Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

lenteur, puis dysfonctionnement et en final blocage complet

topp

Par topp
dans Sécurisation, prévention

 Partager

Messages recommandés

topp Power Member

topp

Posté(e)
Posté(e) (modifié)

bonjour

 

problèmes de sécurité, attaque virale ou mauvaise configuration , je ne sais trop.

j'espere ne pas me tromper de sous-forum. Antivir ne detecte rien, mais cela ne veut rien dire.

je transmets un rapport hijack.

 

Sans vouloir raconter ma vie, pendant les vacances, j'ai reçu du monde et laissé libre accès à mon micro. Entre celui qui ne pouvait pas se passer de son jeu, celui qui voulait rechercher des musiques pour son ephone, ses mises à jour, voir un film, etc...

je me retrouve avec plein de truc. Je croyais avoir supprimer l'apple, mais j'ai reçu des propositions de mises à jour.

mozilla ne fonctionne plus.

Au début quelques ralentissements et quelques produits inutiles en plus. Mais maintenant l'ordi bloque comme s'il manquait de mémoire.

Impossible de l'éteindre par démarrer,arreter. obliger de couper, on/off. ce phenomene s'est amplifié depuis ce WE et rebelotte aujourd'hui.

 

Merci de votre aide

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:25:11, on 15/11/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\ZSSnp211.exe

C:\WINDOWS\Domino.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\Program Files\DivX\DivX Update\DivXUpdate.exe

C:\Program Files\I8kfanGUI\I8kfanGUI.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\OpenOffice.org 3\program\soffice.exe

C:\Program Files\OpenOffice.org 3\program\soffice.bin

C:\WINDOWS\system32\freecell.exe

C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\CrazyLoader\spointer\crazyloader_air.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll

O2 - BHO: Interest recogniser for Crazyloader (powered by Spointer) - {C5F65718-341D-4e7d-9842-FCB9CC89527E} - C:\Program Files\CrazyLoader\spointer\extensions\crazyloader_air_ie.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe

O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKCU\..\Run: [i8kfangui] C:\Program Files\I8kfanGUI\I8kfanGUI.exe /startup

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

O4 - HKCU\..\Run: [steam] "C:\Program Files\Steam\Steam.exe" -silent

O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: dlbu_device - - C:\WINDOWS\system32\dlbucoms.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010c\RpcAgentSrv.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

 

--

End of file - 8671 bytes

Modifié par topp

topp Power Member

topp

Posté(e)
  • Auteur
Posté(e)

bonjour

 

non, je n'ai pas fait MBAM.

Etant déjà passé par le sous-fourum sécurité, on t'explique que les nombreux outils qu'on te fait executer sont dangeureux entre les mains d'un neophyte, ce que je suis, et à n'utiliser que sous surveillance.

j'avais classé MBAM dans cette catégorie.

je vais lancer MBAM et poste le rapport.

As-tu vu à travers mon rapport Hijack, une possible infection? dans ce cas peut-être faudrait-il que je poste dans le sous forum Analyses et éradication malwares.

bleuet Godlike Member

bleuet

Posté(e)
Posté(e)

MBAM est d'un emploi grand public et très efficace. Tu fais soit une analyse complète, soit une rapide et tu suis les indications de MBAM en cas de demande de suppression. Tu peux avant de supprimer poster un rapport pour analyse.

Certains autres logiciels de désinfections demande de bien connaitre leurs fonctionnement et leur emploi "non averti" peut causer des plantages graves. Mais tout ça est bien précisé sur le forum éradication malwares, et tu les emploies sous leurs indications et contrôle.

Le rapport ne montre rien d'anormal.

Apple

Crazyloader

domino.exe

 

Mais c'est toi qui a installé ?

 

 

;)

topp Power Member

topp

Posté(e)
  • Auteur
Posté(e) (modifié)

Apple : non. c'est quelqu'un qui voulait telecharger quelque chose pour son ephone. Je croyais l'avoir enlever, mais il est toujours là.

 

Crazyloader c'est un logiciel de telechargement qui m'est souvent proposé quand je désire regarder un film. j'ai dû répondre oui une fois, et sur le net cela n'a pas l'air d'être considéré comme un malware. Mais non, je n'en ai pas besoin, je ne télécharge pas en général tout au moins de façon détournée, ce qui est le rôle si j'ai bien compris de ce produit.

 

domino.exe je ne sais pas ce que c'est mais apres verification, ce programme se trouve à plusieurs niveau, windows, prefetch, programmefile, system32 doc and setting

 

voici le rapport

il a touvé 1 trojan et 1 programme pup.offerbox dans 6 endroits. ce dernier ne semble pas être un malware mais un acces à un site de vente. Je ne pense pas que ce soit moi, car je ne connais pas le site.

 

j'ai quand m^me fait suppression. Je poste et je redemarre pour finir l'operation

 

 

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 5125

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

16/11/2010 15:30:54

mbam-log-2010-11-16 (15-30-54).txt

 

Type d'examen: Examen complet (C:\|)

Elément(s) analysé(s): 371592

Temps écoulé: 2 heure(s), 24 minute(s), 15 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 2

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{fc0d62c2-9640-4aeb-a5d5-cf25df11fa8c} (PUP.OfferBox) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fc0d62c2-9640-4aeb-a5d5-cf25df11fa8c} (PUP.OfferBox) -> No action taken.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Program Files\OfferBox (PUP.OfferBox) -> No action taken.

C:\Documents and Settings\invite\Application Data\OfferBox (PUP.OfferBox) -> No action taken.

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\Datasave.dll (Trojan.Vundo.H) -> No action taken.

C:\Program Files\OfferBox\OfferBoxBHO.dll (PUP.OfferBox) -> No action taken.

C:\Documents and Settings\invite\Application Data\OfferBox\config.xml (PUP.OfferBox) -> No action taken.

Modifié par topp
bleuet Godlike Member

bleuet

Posté(e)
Posté(e)

Il a bien des infections ! virtumonde et offerBox bien gênant.

topp Power Member

topp

Posté(e)
  • Auteur
Posté(e) (modifié)

apres avoir fini la suppression, j'ai relancé malwarebytes, il ne trouve plus rien.

 

Je ne sais ce qu'est virtumonde

 

il a supprimé programefiles/offerbox/ il me reste à supprimer les doc and setting.

il restera à supprimer ce qui ressemble à 2 raccourcis se trouvant dans le dossier "offerbox(ww.offerbox.com)"

je ne sais pas ce que c'est ce dossier, ce repertoire

 

par contre est-ce vraiment ça qui bloquait le micro. A voir demain si j'ai toujours udes blocages

 

 

j'ai supprimé Crazyloader. Par contre apple n'apparait pas dans ajout/sup pgm. je ne comprends pas que tout n'ait pas été désinstallé.

par contre domino.exe, je ne sais ce que c'est, il n'apparait pas dans le panneau de config, ajout/supp pgm

Je me demande d'ailleurs aussi ce qu'est C:\Program Files\Bonjour\mDNSResponder.exe

qui n'apparit pas non plus.

Modifié par topp
topp Power Member

topp

Posté(e)
  • Auteur
Posté(e)

bonjour,

 

j'ai la reponse, le micro bloque toujours. je perds l'affichage des contenus quand la souris passe dessus.

il y a une petite fenêtre qui s'ouvre, et j'ai réussi à voir le contenu : mémoire insuffisante, fermer des application (pas à la virgule près)

 

j'avais lancé le gestionnaire des tâches avant, il n'annonçait que 4% d'uc

 

rebelotte, no/off pour éteindre

topp Power Member

topp

Posté(e)
  • Auteur
Posté(e) (modifié)

j'espere que je vais pouvoir poster, car tout s'est bloqué au moment où j'écrivais.

 

donc pas de problème pour domino, à vérifier avec mon appareil photo

et bonjour/MDNSResponder.exe n'est pas un malware mais à virer car je n'ai pas d'ephone

 

pour Vundo, mbam a dû l'éliminer car ni VundoFix, ni ComboFix n'ont trouvé quelque chose

mbam non plus

et je ne vois rien sur HijackThis (je ne suis pas une reference) pas le paires 02/20 décrites dans le lien, ni en 04 les virgules avec une lettre en fin de fichier.

mais dans le 1er rapport HijackThis il semble ne pas y avoir non plus.

 

A signaler le crash continue, mais cette fois-ci il y a eu encore une fenêtre mais pas memoire insuffisante mais "l'instruction 0x2727b7f emploie l'adresse mémoire 0:00000000 et puis écran bleu (ça faisait longtemps)

 

et j'ai eu 2 alertes antivir (idem hier) j'ai noté le dernier (à peu près, il ya eu le crash dans la foulée) : "tr/trash.gen a été trouvé c\syteme volume ...information/...\A0088371.dll"

or le seul site que je consultais était zebulon. Je ne mets pas en cause zebulon, bien sûr, mais peut-être un virus sur mon poste qui essaierait de se connecter.

 

pour citer le site en lien :Attention : cette infection est coriace et donc recommandée aux gens ayant quelques connaissances de l'informatique ! Sinon créez un nouveau sujet sur un forum de sécurité pour vous faire aider !

 

alors je renvoie un rapport? lequel?

y a-t-il une solution?

Modifié par topp

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...