Infection PC - TROJAN

[AngeFMR]

Pourtant je ne te l'ai pas fait supprimer de tes démarrages automatiques.
Est-ce qu'il peut toujours se lancer depuis le menu démarrer ?

[Lord_Yass]

Bonjour M'selle,

Pour le démarrage, oui, j'y ai accès fort heureusement. Mais il me reste à trouver le démarrage pour Mcaffee qui ne se lance plus aussi !!

Ce matin donc, je me loggue avec la session du taf et c'est pareil : les symptômes ont l'air dêtre revenu !!

Voici mon rapport HJK:

-----------------------------

Logfile of HijackThis v1.99.1
Scan saved at 11:34:33, on 08/01/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Netscreen\NetScreen-Remote\IPSecMon.exe
C:\Program Files\Netscreen\NetScreen-Remote\IreIKE.exe
C:\WINDOWS\system32\systema.exe
C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\WINDOWS\system\rund1132.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system\rund1132.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\WinShell.\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\inc_lj.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system\rund1132.exe
C:\WINDOWS\WinShell.\daemon.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ykerroum.AD2\Mes documents\Mes fichiers reçus\HijackThis_1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://gautoconf.alcatel.fr/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.9.10:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\system\rund1132.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system\rund1132.exe,
O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Fichiers communs\PushWare\cpush.dll
O2 - BHO: Info cache - {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\WINDOWS\Rose\pbhealth.dll
O2 - BHO: Info cache - {295AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\WINDOWS\Rose\pctools_200917_0.dll
O2 - BHO: ÍøÕ¾ÅÅÃû¹¤¾ßÌõBHO - {489873CE-F3E1-44A3-8E89-04BE26BE4446} - C:\Program Files\zzToolBar\Toolbar_bho.dll
O3 - Toolbar: ÍøÕ¾ÅÅÃû¹¤¾ßÌõ - {0A1230F1-EB52-4CA3-9D34-DE2ABC2EED35} - C:\Program Files\zzToolBar\ToolBand.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad2.ad.alcatel.com
O17 - HKLM\Software\..\Telephony: DomainName = ad2.ad.alcatel.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad2.ad.alcatel.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad2.ad.alcatel.com
O23 - Service: Baidu Service (Baidu) - Unknown owner - C:\WINDOWS\system32\systema.exe
O23 - Service: McAfee Desktop Firewall Service (FireSvc) - Networks Associates Technology, Inc. - C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Program Files\Netscreen\NetScreen-Remote\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Program Files\Netscreen\NetScreen-Remote\IreIKE.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe

------------------------------

Merci...

[AngeFMR]

[Lord_Yass]

Salut Ange,

Bon, c'est le grand bordel... J'ai téléchargé le nouveau HJK mais j'ai une fenêtre qu'i m'indique que c'est utilisé par une autre application !! ?????????????? Donc impossible de prendre les logs. J'ai redémarré mon PC mais aucun changement...

Et pareil pour msconfig, même résultat : "ce fichier est utilisé par une autre application" ??????

Pour ta question concernant, Est-ce que ceci : 'ad2.ad.alcatel.com' te parle ? Oui, c'est le nom de domaine dans le lequel je me connecte au taf donc aucun risque.

Merci....

[Lord_Yass]

Bon, j'ai réussi à me demerder à lancer HJK en renommant l'exe !!

Voici donc mon rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:58:40, on 08/01/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Netscreen\NetScreen-Remote\IPSecMon.exe
C:\Program Files\Netscreen\NetScreen-Remote\IreIKE.exe
C:\WINDOWS\system\rund1132.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system\rund1132.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\WinShell.\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\systema.exe
C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe
C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireTray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\WINDOWS\system32\inc_lj.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system\rund1132.exe
C:\WINDOWS\WinShell.\daemon.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis_1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://gautoconf.alcatel.fr/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.9.10:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\system\rund1132.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system\rund1132.exe,
O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Fichiers communs\PushWare\cpush.dll
O2 - BHO: Info cache - {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\WINDOWS\Rose\pbhealth.dll
O2 - BHO: Info cache - {295AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\WINDOWS\Rose\pctools_200917_0.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [internetnet] C:\WINDOWS\system32\spoolsv.exe
O4 - HKLM\..\Policies\Explorer\Run: [user] C:\WINDOWS\WinShell..\daemon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad2.ad.alcatel.com
O17 - HKLM\Software\..\Telephony: DomainName = ad2.ad.alcatel.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad2.ad.alcatel.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad2.ad.alcatel.com
O23 - Service: Baidu Service (Baidu) - Unknown owner - C:\WINDOWS\system32\systema.exe
O23 - Service: McAfee Desktop Firewall Service (FireSvc) - Networks Associates Technology, Inc. - C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Program Files\Netscreen\NetScreen-Remote\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Program Files\Netscreen\NetScreen-Remote\IreIKE.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\McAfee\Common Framework\FrameworkService.exe (file missing)

--
End of file - 4659 bytes


Merci à toi

[AngeFMR]

D'ac pour Alcatel, je m'en doutais mais j'ai préféré avoir confirmation

J'ai l'impression que les points négatifs s'ajoutent au fur et à mesure.
Et il est vrai qu'un Mode Sans Echec aurait très utile, mais apparemment inaccessible.

Donc pourrais-tu me [re]décrire les symptômes que tu as désormais sur les 2 sessions, et me faire un screen des programmes qui se lancent au démarrage de ta machine et un de tes processus ?
Pendant ce temps j'essaie de voir comment on pourrait te faire récupérer ce MSE

[Lord_Yass]

Salut Ange,

Désolé de ne pas avoir posté plus tôt... Pour info, je suis passé au service informatique pour essayer de voir mais ils n'ont pas le tps.

Sur les deux sessions, j'ai les mêmes symptômes : Fenetres web qui se lancent tout seul (chinois) ainsi que lenteur du PC et quand je bosse, fenetres qui se ferment toutes seules!!!

Aussi, pour le problème de "msconfig" qui ne voulais pas se lancer, je l'ai résolu en re-scanant avec les applis que tu m'as fourni. De plus, je me suis rendu compte que le "regedit" ne se lancait pas non plus avec le même message d'erreur. Pareil, solutionné avec la même manip. De plus, j'ai voulu voir un peu la dedans et je me suis aperçu d'une appli avec un nom vraiment bizarre et qu'il m'était impossible de le supprimer.

En gros, dés que je me connecte sur le net, mes problèmes font surface...(logique!!)

Pour le moment, je ne me connecte pas sur internet, je travail sans pour le moment. Et c'est actuellement d'un autre PC que je t'écris...

Je laisse ce problème en suspens acr j 'ai des tonnes de choses à faire car je voyage Dimanche. Dès que j'arrive sur place, nous reprendrons nos investigations si tu le veux bien ma chère Ange...

Merci énormément pour ta disponibilité et te dis à bientôt...

[AngeFMR]

Bonsoir Lord,

(09-01-2009 17:16 PM)Lord_Yass a écrit :  nous reprendrons nos investigations si tu le veux bien ma chère Ange...

Merci énormément pour ta disponibilité et te dis à bientôt...

Je t'en prie, avec plaisir.

Merci pour ce récapitulatif des symptômes, donc, rien n'a bougé visiblement.
Par contre, pourrais-tu me donner le nom de cette application qui te parait bizarre ?

Et je me rends compte que je ne t'ai pas indiqué toutes les démarches à suivre pour effectuer un screen des programmes se lançant au démarrage et des processus.

Programmes de démarrage :
Exécuter > msconfig > onglet Démarrage

Processus :
Atl Gr + Ctrl + Suppr > Onlget Processus

Pour le screen :
Une fois la fenêtre en question à l'écran > touche 'Imprim Ecran' > copie cette image dans une appli tel que Paint > Enregistre et place les ici à l'aide de l'option 'uploader une image'

Je continue de regarder pour ce Mode Sans Echec.
En attendant, je ne t'ai pas demandé, mais qu'a trouvé ton antivirus lors des analyses ?
Sinon, voici, un antivirus en ligne, scanne ton PC avec ceci

[Baroudeur]

salut

alors j'ai trouver dèjà comment enlever la plus grosse des infection

part contre un formatage est recommander


""""""""""""""""Attention cette infection est très ancrée dans le système.
Si vous avez la possibilité, je vous conseille vivement le formatage en sauvegardant vos données avant.

Vous pouvez néanmoins suivre cette procédure (à faire en entier sinon ça sert à rien).. Dans la mesure du possible, je vous conseille de valider la désinfection sur le forum du site.

* Téléchargez combofix - Placez le sur votre bureau et pas ailleurs!!
* Téléchargez et installez Malwarebyte's Anti-Malware anti-malware recommandé
* Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
* Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire, choisissez l'option 2 et laissez vous guider.
* Afin de supprimer toutes traces du spyware et d'autres élements qu'il aurait pu installer, scannez votre ordinateur avec :
o Malwarebyte's Anti-Malware anti-malware recommandé
* Clicquez sur le menu Démarrer puis executer et copie/colle ceci :
o "%userprofile%\Bureau\combofix.exe" /wow puis clicquez sur OK.
* Redémarrez l'ordinateur

Suivez la Procédure de désinfection des Trojans/Backdoor

Consulter le forum malware-complaints et créez votre message selon votre type d'infection, plus vous serez nombreux, plus nous aurons de poids pour faire réagir les autorités face aux malwares !

Cela prend 5 minutes!"""""""""""""" source http://www.malekal.com/Hitapo_Sogou_QinqDL.php

[AngeFMR]

Salut riri,

Oui, ComboFix fera bien l'affaire, mais pour l'instant le Mode Sans Echec reste inaccessible.