[Resolu]Demande d'analyse infection de desktop security 2010

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[Resolu]Demande d'analyse infection de desktop security 2010

Messagepar Next » 16 Juil 2010 17:14

Bonjour je suis sur le PC de mon frérot qui a été infecté par desktop security 2010 hier soir.

J'ai reboot en mode sans échec, j'ai lancé RKill (vu sur le forum Malekal) puis lancé Malwarebytes' Anti-Malware à jour, qui m'a supprimé 19 infections.

Après reboot j'ai remarqué que j'ai quelque processus lancé à double et même qui ne devrait pas être lancé (GuildWars.exe).

Image

Rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:22, on 16.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\AGEIA Technologies\TrayIcon.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\program files\fichiers communs\microsoft shared\translat\msb1xtorcoltecs.exe
C:\program files\guild wars\guildwars.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\program files\fichiers communs\microsoft shared\dw\1037\microsoftdwintl20.exe
C:\program files\fichiers communs\microsoft shared\modi\12.0\scansofttwlay32.exe
C:\program files\fichiers communs\microsoft shared\modi\12.0\scansofttwlay32.exe
C:\Program Files\GUILD WARS\GuildWars.exe
C:\program files\fichiers communs\microsoft shared\dw\1037\microsoftdwintl20.exe
C:\program files\fichiers communs\microsoft shared\translat\msb1xtorcoltecs.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Propriétaire\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [msb1coreOffice] c:\program files\fichiers communs\microsoft shared\translat\msb1xtorcoltecs.exe
O4 - HKLM\..\Run: [WarsGuild] c:\program files\guild wars\guildwars.exe
O4 - HKLM\..\Run: [DWIntl20Error] c:\program files\fichiers communs\microsoft shared\dw\1037\microsoftdwintl20.exe
O4 - HKLM\..\Run: [Ximage3btwcutlin] c:\program files\fichiers communs\microsoft shared\modi\12.0\scansofttwlay32.exe
O4 - HKLM\..\Run: [tworientBinder12.0.6413.1000] c:\program files\fichiers communs\microsoft shared\modi\12.0\scansofttwlay32.exe
O4 - HKLM\..\Run: [GuildWars] C:\program files\guild wars\guildwars.exe
O4 - HKLM\..\Run: [ReportingDWIntl20] C:\program files\fichiers communs\microsoft shared\dw\1037\microsoftdwintl20.exe
O4 - HKLM\..\Run: [wtsp61msColtecs] C:\program files\fichiers communs\microsoft shared\translat\msb1xtorcoltecs.exe
O4 - HKLM\..\RunServices: [QuickTimeResourcesQuickTimeResources7.6.4] c:\program files\quicktime\qtsystem\quicktimeeffects.resources\zh_tw.lproj\quicktimeresourcesquicktimeresources.exe
O4 - HKLM\..\RunServices: [NaturalNatural] c:\program files\fichiers communs\microsoft shared\proof\1031\languagemsgr3en.exe
O4 - HKLM\..\RunServices: [twcutlinThocrapi] c:\program files\fichiers communs\microsoft shared\modi\12.0\scansofttwlay32.exe
O4 - HKLM\..\RunServices: [WarsGuild] C:\program files\guild wars\guildwars.exe
O4 - HKLM\..\RunServices: [ReportingError] C:\program files\fichiers communs\microsoft shared\dw\1037\microsoftdwintl20.exe
O4 - HKLM\..\RunServices: [wtsp61msColtecs] C:\program files\fichiers communs\microsoft shared\translat\msb1xtorcoltecs.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 7813269015
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 10080 bytes


Donc je me demande si il est toujours infecté par quelque chose.

Merci d'avance.
Dernière édition par Next le 16 Juil 2010 22:11, édité 1 fois.
Next
Libellulien Junior
Libellulien Junior
 
Messages: 260
Inscription: 01 Avr 2007 18:22

Re: Demande d'analyse après infection de desktop security 20

Messagepar Florinator » 16 Juil 2010 18:03

Bonsoir Next :wink:

Il n'y a rien de bien spécial à détecter sur la machine.
Il a cependant les processus dont tu parlais qui doivent appartenir à ceci
On peut éventuellement tuer ces processus et désactiver leur lancement,mais vois avec ton frangin si il s'en sert pas à les supprimer via Ajout/Supression de prog directement.

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: Demande d'analyse après infection de desktop security 20

Messagepar Next » 16 Juil 2010 19:06

Hello, j'ai moi même Guild Wars installé sur mon PC, mais je n'ai aucun processus actif du même nom.

Selon mon frère, il n'y était pas avant l'infection ainsi que tout ces processus actifs en double.
Next
Libellulien Junior
Libellulien Junior
 
Messages: 260
Inscription: 01 Avr 2007 18:22

Re: Demande d'analyse après infection de desktop security 20

Messagepar Next » 16 Juil 2010 19:31

Désolé pour le double poste, mais je préfère en faire un autre au lieu d'éditer le précédent.

Antivir me trouve 4 "virus" et quoi que je fasse ils reviennent. Refuser l'accès ou supprimer ne servent à rien :(

Image

Image

Image

Image

Edit: Il me semble que se soit justement ces processus actif en double etc, car il trouve aussi que ce GuildWars.exe est infecté.
Next
Libellulien Junior
Libellulien Junior
 
Messages: 260
Inscription: 01 Avr 2007 18:22

Re: Demande d'analyse après infection de desktop security 20

Messagepar Florinator » 16 Juil 2010 21:21

Soit du Faux d'antivir soit des fichiers modifiés...que des exe...à voir

Vas sur http://www.virustotal.com/fr/

=> Clique sur " Parcourir " afin de rechercher le fichier à tester

C:\program files\guild wars\guildwars.exe

=> Une fois sélectionné , clique sur " Ouvrir "
=> Clique sur " Envoyer "
=> L'envoi du fichier est en cours, patiente pendant quelques secondes
=> Clique sur " Formaté " afin d'avoir un rapport détaillé
=> Poste le moi ici

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: Demande d'analyse après infection de desktop security 20

Messagepar Next » 16 Juil 2010 21:26

Re, je viens de finir encore une analyse avec Malwarebytes' Anti-Malware en mode sans echec.
Il a trouvé à nouveau des fichier et les a supprimé.

Et a priori, il n'y a plus ces processus a double, a part celui d'ati qui semblerai soit normal.

Dois je faire encore qqch ou ca te semble résolu?
Next
Libellulien Junior
Libellulien Junior
 
Messages: 260
Inscription: 01 Avr 2007 18:22

Re: Demande d'analyse après infection de desktop security 20

Messagepar Florinator » 16 Juil 2010 21:30

Il ya un truc qui chagrine quand même et il est possible que le .exe ait été modifié.
Poste moi le rapport de MBAM stp.

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: Demande d'analyse après infection de desktop security 20

Messagepar Next » 16 Juil 2010 21:39

Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Version de la base de données: 4320

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.13

16.07.2010 21:52:53
mbam-log-2010-07-16 (21-52-53).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 202934
Temps écoulé: 50 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{A49198BF-F6C0-4923-92CD-D60505454CB7}\RP299\A0037923.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A49198BF-F6C0-4923-92CD-D60505454CB7}\RP299\A0037928.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A49198BF-F6C0-4923-92CD-D60505454CB7}\RP299\A0037934.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A49198BF-F6C0-4923-92CD-D60505454CB7}\RP299\A0037936.exe (Trojan.Downloader) -> Quarantined and deleted successfully.


Edit: J'ai posté le mauvais, celui la est le bon:
Next
Libellulien Junior
Libellulien Junior
 
Messages: 260
Inscription: 01 Avr 2007 18:22

Re: Demande d'analyse après infection de desktop security 20

Messagepar Florinator » 16 Juil 2010 21:47

Là, on a 4 points de restauration infectés rien d'autre et pas de suppressions de processus.
Antivir s'est calmé?
Tu as toujours ces processus en double?

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: Demande d'analyse après infection de desktop security 20

Messagepar Next » 16 Juil 2010 21:52

Je viens aussi de terminer un scan d'AV et rien.

Les doubles processus ont disparue, ils ne sont plus du tout lancé, y a juste le processus ati a double: ati2evxx.exe
Next
Libellulien Junior
Libellulien Junior
 
Messages: 260
Inscription: 01 Avr 2007 18:22

Re: Demande d'analyse après infection de desktop security 20

Messagepar Florinator » 16 Juil 2010 22:07

Pas de soucis pour les 2 processus ATI, ils peuvent être différents(rôle) avec le même nom, c'est pour cela que les process identifier existent :wink:

Cette histoire est bizarre, si tout est rentré dans l'ordre laisse comme ça, reviens me dire d'ici quelques jours si tout reste ok :supers:

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: Demande d'analyse après infection de desktop security 20

Messagepar Next » 16 Juil 2010 22:10

Ok, merci à toi, bon weekend
Next
Libellulien Junior
Libellulien Junior
 
Messages: 260
Inscription: 01 Avr 2007 18:22

Re: [Resolu]Demande d'analyse infection de desktop security

Messagepar Florinator » 16 Juil 2010 22:16

Merci ,et bon week end à toi aussi :salut:

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: [Resolu]Demande d'analyse infection de desktop security

Messagepar Next » 23 Juil 2010 16:37

Hello, après 7 jours, tout est normal. Rien n'est revenu. :)
Next
Libellulien Junior
Libellulien Junior
 
Messages: 260
Inscription: 01 Avr 2007 18:22


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
cron