Oxygène PC

Astuces, Sécurité & Aide informatique

trojan BackDoor-CMQ - suppression impossible

Votre PC est infecté par un troyen, un virus, un spyware ? Vous souhaitez vous débarasser de barres d'outils indésirables ou venir à bout de la publicité intempestive ? C'est ici que vous devez poster vos logs HijackThis et autres rapports pour analyse.

Modérateurs: Modérateurs, Visiteurs Sécu

trojan BackDoor-CMQ - suppression impossible

Messagepar Chab » Sam 29 Nov 2008 19:36

Bonjour,

Je me trouve - comme de nombreux internautes - confronté au problème suivant:
- Je suis sous Vista avec toutes les mises à jour de sécurité installées (ca a toujours été le cas) ainsi que IE7
- J'utilise Mac Afee Viruscan 8 Entreprise
- Mac Afee me donne ce message de manière répétitive: "Alerte, BackDoor-CMQ trouvé, puis supprimé" dans le rep user/xxx/AppData/Local/Temp/~TMP/HMUNMLCNXX
- Ce répertoire peut varier selon les cas, mais il s'agit toujours de Appdata/temp.

Je précise que j'ai déjà effectué des scans en ligne (Kaspersky), j'ai utilisé Adaware, Spywareterminator, antitroyenA2, CCleaner, tout cela en mode sans echec et après avoir supprimé les fichiers temp.

Je ne sais donc plus trop quoi faire.

J'ai fais un log Hijackthis, je peux l'envoyer,

Merci encore de votre aide !
Chab
 
Messages: 4
Enregistré le: Sam 29 Nov 2008 18:44

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Sév » Sam 29 Nov 2008 21:16

Bonsoir & bienvenue,

Oui je veux bien que tu postes ton log. :)

J'utilise Mac Afee Viruscan 8 Entreprise


Est-ce qu'il s'agit d'un pc (portable ?) à usage professionnel ? Est-ce que tu te connectes à un réseau d'entreprise avec cette machine ?

Qu'est ce que tu utilises comme pare-feu ?

Tu peux désinstaller Ad-Aware, Spyware Terminator et A²Squared : ils ne seront d'aucune utilité et il ne sert à rien de cumuler les logiciels de sécurité. ;-)

@+
Image
Avatar de l’utilisateur
Sév
Admin
 
Messages: 1247
Enregistré le: Jeu 28 Fév 2008 21:10

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Falkra » Sam 29 Nov 2008 22:05

Bonsoir Chab, serait-ce le même PC ?
http://www.libellules.ch/phpBB2/trojan- ... 30599.html
www.libellules.ch
Avatar de l’utilisateur
Falkra
Théoricien Tartineur
 
Messages: 411
Enregistré le: Dim 2 Mar 2008 20:30

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Chab » Sam 29 Nov 2008 22:12

Bonjour,

Ces logiciels sont installés pour un usage temporaire, ils ne surveillent pas le pc en temps réel, sauf Mac Afee V8 Enterprise.

Les autres ont uniquement servi dans le cadre des tentatives de désinfection du pc. Il s'agit d'un pc fixe sans accès à un domaine.

Le seul firewall est celui (ceux) de vista.

Voici le log Hijack, pour info je sais ce qu'est winagent et c'est un logiciel professionnel ne comportant aucun virus. Je l'ai même testé avec virustotal.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:37:10, on 28/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Users\cyril\LOCALS~1\APPLIC~1\clipsrv.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Windows\vVX3000.exe
C:\Windows\System32\atwtusb.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Windows\System32\WTMKM.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\1&1\1&1 EasyLogin\EasyLogin.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PcSync2.exe
C:\Program Files\Microsoft Office\Office12\GROOVE.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Windows\system32\conime.exe
C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe
C:\Program Files\TechSmith\SnagIt 8\TSCHelp.exe
C:\Program Files\TechSmith\SnagIt 8\SnagPriv.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Windows\system32\taskmgr.exe
C:\Users\cyril\Documents\PC Informatique\Sécurité Antivirus Spyware Mots de passe\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: load=C:\Users\cyril\LOCALS~1\APPLIC~1\clipsrv.exe
O1 - Hosts: ::1 localhost
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\Program Files\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\Windows\vVX3000.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [1&1 EasyLogin] C:\Program Files\1&1\1&1 EasyLogin\EasyLogin.exe
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Envoyer à Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\Program Files\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D9B85F8-F6F9-46F0-9FA7-8E1B134B64CF}: NameServer = 212.27.40.240,212.27.40.241
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Advanced Monitoring Agent - Remote Monitoring - C:\PROGRA~1\ADVANC~1\winagent.exe
O23 - Service: Advanced Monitoring AutoUpdate - Unknown owner - C:\PROGRA~1\ADVANC~1\updater.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 8575 bytes
Chab
 
Messages: 4
Enregistré le: Sam 29 Nov 2008 18:44

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Chab » Sam 29 Nov 2008 22:13

Bonsoir,

Oui tout à fait, pourquoi ?
Chab
 
Messages: 4
Enregistré le: Sam 29 Nov 2008 18:44

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Sév » Sam 29 Nov 2008 22:58

Re Chab, Salut Falkra,

Chab a écrit:Oui tout à fait, pourquoi ?


Il est mal venu de suivre deux procédures de désinfection en parallèle, afin de ne pas aggraver la situation sur ta machine avec les différents outils qu'on te fait utiliser. Ensuite tout le monde perd du temps, toi et les forums qui t'aident. Et en plus ce n'est très respectueux vis à vis de l'aide que t'apporte Ogu. Il faut donc que tu fasses un choix.

Chab a écrit:Ces logiciels sont installés pour un usage temporaire, ils ne surveillent pas le pc en temps réel, sauf Mac Afee V8 Enterprise.


Pour des logiciels à usage passif, je les trouve un peu envahissants :

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe


Ils utilisent donc des ressources inutilement.
Image
Avatar de l’utilisateur
Sév
Admin
 
Messages: 1247
Enregistré le: Jeu 28 Fév 2008 21:10

Re: trojan BackDoor-CMQ - suppression impossible (terminé)

Messagepar Chab » Dim 30 Nov 2008 09:40

Bonjour,

J'ai exposé mon problème dans 2 forums car je ne connais pas à l'avance ni les gens ni la qualité des forums. :pale:

Je pense que ce n'est qu'avec l'expérience qu'on peut savoir si un forum est bon ou pas. Donc afin de m'éviter (à moi aussi) de perdre trop de temps, ne connaissant ni les délais ni la qualité des réponses, j'ai pris la décision légitime de poster sur 2 forums. Il y a en effet beaucoup de "mauvais" forums et des gens qui rencontrent le même problème que moi et qui ne sont toujours pas dépanné ou conseillé par des gens sérieux au bout de 3 mois et qu'ils n'ont eu des contacts qu'avec des "bricoleurs".

Sachez que le but n'est pas de faire perdre du temps aux autres, et encore moins d'être "irrespectueux" (là je trouve que vous allez un peu vite en besogne dans votre jugement).

Donc je vais continuer à voir ça avec l'autre forum selon vos conseils.

Merci tout de même, et désolé de vous avoir fait perdre votre temps. :oops:

Je vais désactiver les logiciels qui surveillent et qui ne sont pas supposés le faire.

Je ne manquerai pas de revenir avec plaisir sur votre forum si je n'ai pas réglé le problème ;-)

Merci encore
Chab
 
Messages: 4
Enregistré le: Sam 29 Nov 2008 18:44

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Sév » Dim 30 Nov 2008 19:17

Bonsoir,

Je pense que ce n'est qu'avec l'expérience qu'on peut savoir si un forum est bon ou pas.


Il n'y a pas de mauvais forums, ce sont les réponses qui ne sont pas toujours heureuses. Pour juger de la "qualité" des intervenants, il suffit de consulter les sujets sur lesquels il est déjà intervenu avant par exemple. Ensuite, partir ailleurs pour chercher des réponses en prenant le risque d'obtenir alors de "mauvaises" réponses, ne t'aidera pas davantage.

Quant à te juger, non, ce n'est pas mon propos, je me mets simplement à la place d'Ogu qui prend le temps de t'aider et qui se trouve confronté à un manque de confiance de ta part. Ca va dans les deux sens. ;-)

Si tu veux éviter aux gens de perdre leur temps, préviens les tout simplement de ce qui a déjà été fait, si tu as suivi les conseils d'un autre forum auparavant, et surtout si tu choisis d'aller ailleurs pour qu'on arrête de chercher inutilement. Et cela vaut dans tous les cas de figure, désinfection ou pas, c'est beaucoup plus sympa pour tout le monde. :)

Il n'y a pas de problème en ce qui me concerne, tu es le bienvenu ici quand tu le souhaites.

On se doute bien que les gens qui demandent de l'aide, ne sont pas forcément au courant des us et coutumes de la nétiquette. Te voilà donc informé. :-D

@ une prochaine.
Image
Avatar de l’utilisateur
Sév
Admin
 
Messages: 1247
Enregistré le: Jeu 28 Fév 2008 21:10

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Falkra » Lun 1 Déc 2008 00:19

Même chose ici, on ne va pas te faire la peau, c'est juste un truc à savoir. :)
www.libellules.ch
Avatar de l’utilisateur
Falkra
Théoricien Tartineur
 
Messages: 411
Enregistré le: Dim 2 Mar 2008 20:30


Retourner vers Désinfection de virus & nettoyage des nuisances

 


  • Articles en relation
    Réponses
    Vus
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 0 invités