Infection multiple de trojans dans le "AppData/Local/Temp" de chaque session

euh... s'il vous plaît

Bonjour Fantomas, Winx, tous

Ne t'inquietes pas, Winx va revenir pour te dire quoi faire. Il faut juste bien comprendre que nous avons aussi des vies à coté et que nous ne pouvons pas forcément etre là tous les jours.

(une remarque pour Winx : Attention, ne pas utiliser SDFix sur Vista, il n'est pas compatible, tu dois t'occuper du trojan 'à la manno').

Fantomas, je repasserais te donner des consignes si Winx n'est pas passé d'ici 2 jours (mais ca m'etonnerait, lol )

Bonne soirée.

ok je comprend bien sûr et puis je préfère encore parler à des gens sérieux plutôt qu'à des "geek" (?) ou des "nolifes"

je peux patienter, pas de problème

re-bonjour,

merci de ton passage Synthexe
Si je suis bien, tu as fait une restauration de ton système ?
Si c'est le cas, on reprend tout à zéro....

Puis-je te demander de ne faire aucune autre manip pour le moment, tant que ton PC, ne sera pas déclaré "clean", sinon on ne va pas y arriver, ok ?
Bien ceci étant spécifié, reprenons:
dans un premier temps fais cette procédure et poste les deux rapports générés.par
Deckard's System Scanner (DSS)
-->source ici
Il sagit de ces deux rapports:
main.txt <- ouvert en premier plan et en plein écran
extra.txt <- ouvert en second plan et en fenêtré (regarde la barre de taches) [/list]

Je l'ai fait justement !

Il s'agit des rapports placés dans les posts précédents (à ne pas confondre avec celui qui contient un rapport d'Antivir que j'ai mis là dans le seul but de t'aider à identifier le problème !)

Il y a également les rapports de KillBox, OAD,...

edit: as tu lu le post où j'expliquais que ce type d'infection touchait tous les dossiers "AppData/Local/Temp" de chacune de mes sessions, y compris la session "Invité" ?

re,
as-tu encore ceci dans ton PC:
C:\Windows\system\smvss.exe

si oui:

télécharges et installes :
(ne pas télécharger si déjà présent sur le pc )
KillBox de Option^Explicit
Aide Killbox

Sélectionne entièrement la liste ci-dessous --> ce qu'il y a , à l'intérieur du cadre bleu ciel :



Citation

C:\Windows\system\smvss.exe



---> et tu fais clic droit / copier

- Ouvres killbox
- Sélectionne "delete on reboot"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur "All Files"
- Clique sur la croix rouge et blanche
- Répond "yes" et laisse redémarrer ton pc.
N'hésite pas à consulter en cas de souci.l'Aide killbox

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

Après redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log
Poste le rapport ici

ça aussi je l'ai déjà fait, avec un autre fichier il faut que je recommence ?

edit: oui bien sûr, suis-je bête !

le rapport:

Pocket Killbox version 2.0.0.881
Running on as Nicolas(Limited Account)
was started @ lundi, mai 12, 2008, 2:18 PM

# 1 [Delete on Reboot]
Path = 81exhmunmldr.exe


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 2:20:39 PM
Killbox Closed(Exit) @ 2:20:43 PM
__________________________________________________

Pocket Killbox version 2.0.0.881
Running on as Nicolas(Limited Account)
was started @ lundi, mai 12, 2008, 2:26 PM

Killbox Closed(Exit) @ 2:27:07 PM
__________________________________________________

Pocket Killbox version 2.0.0.881
Running on as Nicolas(Limited Account)
was started @ mercredi, mai 14, 2008, 3:40 PM

# 1 [Delete on Reboot]
Path = C:\Windows\system\smvss.exe


I Rebooted @ 3:41:52 PM
Killbox Closed(Exit) @ 3:41:52 PM
__________________________________________________

Pocket Killbox version 2.0.0.881
Running on as Nicolas(Limited Account)
was started @ mercredi, mai 14, 2008, 3:44 PM



re edit: ça me l'a pas fait ce coup-ci, le "processus hôte a cessé de fonctionner" !

re,
bien fais ceci:
Fais un rapport Hijackthis et colle le rapport, en principe DSS.exe à céé un raccourcis de Hijackthis sur le Bureau.
--->aide visuelle, clic ici

non justement DSS n'a pas réussi à installer Hijackthis ! J'ai bien fait "oui" pour l'installation mais ça n'a pas marché, j'ai donc du faire "Annuler" !

je vais donc l'installer manuellement

edit:

au fait, c'est bien ça que je dois avoir avec Spybot ? :

Voici le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:41, on 14/05/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\OEM02Mon.exe
C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?source=iglk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://partnerpage.google.com/smallbiz. ... bd=1080228
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Program Files\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\Windows\OEM02Mon.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "c:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [devenv] C:\Windows\system\smvss.exe /w
O4 - HKCU\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1061125409-660799906-3569872471-501\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe (User 'Invité')
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: QuickSet.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - http://test.catalog.update.microsoft.co ... 7991958191
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{88160140-46A3-4461-9C9B-9F0AE2AB0FB0}: NameServer = 80.118.192.100,80.118.196.106
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 9880 bytes

re,

Fais un scan seul avec Hijackthis.
Dss.exe a du créer un raccourci sur le bureau de Hijackthis.
cocher + fixer ces lignes,
source du tuto ici

===============================

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [devenv] C:\Windows\system\smvss.exe /w
O4 - HKCU\..\Run: [DellSupportCenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - Global Startup: QuickSet.lnk = ?

==================================
Pour Spybot si tu me parles de désactiver Teatimer c'est ok, ces cases doivent être décochées.
===================
Mets ta version Java à jour, la tienne est périmée.
Une version Java périmée peut être une porte ouverte à certaines infections.
Il est donc trés important d'avoir une version Java bien à jour.

-->source de l'install du nouveau Java ici
Ensuite désinstall des anciennes versions Java via Ajout/suppression de programmes.
Terminer par une suppression manuelle [b]des anciens dossiers de Java [/b]dans

terminé par un nettoyage avec CCleaner.

euh, lorsque j'ai fais "fixer objets" puis "oui" une fenêtre est apparue, ça disait quelque chose comme "fermer les fenêtres internet explorer etc..." (c'était en anglais, je parle pas assez couramment cette langue )

puis après avoir fais "ok", la liste a disparue... tout va bien jusque là ?

je continue

EDIT: au fait, lors du premier scan HijackThis, j'ai fait une sauvegarde de ma base de registre comme conseillé sur le tuto... je dois la réimporter après ?

edit n°2: je ne sais pas si cela a un rapport, mais trouves tu normal que j'ai 5 dossiers Avira dans program files ?



pourquoi je pense qu'il y a un lien ? parce qu'après les manip conseillées par microhebdo, j'ai commencé à faire des restaurations système pour corriger les bugs apparus après la "désinfection"... le souci est que, quand je faisais ces restaurations systèmes, antivir ne fonctionnait plus ! au bout d'un moment, j'ai même cru comprendre qu'il était périmé et que je devais le retélécharger !

c'est ce que j'ai fais, mais je ne me souviens pas l'avoir réinstallé autant de fois (en effet, le bug a continué après, jusqu'à ce que... je clique sur "update" )... je ne suis même plus sûr d'avoir procédé à une réinstallation d'antivir par le passé.

bref je n'avais jamais vu ces dossiers avant, d'où viennent ils ? parce que ça serait quand même énorme que ça soit dû à quelques mises à jours ou réinstallations...

et sinon pour CCleaner, je suis la procédure suivante conseillée dans mon ancien rapport GenProc:

"Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme."

?

edit: finalement j'ai laissé toutes les options par défaut, donc c'est bon c'est "CClean"

euh par contre je l'ai fait APRES avoir installé la nouvelle version de Java, y a pas de problème ?

désolé je sais que ça fait beaucoup de questions donc encore une fois: merci

re,

NON,c'est juste une précaution en cas de fausse manip (possibilité de marche arrière, dans le cas ou, Hijackthis est mal installé , une mauvaise install c'est dans un dossier TEMP ou TMP, en cas de reboot...pas de marche arrière possible de ce qui a été coché....fff:
Donc pas de souci, c'est juste de la prudence.... !
ceci dit avec AVIRA, en principe le dernier est le bon....Avira(4)
Si ça se confirme, tu devras supprimer manuellement tous les autres dossiers Avira,+Avira 1,2,3.

As-tu un raccourcis sur le bureau de Antivir ?
si non, vas dans démarrer/programmes/recherche Antivir, et fais propriété dessus, il va t'indiquer sa source, en principe Avira(4)
Fameux mic-mac....si je puis dire !
Et je n'ose imaginer le bazar qu'il doit avoir dans la base de registre....
urgent de nettoyer la BDR....fff:
ensuite, un nettoyage de la BDR (base de registre ) avec Regseeker, rien à voir avec la recherche d'erreur de CCleaner !

-->source ici pour le tuto

Pour antivir, il m'a indiqué cet emplacement : "C:\Program Files\Avira\AntiVir PersonalEdition Classic"

alors je fais un nettoyage de la BDR ?

edit:

http://www.hebergementimages.com/images ... seeker.JPG

j'ai bien suivi la procédure mais il ne se passe plus rien et je n'ai pas eu ceci:

http://bp1.blogger.com/_XBAObRlILac/RfB ... _titre.JPG