[Réglé] Problème d'intrusion...

[madalx]

Je vous explique:
Je viens d'installer 2 barettes mémoires acheter d'occasion...(je vous l'indique mais je ne sais pas si ça à un lien avec ce qui va suivre...).

Je recois desormais une message de kerio (firewall) qui me dit ceci:

Kerio a décté et bloqué une tentative d'intrusion du pe Onjection de code.

En détails j'ai:
Application injectrice : C:Documents and SettingsAll UsersApplication DataextrafirstmailremoteAnteLove.exe(new line)
Description : antelove(new line)
Version du fichier : (new line)
Produit : (new line)
Version du produit : (new line)

L'alerte ne s'arrête pas et reviens tout le temps...J'ai fais un coup de ad-aware, spybot et avast sans résulat...

Que puis-je faire...???

[100-6]

Dans gestionnaire des taches y a t'il AnteLove.exe listé ?

As tu essayé tout simplement de supprimer le dossier/fichier extrafirstmailremoteAnteLove.exe en mode sans echec ?

Essai sinon un scan en ligne, scan uniquement le dossier C:Documents and SettingsAll UsersApplication Data :
http://housecall.trendmicro.com/hou.../start_corp.asp
http://www.pandasoftware.com/activescan/

PS : j'ai jamais vu de barette qui chope des virus...

[madalx]

Il m'es impossible de suprimer ce fichier...même en mode sans échec...
J'ai fais du ménage,j'ai toujours le fichier mais plus d'alerte de kerio...?

Et dans le gestionnaire, aucune trace de antelove.exe

[100-6]

Tu peux toujours essayer de le supprimer en mode DOS...

tape del C:Documents and SettingsAll UsersApplication DataextrafirstmailremoteAnteLove.exe

Et le scan en ligne ?

[madalx]

panda me le detecte mais ne me propose pas de le supprimer...

[gael49]

Tu peux toujours essayer de le supprimer en bootant sur une autre install de windows ou avec 1 Cd du genre Knoppix. Mais il restera surement d'autres fichiers installés par ce virus.

[madalx]

Voila ce que me donne hijackthis: si ca peut vous aider...


Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:Program FilesKerioPersonal Firewall 4kpf4ss.exe
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32oodag.exe
C:Program FilesKerioPersonal Firewall 4kpf4gui.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:WINDOWSExplorer.EXE
C:Program FilesKerioPersonal Firewall 4kpf4gui.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSSOUNDMAN.EXE
C:Program FilesMotherboard Monitor 5MBM5.EXE
C:Program FilesFichiers communsLogitechQCDriver2LVCOMS.EXE
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesABITABIT uGuruuGuru.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesABITABIT uGuruuGuru_Event_Receiver.exe
C:Program FilesLogitechSetPointSetPoint.exe
C:Program FilesFichiers communsLogitechKHALKHALMNPR.EXE
C:Program FilesInventelGatewaywlancfg.exe
C:WINDOWSsystem32wuauclt.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesInternet Exploreriexplore.exe
c:progra~1intern~1iexplore.exe
F:NewsPCNettoyageHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O1 - Hosts: 222.111.150.111 gwgt1.joymax.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:Program FileseBayeBay Toolbar2eBayTB.dll
O2 - BHO: (no name) - {F543DD99-1A69-45B5-DAB5-E93572A416CD} - C:DOCUME~1Isa.NetAPPLIC~1FORDBI~1Tons Plan.exe
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:Program FilesCanonEasy-WebPrintToolband.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:Program FileseBayeBay Toolbar2eBayTB.dll
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [MBM 5] "C:Program FilesMotherboard Monitor 5MBM5.EXE"
O4 - HKLM..Run: [LVCOMS] C:Program FilesFichiers communsLogitechQCDriver2LVCOMS.EXE
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [ABIT uGuru] C:Program FilesABITABIT uGuruuGuru.exe
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:Program FilesLogitechSetPointSetPoint.exe
O8 - Extra context menu item: &eBay Search - res://C:Program FileseBayeBay Toolbar2eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Save Flash In This Page by Flash Saver - C:PROGRA~1FLASHS~1save.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05in
pjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05in
pjpi150_05.dll
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:PROGRA~1FLASHS~1save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:PROGRA~1FLASHS~1save.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:WINDOWSsystem32Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9123013312
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/house ... hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:Program FilesKerioPersonal Firewall 4kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (Omega Q 1.5672a) (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:WINDOWSsystem32oodag.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:Program FilesSiSoftwareSiSoftware Sandra Lite 2005.SR3RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:Program FilesSiSoftwareSiSoftware Sandra Lite 2005.SR3RpcSandraSrv.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:Program FilesInventelGatewaywlancfg.exe

[madalx]

Tu peux toujours essayer de le supprimer en mode DOS...

tape del C:Documents and SettingsAll UsersApplication DataextrafirstmailremoteAnteLove.exe

Et le scan en ligne ?

Comment je fais pour demarrer sous dos...J'ai essayer en formatant une disquette avec fichier systeme mais il demarre sous a: et refuse c: (c: est en sata...)

[100-6]

je sais pas trop pourquoi il veut pas aller sur C:

Mais tu peux toujours essayer sa :

redemarre, touche F8, puis demarrer avec ligne de commande (phrase dans le genre)...

PS: le clavier est en qwerty... tu connais les touche ?

[madalx]

Je ne sais pas coment j'ai fais mais je l'ai viré...J'ai essayé trop d echose pour savoir ce qui à marché mas ça à marché...

[100-6]

MDR ok c'est cool alors