Jump to content

[LOGICIEL] [résolu] Trojan.Win32.Pakes.jke détecté


Recommended Posts

Bonjour

Je viens de choper un trojan malheureusement. J'ai essayé un scan de kaspersky mais il n'a rien découvert. Pourtant le surf sur le net est considérablement ralenti, je pense que c'est la cause du trojan.

Quels outils me conseillez-vous pour m'en débarasser? Je trouve pas d'info sur ce trojan précis par contre des Pakes y'en a des milliers apparemment.

Link to comment
Share on other sites

Donc il ne le trouve pas au scan mais il le trouve quand tu l'actives ...

désactives ta restauration système le temps de désinfecter.

démarre en mode sans échec et fais un scan avec KAV, voir s'il s'en sort mieux comme ça.

(http://www.kaspersky.com/viruswatchlite?search_virus=Trojan.Win32.Pakes.jke&x=10&y=2&hour_offset=4)

Fais également le rapport Hijackthis demandé plus haut (cf ma signature).

Link to comment
Share on other sites

Alors j'ai fait un rapport Hijack This. Apparement rien d'anormal. Ensuite comme conseillé par Snooky, j'ai lancé clean v2.0 Procédure 1. Il m'a supprimé pas mal de truc. Ensuite, toujours conseillé par Snooky, j'ai essayé le nouveau Kaspersky. Il est inutilisable sans license. Et comme je viens de désinstaller KAV 6 bien je l'ai plus... Quel autre antivirus aussi performant me conseillez-vous? Spybot m'a detecté Win32.Tiny.abk, il a été supprimé mais le problème persiste. Le surf sur le net est très lent.

J'ai un truc MMDK.exe dans mon dossier Temp ca doit être ça je pense, il était activé dans mon services.msc mais je l'ai désactivé. Dois-je le supprimer à la barbare?

Je viens de voir wuauclt.exe dans mon gestionnaire de tache c'est louche? Il a disapru.

Dois-je poster mon fichier clean.log?

Link to comment
Share on other sites

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:47:13, on 20/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\ASUS\Wireless Console\wcourier.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\WINDOWS\ATK0100\HControl.exe

C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = escamote:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Wireless Console] C:\Program Files\ASUS\Wireless Console\wcourier.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [intelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} - http://didagora.esc-rennes.fr/qp2.cab

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} - http://www.creative.com/su/ocx/15030/CTSUEng.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1151699783843

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://www.creative.com/su/ocx/15030/CTPID.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: FreePOPs - Unknown owner - C:\Program Files\FreePOPs\freepopsservice.exe (file missing)

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

--

End of file - 7341 bytes

A noter qu'Internet fonctionne correctement pendant 5 min après c'est super lent (genre 56K).

Link to comment
Share on other sites

Je teste MalwareByte, j'avais déjà fait un scan hier avec lui je recommence. Le trojan que j'ai a été détecté hier matin, il y a un update release dispo depuis hier après midi. Mais je peux pas utiliser Kaspersky (6 et 7). Je vais essayer la version 8. J'ai bien peur que le trojan arrive à rendre inutilisable Kaspersky car je peux lancer aucun scan.

Link to comment
Share on other sites

1°) J'ai fait le combo fix voici le script :

ComboFix 08-06-19.4 - Gigatoaster 2008-06-20 19:09:48.1 - NTFSx86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.805 [GMT 2:00]

Endroit: C:\Documents and Settings\Gigatoaster\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

((((((((((((((((((((((((((((( Fichiers créés 2008-05-20 to 2008-06-20 ))))))))))))))))))))))))))))))))))))

.

2008-06-20 17:39 . 2008-06-20 17:39 <REP> d-------- C:\Program Files\Panda Security

2008-06-20 17:35 . 2008-06-20 17:39 <REP> d-------- C:\WINDOWS\LastGood

2008-06-20 17:24 . 2008-06-20 17:26 <REP> d-------- C:\WINDOWS\LastGood.Tmp

2008-06-20 14:47 . 2008-06-20 14:47 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-06-20 13:43 . 2008-06-20 13:43 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-06-20 13:43 . 2008-06-19 17:55 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-06-20 13:43 . 2008-06-19 17:55 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-06-20 13:15 . 2008-06-20 17:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2008-06-20 13:14 . 2008-06-20 13:14 <REP> d-------- C:\KAV

2008-06-20 13:02 . 2008-06-20 13:02 4,594 --a------ C:\WINDOWS\system32\PerfStringBackup.TMP

2008-06-19 19:52 . 2008-06-20 16:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files

2008-06-19 18:54 . 2008-06-20 16:41 7,168 --ahs---- C:\WINDOWS\Thumbs.db

2008-06-19 18:51 . 2001-09-28 14:00 3,374,512 --a------ C:\WINDOWS\system32\dllcache\tourW.exe

2008-06-19 18:50 . 2004-08-05 14:00 19,456 --a------ C:\WINDOWS\system32\dllcache\cprofile.exe

2008-06-19 18:50 . 2004-08-05 14:00 19,456 --a------ C:\WINDOWS\system32\cprofile.exe

2008-06-19 18:43 . 2008-06-19 18:45 58 --a------ C:\SCRIPT.CLN

2008-06-19 18:41 . 2008-03-22 01:30 254,553 --a------ C:\clean.cmd

2008-06-19 15:15 . 2008-06-19 15:15 <REP> d-------- C:\Program Files\Trend Micro

2008-06-19 14:57 . 2008-06-19 14:57 <REP> d-------- C:\Documents and Settings\Gigatoaster\Application Data\Malwarebytes

2008-06-19 14:57 . 2008-06-19 14:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-06-19 14:18 . 2008-06-20 19:05 62,384 --a------ C:\WINDOWS\system32\pqasghjd.sys

2008-06-17 18:23 . 2008-06-17 18:23 <REP> d-------- C:\Program Files\ElcomSoft

2008-06-17 18:23 . 2008-06-17 18:29 1,098 --a------ C:\WINDOWS\APDFPRP.INI

2008-06-17 18:12 . 2008-06-20 17:20 <REP> d-------- C:\Documents and Settings\All Users\Bureau

2008-06-13 19:34 . 2008-06-18 23:54 <REP> d-------- C:\Program Files\MesNews

2008-06-12 13:41 . 2003-07-31 14:15 143,360 --a------ C:\WINDOWS\system32\CTPmsWma.dll

2008-06-12 13:41 . 2002-02-19 01:00 32,768 --a------ C:\WINDOWS\system32\PdePgHlp.dll

2008-06-12 13:41 . 2004-09-30 01:27 16,880 --a------ C:\WINDOWS\system32\drivers\ctpdusb.sys

2008-06-12 13:41 . 2004-09-30 01:27 2,490 --a------ C:\WINDOWS\ctpdusb.uns

2008-06-11 11:14 . 2008-04-14 17:52 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys

2008-06-11 11:14 . 2008-04-14 17:52 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys

2008-06-04 15:20 . 2008-06-04 15:20 <REP> d-------- C:\Documents and Settings\Gigatoaster\Application Data\Forte

2008-05-26 14:39 . 2004-08-03 23:10 78,464 --a------ C:\WINDOWS\system32\drivers\usbvideo.sys

2008-05-26 14:39 . 2004-08-03 23:10 78,464 --a------ C:\WINDOWS\system32\dllcache\usbvideo.sys

2008-05-26 14:39 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys

2008-05-26 14:39 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\dllcache\usbaudio.sys

2008-05-26 14:39 . 2004-08-04 00:55 20,992 --a------ C:\WINDOWS\system32\dshowext.ax

2008-05-26 14:39 . 2004-08-04 00:55 20,992 --a------ C:\WINDOWS\system32\dllcache\dshowext.ax

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-20 15:20 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP

2008-06-20 14:42 --------- d-----w C:\Program Files\XviD

2008-06-20 14:42 --------- d-----w C:\Program Files\Windows Media Connect 2

2008-06-20 14:42 --------- d-----w C:\Program Files\StuffPlug3

2008-06-20 14:42 --------- d-----w C:\Program Files\QuickPar

2008-06-20 14:42 --------- d-----w C:\Program Files\Media Player Classic

2008-06-20 14:42 --------- d-----w C:\Program Files\JAlbumWin

2008-06-20 14:42 --------- d-----w C:\Program Files\FLV Player

2008-06-20 14:42 --------- d-----w C:\Program Files\eMule

2008-06-20 14:42 --------- d-----w C:\Program Files\DivX

2008-06-19 16:47 --------- d-----w C:\Program Files\SPSSEval

2008-06-19 16:47 --------- d-----w C:\Program Files\PC Inspector File Recovery

2008-06-19 16:47 --------- d-----w C:\Documents and Settings\Gigatoaster\Application Data\utorrent

2008-06-19 16:47 --------- d-----w C:\Documents and Settings\Gigatoaster\Application Data\LimeWire

2008-06-19 15:44 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-06-19 15:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-06-17 16:12 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-06-17 15:59 --------- d-----w C:\Program Files\SopCast

2008-06-16 12:27 --------- d-----w C:\Documents and Settings\Gigatoaster\Application Data\GrabIt

2008-06-13 21:35 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-06-13 21:34 --------- d-----w C:\Program Files\Creative

2008-06-06 17:18 --------- d-----w C:\Documents and Settings\Gigatoaster\Application Data\Skype

2008-06-06 17:08 --------- d-----w C:\Documents and Settings\Gigatoaster\Application Data\skypePM

2008-06-02 19:48 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-06-02 19:47 --------- d-----w C:\Documents and Settings\Gigatoaster\Application Data\AdobeUM

2008-05-14 01:04 --------- d-----w C:\Documents and Settings\Gigatoaster\Application Data\Move Networks

2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys

2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys

2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll

2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll

2008-05-04 19:53 --------- d-----w C:\Program Files\Smart WAV Converter

2008-04-29 00:03 --------- d-----w C:\Documents and Settings\Gigatoaster\Application Data\U3

2008-04-23 20:16 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll

2008-04-22 07:41 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe

2008-04-22 07:41 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe

2008-04-22 07:39 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe

2008-04-20 05:07 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll

2008-04-16 16:50 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat

2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll

2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\dllcache\mswstr10.dll

2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll

2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll

2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Wireless Console"="C:\Program Files\ASUS\Wireless Console\wcourier.exe" [2005-03-02 21:52 57344]

"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-12-21 23:23 98394]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-12-21 23:23 688218]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 11:25 144784]

"SoundMan"="SOUNDMAN.EXE" [2004-11-05 07:03 73728 C:\WINDOWS\SOUNDMAN.EXE]

"Power_Gear"="C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe" [2005-06-16 15:48 86016]

"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 11:51 667718]

"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 11:52 602182]

"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-08-10 16:10 110592]

"EOUApp"="C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 11:56 569413]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

"Tweak UI"="TWEAKUI.CPL,TweakMeUp" []

"EPSON Stylus CX3200"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2002-07-01 05:05 74752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

C:\Documents and Settings\Gigatoaster\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Bluetooth Manager.lnk - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2004-12-22 13:42:30 45056]

Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MaxRecentDocs"= 16 (0x10)

"GreyMSIAds"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3codec"= l3codecp.acm

"vidc.yv12"= yv12vfw.dll

"VIDC.I420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\eMule\\emule.exe"=

"C:\\WINDOWS\\system32\\mmc.exe"=

"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\WINDOWS\\system32\\ftp.exe"=

"C:\\Program Files\\utorrent\\utorrent.exe"=

"C:\\Program Files\\GrabIt\\GrabIt.exe"=

"C:\\Program Files\\Java\\jre1.5.0_06\\bin\\java.exe"=

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"C:\\WINDOWS\\system32\\dpvsetup.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

"C:\\Program Files\\FileZilla\\FileZilla.exe"=

"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

"C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.325\\French\\setup.exe"=

"C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\french\\setup.exe"=

R0 R592;R592;C:\WINDOWS\system32\DRIVERS\R592.sys [2004-10-15 00:34]

R0 risdpntk;risdpntk;C:\WINDOWS\system32\DRIVERS\risdpntk.sys [2004-10-15 00:34]

S1 pqasghjd;pqasghjd;C:\WINDOWS\system32\pqasghjd.sys [2008-06-20 19:05]

S2 UxTuneUp;Extension de conception TuneUp;C:\WINDOWS\System32\svchost.exe [2004-08-05 14:00]

S2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 15:22]

S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys []

S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]

S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys []

S4 MMDK;MMDK;C:\DOCUME~1\GIGATO~1\LOCALS~1\Temp\MMDK.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{de93b31b-0744-11dd-b3b2-0015002ff55d}]

\Shell\AutoRun\command - I:\LaunchU3.exe

*Newly Created Service* - CATCHME

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-06-06 15:16:44 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"

- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-20 19:12:36

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

**************************************************************************

.

Temps d'accomplissement: 2008-06-20 19:14:38

ComboFix-quarantined-files.txt 2008-06-20 17:13:35

Pre-Run: 9,958,669,824 octets libres

Post-Run: 9,950,341,632 octets libres

185 --- E O F --- 2008-06-11 12:04:44

2°) Le lien est >>ici<<A noter que j'ai plein de saloperie dans mon fichier hosts, il ne devrait pas être vide normalement?

Link to comment
Share on other sites

Concernant les màj de la carte réseau, je préfère attendre d'avoir réglé mon problème, si ça ne te dérange pas.

J'ai désinstallé Kaspersky online, Panda Online et Spybot. J'ai fait deux scan avec Curelt, il m'a juste mis en quarantaine daemon.exe à cause de ses adaware. J'ai aussi installé le nouveau hosts.

J'ai une question. Je dispose de 3 fichiers hosts:

HOSTS : rempli de saloperies

hosts.20080619-174659.backup avec une seule entrée : 127.0.01 localhost

hosts.20080619-175724.backup avec pleins de saloperies

Dois-je renommer le backup sain en HOSTS et supprimer mon ancien HOSTS? Je me demande si les saloperies dans le HOSTS original, ce n'est pas une protection finalement pour éviter d'aller sur ces sites. Sinon le problème persiste toujours. 5 min après avoir branché mon cable ethernet le net est excessivement lent.

Voici le rapport HJT:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:52:16, on 20/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\ASUS\Wireless Console\wcourier.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\WINDOWS\ATK0100\HControl.exe

C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = escamote:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Wireless Console] C:\Program Files\ASUS\Wireless Console\wcourier.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [intelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} - http://didagora.esc-rennes.fr/qp2.cab

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} - http://www.creative.com/su/ocx/15030/CTSUEng.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1151699783843

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://www.creative.com/su/ocx/15030/CTPID.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: FreePOPs - Unknown owner - C:\Program Files\FreePOPs\freepopsservice.exe (file missing)

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

--

End of file - 7057 bytes

Link to comment
Share on other sites

Qu'appelles-tu " saloperies" dans le fichier Hosts ???

Voici le ( début ) dernier Hosts en date sur MVPS : ( 681 Ko )

# This MVPS HOSTS file is a free download from: #

# http://www.mvps.org/winhelp2002/ #

# #

# Notes: the browser does not read this "#" symbol #

# You can create your own notes, after the # symbol #

# This *must* be the first line: 127.0.0.1 localhost #

# *********************************************************#

# ----------------- Updated: June-05-2008 ------------------#

# *********************************************************#

# #

# Entries with comments are all searchable via Google. #

# #

# Disclaimer: this file is free to use for personal use #

# only. Furthermore it is NOT permitted to copy any of the #

# contents or host on any other site without permission or #

# meeting the full criteria of the below license terms. #

# #

# This work is licensed under the Creative Commons #

# Attribution-NonCommercial-ShareAlike License. #

# http://creativecommons.org/licenses/by-nc-sa/3.0/ #

127.0.0.1 localhost

#start of lines added by WinHelp2002

# [Misc A - Z]

127.0.0.1 ad.a8.net

127.0.0.1 asy.a8ww.net

127.0.0.1 www.abx4.com #[Adware.ABXToolbar]

127.0.0.1 acezip.net #[siteAdvisor.acezip.net]

127.0.0.1 www.acezip.net #[Win32/Adware.180Solutions]

127.0.0.1 phpadsnew.abac.com

127.0.0.1 a.abnad.net

127.0.0.1 b.abnad.net

127.0.0.1 c.abnad.net #[eTrust.Tracking.Cookie]

127.0.0.1 d.abnad.net

127.0.0.1 e.abnad.net

127.0.0.1 t.abnad.net

127.0.0.1 banners.absolpublisher.com

127.0.0.1 tracking.absolstats.com

127.0.0.1 adv.abv.bg

127.0.0.1 bimg.abv.bg

127.0.0.1 www2.a-counter.kiev.ua

127.0.0.1 accuserveadsystem.com

127.0.0.1 www.accuserveadsystem.com

127.0.0.1 gtb5.acecounter.com

127.0.0.1 gtcc1.acecounter.com

...

hosts.20080619-174659.backup avec une seule entrée : 127.0.01 localhost >>> c'est le Hosts original de Windows .. mais il est vide .

Les sites interdits sont dans le Hosts de 681 Ko :francais:

Link to comment
Share on other sites

"Saloperies" ce sont les sites du genre ad.a8.net et ce que tu as. Mon fichier HOSTS correspond au tient (680ko). Je penseais que c'était le trojan, mais non ces sites sont en qque sorte blacklisté on dirait. Enfin je m'égare Montparnasse.

J'ai jamais pu utiliser le wifi de ma Freebox car elle m'indique "erreur grave matérielle". Je suis en ethernet donc.

Bon j'ai désactivé FreePOPS. Le net fonctionne super bien pendant 5 min puis après toujours le même souci. Je pense que le trojan est toujours là et seul Kaspersky peut le detecter. Malheureusement je peux pas utiliser la démo! Une autre suggestion?

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...