Virus msa.exe et msb.exe

[invite81bc5e43]

Bonjour,

Depuis hier, j'ai mon pare-feu qui me révèle des tentatives des processus "msa.exe" et "msb.exe" qui semblent liés aux "a.exe" et "b.exe".
J'ai repéré les deux premiers dans "C:Windows\"...

Depuis, j'ai eu quelques problèmes avec internet comme par exemple l'impossibilité de me connecter à mon webmail yahoo et facebook (les boutons "se connecter" restait insensibles à mes clics...)

Je craint d'être infecté...

Est-ce que vous pouvez m'aider svp ?

Guillaume

Ps: En pièces jointes, les fichiers log et info créés avec RSIT et HIJACKTHIS
-----

[b marlow]

Salut et Bienvenue sur F-S,
Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
puis poste le rapport final.

[invite81bc5e43]

Bonsoir et merci pour la rapidité de réponse
(par contre, moi, je n'étais pas chez moi du weekend donc je ne répond que maintenant)

J'ai fait l'analyse et il m'a détecté 6 menaces (!!!) que j'ai supprimés (certaines après redémarrage)

Voici le rapport:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3134
Windows 6.0.6002 Service Pack 2

09/11/2009 19:14:26
mbam-log-2009-11-09 (19-14-26).txt

Type de recherche: Examen rapide
Eléments examinés: 91388
Temps écoulé: 4 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Nor dBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\pop rock (Trojan.Downloader) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\msa.exe (Trojan.Agent) -> Delete on reboot.
C:\Windows\msb.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

[b marlow]

Télécharge et installe Toolbar-S&D (Team IDN) sur ton Bureau.
Double-clique sur le raccourci de Toolbar-S&D.
Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en valide avec Entrée.
Choisis maintenant l'option 2 (Suppression).
/!\ Ne ferme pas la fenêtre lors de la suppression /!\
Un rapport sera généré, poste son contenu ici.

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr
pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
Tape explorer puis valide.

[A voir en vidéo sur Futura]

[invite81bc5e43]

Y'a-t-il un-autre endroit où le télécharger ?

"The bandwidth or page view limit for this site has been exceeded and the page cannot be viewed at this time. Once the site is below the limit, it will once again begin serving as normal."

[invite81bc5e43]

C'est bon je l'ai...

Voici le rapport :


-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Phenom(tm) 8450 Triple-Core Processor )
BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
USER : guillaume ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:98 Go (Free:22 Go)
D:\ (Local Disk) - NTFS - Total:142 Go (Free:30 Go)
E:\ (Local Disk) - NTFS - Total:931 Go (Free:43 Go)
F:\ (Local Disk) - NTFS - Total:42 Go (Free:1 Go)
G:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
H:\ (CD or DVD)
I:\ (Local Disk) - NTFS - Total:232 Go (Free:72 Go)
K:\ (Local Disk) - NTFS - Total:465 Go (Free:5 Go)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 09/11/2009|19:59 )

[ UAC => 0 ]
C:\Windows\iun6002.exe

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\Search Settings\kb128
Supprime! - C:\Program Files\Search Settings\SearchSettings.exe
Supprime! - C:\Windows\iun6002.exe
Supprime! - C:\Program Files\DAEMON Tools Toolbar
Supprime! - C:\Program Files\Search Settings

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Mic rosoft\Internet Explorer\Main]
"Start Page"="http://www.google.fr/"
"Local Page"="C:\\Windows\\system32\\ blank.htm"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Default_Page_URL"="http://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=1&o=v p32&d=1006&m=aspire_x3200"
"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

[HKEY_LOCAL_MACHINE\Software\Mi crosoft\Internet Explorer\Main]
"Start Page"="http://fr.fr.acer.yahoo.com"
"Default_Page_URL"="http://fr.fr.acer.yahoo.com"
"Default_Search_URL"="http ://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Local Page"="C:\\Windows\\System32\\ blank.htm"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !

[ UAC => 1 ]


1 - "C:\ToolBar SD\TB_1.txt" - 09/11/2009|20:01 - Option : [2]

-----------\\ Fin du rapport a 20:01:55,62


Mais c'est le genre d'outil à utiliser en mode sans échec ?

[b marlow]

non, le mode sans échec n'est pas nécessaire sur ce type de suppression
en genral les Toolbars n'opposent aucune résistance. On peut meme les
supprimer par le panneau ajout-supp de programmes, il faut seulement
veiller à fermer son navigateur avant
Ce que tu vas devoir faire en supprimant celle-ci C:\Program Files\Dealio Toolbar

cherche le programme suivant C:\Program Files\Trend Micro\HijackThis\guillaume.exe
double clique dessus, coche ces lignes (s'il y en a que tu ne trouves plus, pas grave)
ferme ton navigateur et autres fenetres ouvertes puis clique sur fixchecked:

Code:

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file)
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
O3 - Toolbar: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - (no file)
O3 - Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll
O4 - HKLM\..\RunOnce: [NvRegisterMCTray] RUNDLL32.EXE C:\Windows\system32\NVMCTRAY.DLL,NvMCRegisterApp C:\Windows\system32\NvCpl.dll
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\Windows\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\GUILLA~1\AppData\Local\Temp\IXP000.TMP\"
O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\Windows\system32\rundll32.exe" "C:\Program Files\NOS\bin\getPlus_Helper.dll",Uninstall /Get1noarp
O4 - HKCU\..\RunOnce: [DAEMON Tools Lite 4.30.4.0027 Setup] "C:\Users\guillaume\Desktop\daemon4304-lite(2).exe"
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

Ensuite fais un scan en ligne Bitdefender avec Internet Explorer
en cliquant sur ce bouton :

Poste le rapport final.

[invite81bc5e43]

Hey doc !

Je n'ai jamais vu cette dealoo toolbar, elle était censée être sur IE ou firefox ?

Mais j'ai quand même fais ce que tu m'a demandé et quelques entrées ne s'effacent pas et reviennent immanquablement (quand je re-scan avec Hijackthis).
Les voici:

O4 - HKLM\..\RunOnce: [NvRegisterMCTray] RUNDLL32.EXE C:\Windows\system32\NVMCTRAY.D LL,NvMCRegisterApp C:\Windows\system32\NvCpl.dll
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\Windows\system32\advpack.dl l,DelNodeRunDLL32 "C:\Users\GUILLA~1\AppData\Loc al\Temp\IXP000.TMP\"
O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\Windows\system32\rundll32. exe" "C:\Program Files\NOS\bin\getPlus_Helper.d ll",Uninstall /Get1noarp
O4 - HKCU\..\RunOnce: [DAEMON Tools Lite 4.30.4.0027 Setup] "C:\Users\guillaume\Desktop\da emon4304-lite(2).exe"
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

D'ailleurs, j'ai un petit problème par rapport à celle-là :

O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\Windows\system32\rundll32. exe" "C:\Program Files\NOS\bin\getPlus_Helper.d ll",Uninstall /Get1noarp

A savoir:
A chaque fois que je démarre windows (ça fait déjà quelques temps), une fenêtre d'avertissement apparait juste avant que le bureau s'affiche disant:
"erreur de chargement de C:\Program Files\NOS\bin\getPlus_Helper.d ll Le module spécifié est introuvable"

Qu'en penses-tu ?

[b marlow]

la toolbar est visible dans le log ici:

Code:

Dealio Toolbar v4.0.1[/B]-->MsiExec.exe /X{94C3BB3A-56A1-43DE-A242-8B41F46E97EF}

O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll

recommence le fixchecked en désactivant auparavant AdWatch de adaware.

[invite81bc5e43]

ok je ferais ça mais demain...
Parce que pour l'instant, l'analyse Bitdefender est en cours et m'indique un temps restant de 6h...

A demain !

Et merci de prendre de ton temps pour m'aider

[invite81bc5e43]

Alors l'analyse Bitdefender a fini son analyse, j'ai enregistré le rapport au format .txt mais il est trop gros pour être posté ici et également trop gros pour être mis en pièce jointe...
Il a détecté et effacé un trojan (dans le programme Bitche...)

[b marlow]

reposte un nouveau rapport log.txt RSIT pour contrôle.

[yoda1234]

@ captainb52

reposte un nouveau rapport log.txt RSIT pour contrôle.

En pièces jointes, s'il te plaît.

[invite81bc5e43]

Bonsoir,

Voici les rapports.

Cordialement,

NB: au cours de l'exécution de RSIT, la barre de progression de celui-ci est restée bloquée (vers la fin, au moment de la création de "info.txt"), j'ai du interrompre le processus RSIT via le gestionnaire de tâches...

[b marlow]

une dernière manip pour supprimer des restes d'infection par supports amovibles.

Télécharge et installe >UsbFix< de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC : clé USB,
disque dur externe,etc susceptible d'avoir été infectés mais sans les ouvrir

- Double clique sur le raccourci UsbFix présent sur ton bureau .
- Choisis l'option 2 ( Suppression )
- Ton bureau va disparaitre et le pc redémarrera,c'est normal.
- Au redémarrage ,UsbFix scannera ton pc,laisse-le travailler.
- A la fin poste le rapport UsbFix.txt qui apparaitra.
- Le rapport UsbFix.txt est en outre sauvegardé a la racine du disque.( C:\UsbFix.txt )

Note : "Process.exe", un composant de l'outil,est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.




Le rapport en PJ, stp.

[invite81bc5e43]

Bonjour,

Voici, en pièce jointe, le rapport usbfix.

Deux petits problèmes:
-Le 1er, que j'ai depuis un certain temps déjà, concerne le redémarrage de Windows. Dès que je redémarre, le PC bloque sur un écran noir juste avant le lancement de Windows (juste avant l'écran de chargement de Windows). Cela m'est également arrivé au cours du redémarrage pour usbfix. A chaque fois, je suis obligé d'éteindre l'ordinateur "en bourrin" et de le rallumer...

-Le 2ème, qui est nouveau celui-là, concerne un bloquage au tout début du démarrage du PC. Après avoir redémarrer "en bourrin", le PC est resté bloqué au premier écran "ACER empowring people" avec les options "del: bios" et "F12: boot menu"...
J'ai de nouveau redémarrer "en bourrin", même problème...
J'ai ensuite débranché un des périphériques usb, un lecteur mp3 SANS FUZE, et là le PC a démarré normalement (avec analyse usbfix)

Voilà,

Je te remercie encore du temps que tu veux bien m'accorder...

[b marlow]

franchement quant on voit la quantité de cracks qui trainent dans ton ordi
on peut déjà parier sur une future infection beacoup plus importante que
celle-ci. les cracks pourvoient aux infections destructrices de fichiers, si tu
n'auras plus qu'à formater pour réinstaller windows.