Bonjour je suis sur le PC de mon frérot qui a été infecté par desktop security 2010 hier soir.

J'ai reboot en mode sans échec, j'ai lancé RKill (vu sur le forum Malekal) puis lancé Malwarebytes' Anti-Malware à jour, qui m'a supprimé 19 infections.

Après reboot j'ai remarqué que j'ai quelque processus lancé à double et même qui ne devrait pas être lancé (GuildWars.exe).



Rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:22, on 16.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\AGEIA Technologies\TrayIcon.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\program files\fichiers communs\microsoft shared\translat\msb1xtorcoltecs.exe
C:\program files\guild wars\guildwars.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\program files\fichiers communs\microsoft shared\dw\1037\microsoftdwintl20.exe
C:\program files\fichiers communs\microsoft shared\modi\12.0\scansofttwlay32.exe
C:\program files\fichiers communs\microsoft shared\modi\12.0\scansofttwlay32.exe
C:\Program Files\GUILD WARS\GuildWars.exe
C:\program files\fichiers communs\microsoft shared\dw\1037\microsoftdwintl20.exe
C:\program files\fichiers communs\microsoft shared\translat\msb1xtorcoltecs.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Propriétaire\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [msb1coreOffice] c:\program files\fichiers communs\microsoft shared\translat\msb1xtorcoltecs.exe
O4 - HKLM\..\Run: [WarsGuild] c:\program files\guild wars\guildwars.exe
O4 - HKLM\..\Run: [DWIntl20Error] c:\program files\fichiers communs\microsoft shared\dw\1037\microsoftdwintl20.exe
O4 - HKLM\..\Run: [Ximage3btwcutlin] c:\program files\fichiers communs\microsoft shared\modi\12.0\scansofttwlay32.exe
O4 - HKLM\..\Run: [tworientBinder12.0.6413.1000] c:\program files\fichiers communs\microsoft shared\modi\12.0\scansofttwlay32.exe
O4 - HKLM\..\Run: [GuildWars] C:\program files\guild wars\guildwars.exe
O4 - HKLM\..\Run: [ReportingDWIntl20] C:\program files\fichiers communs\microsoft shared\dw\1037\microsoftdwintl20.exe
O4 - HKLM\..\Run: [wtsp61msColtecs] C:\program files\fichiers communs\microsoft shared\translat\msb1xtorcoltecs.exe
O4 - HKLM\..\RunServices: [QuickTimeResourcesQuickTimeResources7.6.4] c:\program files\quicktime\qtsystem\quicktimeeffects.resources\zh_tw.lproj\quicktimeresourcesquicktimeresources.exe
O4 - HKLM\..\RunServices: [NaturalNatural] c:\program files\fichiers communs\microsoft shared\proof\1031\languagemsgr3en.exe
O4 - HKLM\..\RunServices: [twcutlinThocrapi] c:\program files\fichiers communs\microsoft shared\modi\12.0\scansofttwlay32.exe
O4 - HKLM\..\RunServices: [WarsGuild] C:\program files\guild wars\guildwars.exe
O4 - HKLM\..\RunServices: [ReportingError] C:\program files\fichiers communs\microsoft shared\dw\1037\microsoftdwintl20.exe
O4 - HKLM\..\RunServices: [wtsp61msColtecs] C:\program files\fichiers communs\microsoft shared\translat\msb1xtorcoltecs.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 7813269015
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 10080 bytes


Donc je me demande si il est toujours infecté par quelque chose.

Merci d'avance.

Bonsoir Next

Il n'y a rien de bien spécial à détecter sur la machine.
Il a cependant les processus dont tu parlais qui doivent appartenir à ceci
On peut éventuellement tuer ces processus et désactiver leur lancement,mais vois avec ton frangin si il s'en sert pas à les supprimer via Ajout/Supression de prog directement.

A++

Hello, j'ai moi même Guild Wars installé sur mon PC, mais je n'ai aucun processus actif du même nom.

Selon mon frère, il n'y était pas avant l'infection ainsi que tout ces processus actifs en double.

Désolé pour le double poste, mais je préfère en faire un autre au lieu d'éditer le précédent.

Antivir me trouve 4 "virus" et quoi que je fasse ils reviennent. Refuser l'accès ou supprimer ne servent à rien









Edit: Il me semble que se soit justement ces processus actif en double etc, car il trouve aussi que ce GuildWars.exe est infecté.

Soit du Faux d'antivir soit des fichiers modifiés...que des exe...à voir

Vas sur http://www.virustotal.com/fr/

=> Clique sur " Parcourir " afin de rechercher le fichier à tester

C:\program files\guild wars\guildwars.exe

=> Une fois sélectionné , clique sur " Ouvrir "
=> Clique sur " Envoyer "
=> L'envoi du fichier est en cours, patiente pendant quelques secondes
=> Clique sur " Formaté " afin d'avoir un rapport détaillé
=> Poste le moi ici

A++

Re, je viens de finir encore une analyse avec Malwarebytes' Anti-Malware en mode sans echec.
Il a trouvé à nouveau des fichier et les a supprimé.

Et a priori, il n'y a plus ces processus a double, a part celui d'ati qui semblerai soit normal.

Dois je faire encore qqch ou ca te semble résolu?

Il ya un truc qui chagrine quand même et il est possible que le .exe ait été modifié.
Poste moi le rapport de MBAM stp.

A++

Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Version de la base de données: 4320

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.13

16.07.2010 21:52:53
mbam-log-2010-07-16 (21-52-53).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 202934
Temps écoulé: 50 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{A49198BF-F6C0-4923-92CD-D60505454CB7}\RP299\A0037923.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A49198BF-F6C0-4923-92CD-D60505454CB7}\RP299\A0037928.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A49198BF-F6C0-4923-92CD-D60505454CB7}\RP299\A0037934.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A49198BF-F6C0-4923-92CD-D60505454CB7}\RP299\A0037936.exe (Trojan.Downloader) -> Quarantined and deleted successfully.


Edit: J'ai posté le mauvais, celui la est le bon:

Là, on a 4 points de restauration infectés rien d'autre et pas de suppressions de processus.
Antivir s'est calmé?
Tu as toujours ces processus en double?

A++

Je viens aussi de terminer un scan d'AV et rien.

Les doubles processus ont disparue, ils ne sont plus du tout lancé, y a juste le processus ati a double: ati2evxx.exe

Pas de soucis pour les 2 processus ATI, ils peuvent être différents(rôle) avec le même nom, c'est pour cela que les process identifier existent

Cette histoire est bizarre, si tout est rentré dans l'ordre laisse comme ça, reviens me dire d'ici quelques jours si tout reste ok

A++

Ok, merci à toi, bon weekend

Merci ,et bon week end à toi aussi

A++

Hello, après 7 jours, tout est normal. Rien n'est revenu.