hello,
 
suite à plusieurs alertes de mon antivirus (avast) concernant des chevaux de troie et des messages de mon firewall (sunbelt personal) pour des connexions sortantes douteuses (DDC ou quelque chose du genre, qui venait de mfcradip.exe), je suis allé faire un tour du côté des processus qui tournaient et j'ai trouvé celui-ci (le mfcradip).
je ne l'ai jamais vu auparavant et j'ai donc recherché des infos dessus. il est dans le dossier system32 de windows mais je n'ai rien trouvé à propos sur internet.
je n'ai pas l'impression qu'il soit dangereux mais comme mes protections m'ont averti d'attaques, je préfère m'assurer que tout est en ordre.
 
quelqu'un saurait-il de quoi il s'agit? (quand je l'arrête depuis le gestionnaire il redémarre aussi sec).
 
(par la même occasion, y aurait-il un endroit ou je pourrais télécharger un pack des polices de base xp car j'en ai très bêtement effacées... (durant un changement de gestionnaire de polices, qui sont un de mes outils de travail). cette question est très secondaire, c'est en attendant de mettre la main sur mon cd d'install de xp).
 
merci d'avance de vos réponses, bonne soirée.

salut,
post un log hijackthis pour y voir plus clair(explication ici http://easy-zonepc.populus.org/rub/7 )

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 08:29:48, on 08.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\BlueSoleil\BTNtService.exe
C:\Program Files\KPF\kpf4ss.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\KPF\kpf4gui.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\KPF\kpf4gui.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\system32\mfcradip.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Suitcase 9.2\Suitcase.exe
C:\Program Files\Foxmail\Foxmail.exe
C:\Documents and Settings\Dave\Bureau\HiJackThis_v2.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {70C8E192-5BDE-453B-BC46-849F7ACDF066} - C:\WINDOWS\system32\pmnlk.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {984544AB-5FA6-46AF-BE1D-E21804DAD281} - C:\WINDOWS\system32\gebccdc.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Nero BackItUp\NBJ.exe"
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Suitcase Startup.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by112fd.bay112.hotmail.msn. [...] Atchmt.ocx
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: gebccdc - C:\WINDOWS\SYSTEM32\gebccdc.dll
O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\BlueSoleil\BTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DomainService -   - C:\WINDOWS\system32\mfcradip.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\KPF\kpf4ss.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 
--
End of file - 7483 bytes

 
On ne voit pas ta version d'IE ?
 
Tu as l'ancienne version du  Sunbelt Personal Firewall...et tu as aussi Kerio ? (ou alors mal désinstallé)
 
C'est toi qui a changé les chemins d'accès de tes programmes ??
Comme par ex :  
 
C:\Program Files\Avast4\ashServ.exe
C:\Program Files\BlueSoleil\BTNtService.exe
C:\Program Files\KPF\kpf4ss.exe
 
 
Tu as 2 BHO suspects . C'est le classique troyen virtumundo et le Troyen DynaLink
 
O2 - BHO: (no name) - {70C8E192-5BDE-453B-BC46-849F7ACDF066} - C:\WINDOWS\system32\pmnlk.dll
O2 - BHO: (no name) - {984544AB-5FA6-46AF-BE1D-E21804DAD281} - C:\WINDOWS\system32\gebccdc.dll
 
 
Un OCX à virer  
 
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by112fd.bay112.hotmail.msn. [...] Atchmt.ocx
 
On retrouve DynaLink
O20 - Winlogon Notify: gebccdc - C:\WINDOWS\SYSTEM32\gebccdc.dll
 
 
Une trace de l'Adware Look2ME (qui a mal nettoyé )
 
O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
 
 

 
O23 - Service: DomainService - - C:\WINDOWS\system32\mfcradip.exe
 
 
Inconnu... donc suspect (peut etre généré en aléatoire par Dynalink)
 
Soumet le à : http://www.virustotal.com/fr/
 

 
Ben tu n'aurais pas téléchargé un pack de police payantes ?
 
Retrouve ton CD, laisse de coté Emule ou alors change d'antivirus et de firewall, vire les processus inutiles  comme
 
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe  (JAVA)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE  (Mise à jour de SoudBlaster)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"  (Adobe Reader)
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"  
 
Tu les auras soit dans les "services" soit en démarrage
 
Démarrer ---> Excuter ----> Services.msc
Démarrer ----> Excuter ----> msconfig  ---- Onglet "Démarrage"
 
Ca ne va pas virer ce que tu as mais ca soulagera ton PC (tiens j'ai oublié iTunes)
 
VirtuMonde est simplement nettoyé par SpyBot (sous la référence Smitfraud-Toolbar888) ou par de simples nettoyeurs du type :  
 
http://mickael.barroux.free.fr/sec [...] x.php#scan
ou
http://www.atribune.org/ccount/click.php?id=4
http://secured2k.home.comcast.net/ [...] BeGone.exe

merci contact75.
 
pour ie, je ne pourrais pas te dire la version, j'utilise firefox et je ne le mets pas à jour.
je suis sur une version limitée de sunbelt et kerio doit être mal désinstallé, en effet. j'avais prévu de faire le nécessaire bientôt (j'ai bien sûr laissé trainé...)
par contre, pour les chemins d'accès, je n'ai rien touché.
 
j'ai fait un scan avec adaware, il m'a reconnu mfcradip.exe comme troyen, je l'ai effacé mais je verrai s'il est toujours là au prochain démarrage.
 
sinon, j'ai suivi tes instructions, je verrai ce que ca donne quand je rebooterai ma machine (demain soir).
 
merci de vos aides.

re.
 
apparemment les modifs faites ont l'air de fonctionner, je n'ai rien trouvé de douteux à ce moment.
merci.

 
Tu peux essayer un scan en profondeur avec la version gratuite de Bitdefender
 
http://www.clubic.com/telecharger- [...] ition.html
 
Son gros défaut c'est l'analyse en temps réel, mais il est possible de s'en servir pour les fichiers douteux et en cas d'infection, il nettoiera mieux de toutes les facons qu'un AVAST gratuit ou un AVG gratuit.
 
Donc utiliser en complément un antivirus "temps réel", c'est quand meme mieux lors des téléchargements, ou du rapatriement de fichiers via la messagerie :-)