emptied: 0 bytes

User: Public

->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 43688 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 4090750 bytes

RecycleBin emptied: 3513578 bytes

Total Files Cleaned = 145,00 mb

OTM by OldTimer - Version 3.1.15.0 log created on 07212010_134252

All processes killed

OTM by OldTimer - Version 3.1.15.0 log created on 07212010_134247

Files moved on Reboot...

Registry entries deleted on Reboot...

A la réouverture de windows , j'ai en revanche toujours des popups qui s'ouvrent : erreur de chargement de qomjig.dll

le module spécifié est introuvable (j'en ai 4 ou 5 qui s'ouvrent)

alors docteur(s) ?

zesuila · le 21 juillet 2010

et je viens de voir qu'au démarrage il y a plusieurs fichiers qui se mettent en route, toujours en rapport j'ai l'impression avec ce virus :

voici les nom et chemin d'accés :

- vtrssrsys - rundll32.exe "qomjig.dll",DllRegisterServer

- cbyaxusys - rundll32.exe "qomjig.dll",DllRegisterServer

- jkheffsys - rundll32.exe "qomjig.dll",DllRegisterServer

- jkkiiisys - rundll32.exe "qomjig.dll",DllRegisterServer

- rqpmkjsys - rundll32.exe "qomjig.dll",DllRegisterServer

- fcbywxsys - rundll32.exe "qomjig.dll",DllRegisterServer

- cbyabasys - rundll32.exe "qomjig.dll",DllRegisterServer

voilà !

Florinator · le 21 juillet 2010

Bonsoir

Merci Thanos :super:

Zesuila, ils se réactivent entre eux, et une suppression s'est faite tardive par le fait qu'il soit méconnu.

Rends toi sur senduit | Share easily.
Choisis ce fichier C:\_OTM\MovedFiles\date et heure supression.zip
Il se peut que le .zip n'apparaisse pas
Mets 2 days à "Expire in" puis "Upload"
A la fin tu as un lien que je te demanderai de me poster par MP, et seulement par MP

Une fois fait on supprimera tout d'un seul trait.

A++

Connexion

Pas encore inscrit ?

[Résolu] Je pense que mon PC est infecté

Messages recommandés

zesuila

Florinator

zesuila

zesuila

Florinator

zesuila

Thanos

zesuila

zesuila

Florinator

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer