Probleme a Battlefield 2142 (service.exe)

up

Bonjour


Il ne d'agit pas obligatoirement d'une infection.

Est ce "service.exe" ou "services.exe" ?

Télécharge HijackThis v1.99.1
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/d...

Fais un scan et poste l'analyse ici.

services.exe

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:31:38, on 2007-07-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bell\Gestionnaire de securite\fws.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Ventrilo\Ventrilo.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Maude\Bureau\HiJackThis_v2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'Default user')
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF36445B-D154-42BE-A02B-696F1D5B8AC6}: NameServer = 67.69.184.71 67.69.184.155
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DvpApi (dvpapi) - Authentium, Inc. - C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Gestionnaire de sécurité Coupe-feu (RP_FWS) - Radialpoint Inc. - C:\Program Files\Bell\Gestionnaire de securite\fws.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Service Windows Media Connect (WMConnectCDS) - Unknown owner - C:\Program Files\Windows Media Connect 2\wmccds.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 3596 bytes

Rien d'infectieux dans ce rapport.

Le services.exe que l'on voit est légitime.

Quel est ton antivirus, je n'en vois pas.


Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine

"Maude" - 2007-07-27 10:36:00 - ComboFix 07-07-23.6 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


c:\RECYCLER\RB3C.tmp
C:\WINDOWS\system32\windev-a4-6d1c.sys
C:\WINDOWS\system32\windev-peers.ini


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\windev-a4-6d1c


((((((((((((((((((((((((( Files Created from 2007-06-27 to 2007-07-27 )))))))))))))))))))))))))))))))


2007-07-27 10:35 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-25 14:03 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-07-25 13:46 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2007-07-25 13:28 786,432 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-07-25 13:28 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-07-25 13:28 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-07-25 13:28 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-07-25 13:28 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-07-25 13:28 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-07-25 13:28 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-07-25 13:28 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-07-25 13:19 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion
2007-07-25 13:17 <REP> d-------- C:\Program Files\Yahoo!
2007-07-20 13:20 <REP> d-------- C:\Program Files\PCPitstop
2007-07-20 13:06 <REP> d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
2007-07-07 18:20 <REP> d-------- C:\Program Files\DivX
2007-07-02 15:41 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-02 15:41 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-27 14:10:12 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-07-27 14:10:05 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-07-27 13:53:05 -------- d-----w C:\DOCUME~1\Maude\APPLIC~1\MSN6
2007-07-25 20:05:36 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-07-25 19:02:57 -------- d-----w C:\Program Files\BoontyGames
2007-07-25 17:16:21 -------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-07-23 00:12:34 -------- d-----w C:\DOCUME~1\Maude\APPLIC~1\teamspeak2
2007-07-20 19:42:32 -------- d-----w C:\Program Files\Electronic Arts
2007-07-20 19:42:29 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-07-20 01:18:20 -------- d-----w C:\Program Files\World of Warcraft
2007-07-08 23:41:01 -------- d-----w C:\Program Files\WowCartographe
2007-07-08 00:55:46 -------- d-----w C:\Program Files\Fichiers communs\Command Software
2007-07-07 22:15:27 -------- d-----w C:\Program Files\EA GAMES
2007-07-07 22:13:50 -------- d-----w C:\Program Files\NetAssistant
2007-06-18 16:30:35 -------- d-----w C:\DOCUME~1\Maude\APPLIC~1\CyberLink
2007-06-15 16:00:29 -------- d-----w C:\DOCUME~1\Maude\APPLIC~1\MSNInstaller
2007-06-15 02:42:35 -------- d-----w C:\Program Files\Mes Jeux Téléchargés
2007-06-14 02:50:50 -------- d-----w C:\Program Files\Fichiers communs\BOONTY Shared
2007-06-14 02:50:40 12,464 ----a-w C:\WINDOWS\system32\drivers\CdaC15BA.SYS
2007-06-14 02:49:39 75,824 ----a-w C:\WINDOWS\unins000.dat
2007-06-14 02:49:36 711,687 ----a-w C:\WINDOWS\unins000.exe
2007-06-14 02:49:36 -------- d-----w C:\Program Files\Boonty
2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-02 20:12:19 62,320 ----a-w C:\DOCUME~1\Maude\APPLIC~1\GDIPFONTCACHEV1.DAT
2007-04-27 23:07:48 79,384 ----a-r C:\WINDOWS\system32\avmontr.dll
2006-07-20 21:07:34 149 ----a-w C:\Program Files\INSTALL.LOG


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StandardInstall"="" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 15:29]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 08:00]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"=1 (0x1)
"AllowUnhashedWebView"=1 (0x1)

R1 FreeTdi;Freedom Filter;C:\WINDOWS\system32\Drivers\FreeTdi.sys
R1 NPPTNT2;NPPTNT2;\??\C:\WINDOWS\system32\npptNT2.sys
R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys
R1 SCDEmu;SCDEmu;C:\WINDOWS\system32\drivers\SCDEmu.sys
R2 CdaC15BA;CdaC15BA;\??\C:\WINDOWS\system32\drivers\CdaC15BA.SYS
R2 CSS DVP;CSS DVP;C:\WINDOWS\system32\DRIVERS\css-dvp.sys
R2 EGATHDRV;IBM Access Support;\??\C:\WINDOWS\system32\EGATHDRV.SYS
R2 SoundMAX Agent Service (default);SoundMAX Agent Service;C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
R3 E100B;Intel(R) PRO Network Connection Driver;C:\WINDOWS\system32\DRIVERS\e100b325.sys
R3 Freedom;Freedom Miniport;C:\WINDOWS\system32\DRIVERS\FREEDOM.SYS
R3 senfilt;senfilt;C:\WINDOWS\system32\drivers\senfilt.sys
S3 dwusbdnt;dwusbdnt;C:\WINDOWS\system32\DRIVERS\dwusbdnt.sys
S3 MidiSyn;MidiSyn;C:\WINDOWS\system32\drivers\MidiSyn.sys
S3 NTProcDrv;Process creation detector for NT.;\??\C:\Documents and Settings\Maude\Bureau\yeah\NtProcDrv.sys
S3 SilverLink;Texas Instruments SilverLink (USB GraphLink) Cable;C:\WINDOWS\system32\Drivers\SilvrLnk.sys
S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Usnsvc usnsvc


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-27 10:39:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-27 10:41:13 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-27 10:40

--- E O F ---

Re

Combofix a fait du ménage.


Pourrais tu répondre.

jai pas d'anti virus  

Bonjour


Tu vas te protèger avant de continuer la manip. Sinon la réinfection est immédiate.


Tu vas télécharger Antivir qui est gratuit
http://www.free-av.com
Aide toi de son tutorial d'installation
http://speedweb1.free.fr/frames2.php?page=tuto5

Fais un scan.
Poste son rapport avec un nouveau Hijackthis.