Pc qui ralenti beaucoup - surement infecté par un trojan

baathshalom · Mai 27, 2007, 4:44

Bonjour à tous :hello:

Depuis quelques jours j’ai un gros ralentissement sur mon pc tout neuf (un E6600 avec 1Go de ram Corsair). Au repos mon cpu grimpe à 50% (ce qui est énorme non?) je pense donc avoir attrapé un trojan (en fait c’est plutôt lui qui m’a bien attrapé :grrr: )

Mon antivirus ne détecte rien quand je fais un scan (PC-Cillin internet security 2007) pourtant toute les 5 minutes il bloque des connexions internet impromptues.

Je ne peut pas installer Spybot car mon antivirus ne l’accepte pas. J’ai donc pratiqué un petit scan avec HijackThis je vous en donne le résultat. Si jamais qq’un voit quelque chose de suspect dites le svp que je nettoie tout ça.

voilà le log:

Logfile of HijackThis v1.99.1
Scan saved at 04:26:21, on 27/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Logitech\G-series Software\LGDCore.exe
C:\Program Files\Logitech\G-series Software\LCDMon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
C:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Program Files\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Program Files\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Program Files\CAPCOM\resident evil 4\YASU.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Install_info\divers logiciels\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O3 - Toolbar: Alcohol Toolbar - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O4 - HKLM\…\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\…\Run: [pccguide.exe] “C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe”
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\…\Run: [SoundMAX] “C:\Program Files\Analog Devices\SoundMAX\Smax4.exe” /tray
O4 - HKLM\…\Run: [Launch LGDCore] “C:\Program Files\Logitech\G-series Software\LGDCore.exe” /SHOWHIDE
O4 - HKLM\…\Run: [Launch LCDMon] “C:\Program Files\Logitech\G-series Software\LCDMon.exe”
O4 - HKLM\…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe”
O4 - HKLM\…\Run: [setup] rundll32.exe “C:\WINDOWS\system32\vodlgirc.dll”,realset
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra ‘Tools’ menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat…b?1177363354390
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat…b?1177363346515
O17 - HKLM\System\CCS\Services\Tcpip\…\{5A35D115-042F-4053-8902-2729CC6D71B3}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

En espérant que vous trouverez quelque chose, car je ne comprends pas grand chose à tout ça :neutre:

Je vais tenter de continuer mes recherches, peut-être en essayant un autre antivirus comme Avast ou AVG? (mais je ne sais pas s’ils sont “meilleurs” que le mien)

De plus je reçois constament des messages de mon antivirus me prévenant sur des mouchards ou des logiciels malveillants sur des sites que je qualifierais de "sûr". Comme chez vous, où mon PC-Cillin me met en garde contre des programmes espions sur cette page !?!

Bref je suis un peu perdu… merci à l’avance à tout ceux qui voudront bien me donner un coup de main pour y voir plus clair.

AdminOfPlaygroup · Mai 27, 2007, 12:53

Installe ad-aware, mets le à jours, redémarre en mode sans echec et scan avec ton anti-virus puis avec ad-ware et restant en mode sans échec.

Regarde aussi ce topic :
TU Sécurité : http://www.clubic.com/forum/conseils-pour-…pc-t323378.html

alain77310_1_1 · Mai 27, 2007, 2:55

C:\Program Files\Internet Explorer\iexplore.exe=>c’est ligne la tu n’en garde q’une

C:\Install_info\divers logiciels\hijackthis\HijackThis.exe

Souvenez-vous que Hijackthis doit être exécuté dans son propre dossier. C’est seulement s’il est exécuté dans un dossier réservé, qu’il créera des sauvegardes! ex ! C:\Programme\HijackThis\HijackThis.exe

comment ta box est connectée a internet j’espère que c’est pas par l’interface orange

baathshalom · Mai 27, 2007, 3:31

Ok, tout d’abord merci de vos réponses :jap:

Pour Alain77310 :

les lignes “C:\Program Files\Internet Explorer\iexplore.exe” ont toutes disparues sans que je n’y fasse rien (sans doute un des logiciels utilisés… CCleaner, Pc-Cillin, F-Secure en test, etc…)
j’ai redirigé HijackThis vers son rpopre dossier.

Pour AdminOfPlaygroup :

Je tente ça de suite, et merci pour le lien bien pratique.
J’ai rendu ma LiveBox il y a une semaine, maintenant je passe par un modem 8 Megas. Mais j’avoue ne pas avoir désinstallé les utilitaires Orange.

Au passage j’ai téléchargé F-Secure comme conseillé sur ce forum. Contrairement à mon antivirus il me trouve un logiciel malveillant => “AdWare.Win32.Virtuamonde” Le problème est qu’il n’arrive pas à le retirer. Il essaie (très longtemps) et fini par planter.

De plus il ouvre une fenètre toutes les minutes pour me prévenir d’une dll suspecte (tvvuuv.dll entre autres). Aux vues des ralentissements provoqués par F-Secure j’ai dû le désinstaller car il ne m’était plus possible de faire quoi que se soit.

Maintenant je vais télécharger ad-aware et scanné tout ça. je vous tient au courant dès que c’est fini (c’est a dire dans quelles heures )

baathshalom · Mai 27, 2007, 6:18

Me revoilou !

Je n’ai pas pû lancer ad aware en mode sans échec, ni mon antivirus (message du genre: “impossible d’executer ce programme, vous êtes en mode windows sécurisé”) De plus mon routeur refusait de se lancer (même en mode sans échec avec carte réseau) ce qui explique pourquoi ad aware ne demarrait pas.

Je suis donc repassé en mode normal (après avoir désinstaller des logiciels superflus) et j’ai lancé successivement CCleaner, Rogue Remover, et Vundofix (qui est soit disant spécialisé dans l’éradication de Virtuamonde ?!? pourtant il n’a rien détecté ?!?) Et seulement après tout ça j’ai utilisé Ad Aware qui a trouvé 15 “méchants” mais apparement de simples cookies.

Donc pour l’instant ça remarche normalement mais je m’attends à une mauvaise surprise très bientôt, je ne pense pas que 15 cookies peuvent planter le pc comme ça.

Wait & see…

Merci en tout cas pour votre aide, je vous tient au courant si l’affaire se complique

Vous m’avez bien aidé !! :super:

AdminOfPlaygroup · Mai 28, 2007, 1:12

Ad-aware n’aime pas beaucoup les cookies effectivement. :ane:

baathshalom · Mai 28, 2007, 4:01

Le bilan après 24 heures: plus de ralentissement du pc sauf pour internet puisque j’ai encore des fenètres intempestives qui s’ouvrent et mon antivirus qui s’emballe.

D’ailleurs à ce propos le fameux logiciel malveillant “Virtumonde” que seul F-Secure a détecté n’a été éliminer par aucun antivirus, antitrojan ou antirootkit testés! Et comme j’avais dû désinstaller F-Secure du pc, le “méchant” logiciel y est sans doute toujours…

Et je ne vois pas trop comment l’enlever si rien ne marche, même pas les softs spécialisés dans ce type de malwares.

Vous avez des idées?

darakiss · Mai 28, 2007, 4:30

Pour tester ton log hijackthis[/url], tu peux aussi le balancer sur ce [url=http://www.hijackthis.de/]site (option français même si .de)

J’ai copy pasté le tien et apparament tout va bien à part
O4 - HKLM\…\Run: [setup] rundll32.exe “C:\WINDOWS\system32\vodlgirc.dll”,realset

le site ne donne pas d’avertissement mais un ?
Une recherche google sur “vodlgirc.dll” pointe sur ton thread donc je ne sais pas trop à quoi sert ce dll

adet · Novembre 12, 2008, 4:25

tu formate
!!! :@