Pc infecté

[Kem51]

Bonjour,

Pour commencer simplement, mon PC est infecté ^^' Bon j'en suis certains car j'ai de la pub qui s'affiche automatiquement et puis mon antivirus Antivir gueule à chaque démarrage du pc.

Par contre je ne m'y connais pas bcp et je ne saurais dire par quoi je suis infecté. J'ai effectué un rapport Hijack mais pas en mode sans échec car je ne peux pas.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:13:00, on 02/04/2011

Platform: Unknown Windows (WinNT 6.01.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16722)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\VIA\VIAudioi\VDeck\viaaud.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe

C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

C:\Program Files\DivX\DivX Update\DivXUpdate.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\DAEMON Tools Lite\DTLite.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\OfferBox\OfferBox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Users\kemal\Desktop\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\tbDVDV.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Program Files\OfferBox\OfferBoxBHO.dll

O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\tbDVDV.dll

O4 - HKLM\..\Run: [VIAAUD] C:\Program Files\VIA\VIAudioi\VDeck\VIAAUD.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [Tdegazayujupiliy] rundll32.exe "C:\Users\kemal\AppData\Local\wbenpwm.dll",Startup

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')

O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe

O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\kemal\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O13 - Gopher Prefix:

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) -

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: OpenSSH Server (OpenSSHd) - Unknown owner - C:\Program Files\OpenSSH\bin\cygrunsrv.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 6714 bytes

 

En fait j'ai un autre problème, ça ne me dérangerait pas de formater mais le soucis c' que mon pc portable est récemment passé sous les roues d'une voiture, je n'ai plus d'écran mais le pc lui fonctionne encore très bien. je l'utilise en fixe sur un autre écran qui ne s'affiche qu'au milieu du démarrage, donc je ne peux pas lancer la restauration totale du système car je ne vois rien au début:s

 

Donc ma seule solution serait de nettoyer mon pc. Encore une chose il est souvent conseillé lors de nettoyage de redémarrer en mode sans échec je ne peux pas non plus, car je ne vois rien au démarrage du système (à moins qu'on puisse le faire quand il est déjà allumé ), enfin je sais pas si j'arrive bien à m'expliquer ^^'

 

Je ne pense pas avoir un gros virus (enfin, c' très subjectif ^^) car je n'ai pas de gros plantage si ce n'est que mon pc redémarre tout seul après m'avoir afficher un écran bleu avec bcp de chose écrites "crash disk ... " c' tt ce que j'ai retenu, je ne sais pas si ça viens vraiment du virus (à vous de me le dire?) sinon j'essayerais de retranscrire le plus d'info lorsque ça se reproduira.

 

En tout cas, merci bcp à ceux qui essayeront de m'aider =)

++

[bernard53]

Bonjour

 

fait ceci s.t.p

 

Relance HijackThis >puis : Do a system scan only > coche ces lignes: ensuite valides sur Fix checked

 

O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Program Files\OfferBox\OfferBoxBHO.dll

O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\tbDVDV.dll

O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\tbDVDV.dll

O4 - HKCU\..\Run: [Tdegazayujupiliy] rundll32.exe "C:\Users\kemal\AppData\Local\wbenpwm.dll",Startup

O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe

 

 

ensuite ceci.

 

 

 

Télécharger AD-Remover (créé par C_XX) :

 

Ad-Remover : Telechargement

 

Cliquez sur "DOWNLOAD " et enregistrez-le "sur votre bureau"

 

Une fois téléchargé sur votre bureau, double-cliquez sur son icone pour lancer l'installation.

 

Sous vista et Windows7 : clic droit sur son icone et sélectionnez "Exécuter en tant qu'administrateur".

L'installation se fera automatiquement.

 

A l'écran principal, cliquez sur Nettoyer pour exécuter le nettoyage.

 

Une fois l'ordinateur redémarré, il ne vous reste plus qu'à copier/coller le rapport sur le forum comme le précédent.

Le rapport se trouve à cet endroit : C:\Ad-Report-CLEAN[1].txt

 

 

Puis ceci comme contrôle s.t.p

 

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

 

 

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.

Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

 

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

 

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

[Kem51]

Bonsoir, et merci pour ton soutien =)

Alors :

Hijack fait.

 

Rapport Ad-Remover :

Cliquez ici.

 

Rapport ZHPDiag :

Cijoint.fr - Service gratuit de dépôt de fichiers

(Je n'arrivais pas à le charger sous un autre format :s)

 

Alors je t'explique tout va de plus en plus mal, les pubs ne s'affichent plus sur Offerbox mais directement sur mozilla, et parfois les pages se rechargent ttes seules. Là j'ai eu un message bidon me disant que j'étais infecté et qu'une analyse gratuite allait être faite (en anglais) mais je n'ai pas fait "ok" et ai cliqué sur la croix pour fermer le message ensuite, un onglet mozilla s'est allumé sur un site avec une bar de chargement... j'ai fermé aussitôt (c'était rapide) ça n'a pas du avoir le temps de finir, mais bon je ne sais pas si ça aurait changé qqch ^^'

 

Voila les adresses des sites qui se sont affichés dernièrement :

 

""/webavck-5.co.cc/scan/?key=5Vte7iKBOsbcq3vcBSCru-yZz9m-9NfWObKXloWwBXk~""

""/crappies.com/?xurl=http://hytr8lzz02.com/mVl0v3wE6C6MNdu254caa959155976c1e76c0893e29cf9c016c&xref=http://crappies.com/default.pk?tsearch=ci+jointrid=02a95f73b182810b22ea5695cddf2f3f56a5b17bd883615120c0eea553e79df8755dbc1f65bd13c2e8da3cf5609315das=Go""

""/206.161.121.100/d/98062/c364e27cf3cde7ab630efda47a92eb77/M2/0""

 

Comme j'ai fermé les onglets aussitôt, j'ai récupéré les adresses en les copiant à partir de l'historique, voilà je ne sais pas si ça peut aider :s ^^'

 

PS : je ne me connecte pas souvent, je suis en période de révision, je fais de mon mieux pour me connecter régulièrement, mais je pensais que les analyses seraient plus longues alors j'ai attendu d'avoir un peu de temps. En tout cas merci pour votre aide et votre patience.

A bientôt, si mon pc ne me lâche pas avant xD

[bernard53]

ok ceci s.t.p

 

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

C:\Windows\Prefetch\OFFERBOX.EXE-39972C8C.pf

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

 

ensuite ceci.

 

 

Installe Malewarebytes' Antimalware,

 

Malwarebytes

 

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

[Kem51]

Bonsoir,

Alors :

 

Rapport ZHPfix :

 

Rapport de ZHPFix 1.12.3274 par Nicolas Coolman, Update du 06/04/2011

Fichier d'export Registre : C:\ZHPExportRegistry-08-04-2011-21-54-05.txt

Run by kemal at 08/04/2011 21:54:05

Windows 7 Home Premium Edition, 32-bit (Build 7600)

Web site : ZHPFix Fix de rapport

 

========== Valeur(s) du Registre ==========

FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"

FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"

FirewallRaz (Domain) : NetPres-In-TCP-NoScope => Valeur supprimée avec succès

FirewallRaz (Domain) : NetPres-Out-TCP-NoScope => Valeur supprimée avec succès

FirewallRaz (None) : NetPres-WSD-In-UDP => Valeur supprimée avec succès

FirewallRaz (None) : NetPres-WSD-Out-UDP => Valeur supprimée avec succès

FirewallRaz (Public) : NetPres-In-TCP => Valeur supprimée avec succès

FirewallRaz (Public) : NetPres-Out-TCP => Valeur supprimée avec succès

FirewallRaz (None) : {5DA0DA3D-0F29-4899-A0F9-4FCC850BBCB6} => Valeur supprimée avec succès

 

========== Dossier(s) ==========

Dossiers temporaires Windows supprimés: 561

 

========== Fichier(s) ==========

Fichiers temporaires Windows supprimés : 1824

 

 

========== Récapitulatif ==========

9 : Valeur(s) du Registre

1 : Dossier(s)

1 : Fichier(s)

 

 

End of the scan

 

Rapport Malwarebythe (1fichier trouvé) :

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6315

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

08/04/2011 22:57:02

mbam-log-2011-04-08 (22-57-02).txt

 

Type d'examen: Examen complet (B:\|C:\|D:\|)

Elément(s) analysé(s): 294609

Temps écoulé: 52 minute(s), 56 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\Users\kemal\AppData\Local\wbenpwm.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.

 

Voilà, par contre je viens de voir qu'Antivir ne surveille plus rien, le parapluie est fermé, j'ai tenté de redémarrer "Antivire Guard", ça ne fonctionne pas :s normal? Sachant qu'avant de commencer les analyses ça fonctionnait.

Encore m'ci =)

[Kem51]

finalement, j'ai désinstallé et réinstallé Antivir, ça fonctionne =) Mais au court de l'installation, pendant l'installation des fichiers, un message s'est affiché disant "l'installation a échouéé, on ne pouvait faire qu'"ok" et il n'y avait pas plus d'info :s pourtant derrière ce message Antivir a continué tranquillement son installation, donc j'ai clické sur le ok .. Donc j'en déduis qu'il ne s'agissait pas de l'installation d'Antivir mais d'autre chose qui aurait échoué, mais je ne sais pas quoi .

[bernard53]

Bizarre pour Antivir mais l'essentiel est que tout va dans l'immédiat.

 

Est ce que tout va bien maintenant?

[Kem51]

Eh bien pour l'instant ça a l'air d'aller, plus de pub, ni d'alerte antivir.

Je vous tiens au courant.

M'ci bcp =)

[bernard53]

Eh bien pour l'instant ça a l'air d'aller, plus de pub, ni d'alerte antivir.

Je vous tiens au courant.

M'ci bcp =)

[Kem51]

Il semblerait finalement que tout ne va pas aussi bien. Antivir m'a envoyé 2 alertes me disant qu'il a trouvé 83 infections ^^', j'ai fait une analyse entre les deux et il n'a rien donné, idem pour malwarebythe .... bizarre non?

j'ai enregistré le rapport de ces fameuses 83 infections bien que dans le rapport il n'en affiche "que" 41. Enfin voilà, j'espère que ce n'est pas trop grave xD

voilà le rapport :

 

Cijoint.fr - Service gratuit de dépôt de fichiers

 

encore merci =)