[Résolu] Intrusion

[domdom63]

Bonsoir bernard 53,

il est de retour !!!!

 

il était caché dans un executable d'install officiel de firefox

 

Il envoie un trojan detectable et paf about blank dossier caché etc...

 

du coup encore pire j'ai ça en hijackis

 

notamment en 10

 

je vais déjà tenter avec spybot etc....

là malware tourne

 

puis je ferai LSPfix

 

Mayday

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 20:18:02, on 08/12/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\BitDefender\BitDefender 2011\vsserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Uniblue\RegistryBooster\rbmonitor.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\BitDefender\BitDefender 2011\updatesrv.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe

C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\BitDefender\BitDefender 2011\bdagent.exe

C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Documents and Settings\MDGCL\Menu Démarrer\Programmes\TrayStatus\TrayStatus.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\MDGCL\Mes documents\Downloads\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Canon Easy-WebPrint EX BHO - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexbho.dll

O2 - BHO: Désactivation du cookie publicitaire - {8E425EB4-ADBD-4816-B1E8-49BB9DECF034} - C:\Program Files\Google\Advertising Cookie Opt-out\opt_out.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4F90-B10D-FC6124A40F8C} - C:\PROGRA~1\BITDEF~1\BITDEF~1\IEToolbar.dll

O3 - Toolbar: Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll

O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [bitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2011\ieshow.exe"

O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\BitDefender\BitDefender 2011\bdagent.exe"

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - Startup: TrayStatus.exe.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} (Détection de dispositifs) - http://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab

O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://oas.support.microsoft.com/ActiveX/MSDcode.cab

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab

O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (BitDefender QuickScan Control) - http://quickscan.bitdefender.com/qsax/qsax.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1281191653796

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/maconfig/MaConfig_5_2_1_0.cab

O16 - DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} (FTMediaPlayer Class) - http://webtv.guidetv.orange.fr/resources/OCS_9418.cab

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Canon Inkjet Printer/Scanner/Fax Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Sony Ericsson PCCompanion - Avanquest Software - C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: BitDefender Update Server v2 (Update Server) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe

O23 - Service: BitDefender Desktop Update Service (Updatesrv) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2011\updatesrv.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2011\vsserv.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

 

--

End of file - 8764 bytes

[bernard53]

bonsoir

 

pas de soucis avec tes lignes en 010 cela viens de chez nVidia IAM LSP Filter Resource

tu as un une intrusion

[domdom63]

et que fais je?

ils disent partout qu'elles sont dangereuses ces lignes

En plus Spybot detect nvidia daemon infecté

j'ai eu deux attaque via mbam trojan géneric 7013866 sur c/ system volume information\ restore\ puis des chiffres j'ai pris photo mes j'arrive pas à la joindre ou copier coller

bloquer soit disant par bit mais j'arrive toujours pas reprendre le controle about blank et l'affichage des dossiers cachés

[domdom63]

Regardes svp

 

 

Nom de fichier actuel: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

 

Etat base de données: Tout à fait inutile

Valeur: NvCplDaemon

Nom de fichier: rundll32.exe NvQtwk.dll, NvCplDaemon

 

Description

System Tray icon used to change display settings, change the clock rate and memory speed for nVidia based graphics cards. This is unnecessary since you can easily configure these settings the way you want them in the Display Properties and not have to mess with them again. Also disable the "NVIDIA Driver Helper Service" if enabled as it can cause this entry to be re-enabled on re-boot (note that this service can also cause extreme shutdown delays if enabled - see _here_)

 

Source: Paul Collins Startup list

____________________

 

Nom de fichier actuel: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

 

Etat base de données: Nécessaire selon les préférences de l'utilisateur

Valeur: NvCplDaemon

Nom de fichier: rundll32.exe NvCpl.dll, NvStartup

 

Description

Intializes the clock and memory settings on nVidia based graphics cards. Enable if you overclock your card

 

Source: Paul Collins Startup list

____________________

 

Nom de fichier actuel: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

 

Etat base de données: Inutile - virus, spyware, malware ou autre dévoreur de ressources

Valeur: NvCplDaemon

Nom de fichier: msmsgrs.exe

 

Description

Added by the _DLOADER-YI_ TROJAN!

 

Source: Paul Collins Startup list

____________________

[bernard53]

Pour ceci.

c/ system volume information\ restore\

il s'agit tout simplement de la restauration système et le fait de purger celle-ci va résoudre ton soucis.

on ferra cela après.

 

Pour les reste laisse Spybot pour le moment et fait un scan en ligne ici.

 

ESET Online Scanner :: Antivirus, Désinfectant en ligne

 

ou la. un des sites.

 

Scanner votre ordinateur avec un antivirus en ligne | malekal's site

Modifié le 8 décembre 2011 par bernard53

[domdom63]

Coucou

c'est parti pour eset online

entretemps j'ai desisntaller malware et reinstaller depuis le lien mais pas fait encore

spybot m'a trouvé un s.....p.... qu'il m'a enlevé

et avec combofix et un redémarrage j'ai recuperéré la main sur dossiers cachés et about blank

par contre hikjackis peu plus rien et lmachinfix me dit no problem found pour ces lignes 10 qui n'existaient pas avant ce soir je crois

c'est normal que j'ai pls la main sur le PC pendant eset ?

A te lire

[domdom63]

Bonsoir Bernard53,

 

Vas tu ?

 

le temps passe passe passe..

 

Et comme grâce à toi j'ai la paix...

 

2 choses comment remercie t'on concrêtment

et comment passe t'on un sujet en résolu ?

 

Par avance

[Dylav]

Bonjour Domdom,

 

Si tu considères que la question est réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet…

 

[1] En bas du premier message de ton sujet, clique sur [Modifier]

[2] En bas de l'éditeur qui s'ouvre, clique sur [Utiliser l'éditeur complet]

[3] En haut de l'éditeur complet, ajoute [Abandonné] au titre de ton sujet.

 

Comment remercie-t-on concrètement ?

En disant « Merci Bernard », tout simplement… mais chaleureusement !

[bernard53]

bonsoir domdom63

 

comment remercie t'on concrètement

tu viens de donner de tes nouvelles que sont bonnes et c'est ce qui compte pour moi Cela ma suffit.

Bonne soirée

[domdom63]

Bonsoir Dylav,

 

Bonsoir Bernard53,

 

Bon l'un de vous 2 à du le faire puisque le sujet est noté résolu et que je n'ai pas encore agis.

 

Merci

 

Merci aussi pour votre aide du début à la fin, surtout Bernard53,

mais j'ai bien compris que Dylav guettait .

 

Une constation en forme d'"avisse à la populacionne"

la prochaine tour que je monte pour aller sur internet sera VIDE sauf l'essentiel parceque les 5 à 8 heures d'analyse sur mon débit internet A(la va comme je te pousse)DSL plus les heures pour sauvergarder les photos les musiques etc...

 

Voili Voilou

 

Espérant qu'un jour peut être

 

En tout cas changez rien

Enfin

si vous avez besoin j'ai aussi des domaines de compétence et vous pouvez me faire passer un mail.

 

A la prochaine