Infection win32;BANKERS;F5

math -  
 math -
Bonjour,

Bien si je vous écris c'est que je commence à desesperer, il y a de cela maitenant 3 jours j'allume mon pc et je vois qu'il rame un peu, je lance mon antivirus mon spy bot et il ne detecte rien, je me dis alors tient une barrette de ram a du me lacher bref je laisse comme ça et je fais mes activités sur mon pc, je redemarre et la je constate une petite croix blanche dans un rond rouge qui apparait dans ma barre de tache ( sujet recurent et la réponse a deja été donné sur votre site)

Mon soucis vient du fait que je ne peux plus lancer mon spybot, ni le reinstaller, je ne peux plus non plus changer mon fond d'ecran mais ça c'est normal cela va avec mon infection, mais le plus difficile c'est que je ne peux plus non plus ouvrir un de mes disks dur....Mm en mode sans echec je me retrouve donc assez mal, je passe des antivirus ilme suprime certains trucs mais en vains la totalité ( a chaque fois queje rellume mon pc mon pare feu est desactivé je dois le reactiver a la main)

je vais vous poster mon hijackthis car vous allez me le demander j'en suis sur merci de votre aide a l'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:53:40, on 12/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\wltrysvc.exe
D:\WINDOWS\System32\bcmwltry.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\ATKKBService.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
D:\Program Files\CA\eTrust Antivirus\InoRT.exe
D:\Program Files\CA\eTrust Antivirus\InoTask.exe
D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Webroot\Spy Sweeper\SSU.EXE
D:\Documents and Settings\utilisateur\Bureau\HiJackThis.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\Userinit.exe,D:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [SpySweeper] "D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - D:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\wndutl32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\wltrysvc.exe

--
End of file - 3785 bytes
Configuration: Windows XP
Internet Explorer 7.0

6 réponses

  1. math
     
    desolé il m'a pas tout mis sur mon premier post le voila en entier

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:53:40, on 12/02/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\csrss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\wltrysvc.exe
    D:\WINDOWS\System32\bcmwltry.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\ATKKBService.exe
    D:\Program Files\Bonjour\mDNSResponder.exe
    D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    D:\Program Files\CA\eTrust Antivirus\InoRT.exe
    D:\Program Files\CA\eTrust Antivirus\InoTask.exe
    D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    D:\WINDOWS\system32\svchost.exe
    D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    D:\WINDOWS\System32\alg.exe
    D:\WINDOWS\system32\wbem\wmiprvse.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Internet Explorer\IEXPLORE.EXE
    D:\Program Files\Webroot\Spy Sweeper\SSU.EXE
    D:\Documents and Settings\utilisateur\Bureau\HiJackThis.exe
    D:\WINDOWS\system32\wbem\wmiprvse.exe

    F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\Userinit.exe,D:\WINDOWS\system32\ntos.exe,
    O4 - HKLM\..\Run: [SpySweeper] "D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
    O4 - HKCU\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe
    O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe (User 'Default user')
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - D:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\wndutl32.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRT.exe
    O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoTask.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\wltrysvc.exe
    0
  2. Nic00 Messages postés 1751 Statut Membre 95
     
    Salut,

    Télécharge SDFix et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

    >> Redémarre ton ordinateur

    >> Tapotes la touche F8 eu démarrage

    >> un menu avec différentes options va apparaître.

    >> Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".

    >> Choisis ton compte.
    Déroule la liste des instructions ci-dessous :

    >> Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.

    >> Appuie sur Y pour commencer le processus de nettoyage.

    >> Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

    >> Appuie sur une touche pour redémarrer le PC.

    >> Ton système sera plus long pour redémarrer. C'est normal.....

    >> Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

    >> Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

    >> Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

    >> Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

    >> Reposte ensuite un nouveau rapport Hijackthis stp
    0
    1. math
       
      Bien dans un premier temps, merci à toi de prendre du temps pour me repondre, je vais esayer de t'expliquer au meux la suite des evenements...

      Je télécharge donc SDfix sans le moindre soucis, l'installation elle aussi pas de problème.

      Je redemarre mon pc, je tape sur ma touche F8 et voilà ce que je peux observer :

      * Removable
      - floppy disks
      *Hard disk
      - Sata 1 : Maxtor
      - Sata 2 : Maxtor
      - Bootable add in cards
      *CD ROM
      -2 nd masters
      -2 nd slave
      legacy lann


      Voila donc ou est mon soucis, donc je le contourne je tape msconfig dans mon exectuter et la je met en route mon mode dyagnostique pas mode sans echec je lance ton programme et je ne peux pas le mettre en route car ce n'est pas le bon mode de windos pour l'utliser

      Voila donc si tu as encore des idées des solutions je t'ecoute
      0
  3. Nic00 Messages postés 1751 Statut Membre 95
     
    Sur certains pc, c'est la touche F5, essayes.

    0
    1. math
       
      Bon, en effet il s'agit bien de la touche f5 voila deja une interrogation de lever voici donc le rapport que tu m'as demandé

      b]Checking Files [/b]:

      Trojan Files Found:



      Could Not Remove D:\WINDOWS\system32\ntos.exe



      Removing Temp Files

      [b]ADS Check [/b]:



      [b]Final Check [/b]:

      catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-02-12 14:30:05
      Windows 5.1.2600 Service Pack 3 NTFS

      scanning hidden processes ...

      scanning hidden services & system hive ...

      disk error: D:\WINDOWS\system32\config\system, 0
      scanning hidden registry entries ...

      disk error: D:\WINDOWS\system32\config\software, 0
      disk error: D:\Documents and Settings\utilisateur\ntuser.dat, 0
      scanning hidden files ...

      disk error: D:\WINDOWS\

      please note that you need administrator rights to perform deep scan

      [b]Remaining Services [/b]:




      Authorized Application Key Export:

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "D:\\Program Files\\CA\\eTrust Antivirus\\Realmon.exe"="D:\\Program Files\\CA\\eTrust Antivirus\\Realmon.exe:*:Enabled:Realmon"
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "D:\\Program Files\\CA\\eTrust Antivirus\\InocIT.exe"="D:\\Program Files\\CA\\eTrust Antivirus\\InocIT.exe:*:Enabled:InocIT"
      "D:\\Program Files\\MSN Messenger\\msncall.exe"="D:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
      "D:\\Program Files\\Zapu\\Zapu\\wDivi.exe"="D:\\Program Files\\Zapu\\Zapu\\wDivi.exe:*:Disabled:Zapu Control"
      "D:\\WINDOWS\\system32\\rundll32.exe"="D:\\WINDOWS\\system32\\rundll32.exe:*:Disabled:Ex‚cuter une DLL en tant qu'application"
      "D:\\Program Files\\MSN Messenger\\msnmsgr.exe"="D:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
      "D:\\Program Files\\MSN Messenger\\livecall.exe"="D:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
      "D:\\Program Files\\Bonjour\\mDNSResponder.exe"="D:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
      "D:\\Program Files\\World of Warcraft\\Launcher.exe"="D:\\Program Files\\World of Warcraft\\Launcher.exe:*:Enabled:World of Warcraft"
      "D:\\Program Files\\Skype\\Phone\\Skype.exe"="D:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
      "D:\\Program Files\\Webroot\\Spy Sweeper\\SpySweeperUI.exe"="D:\\Program Files\\Webroot\\Spy Sweeper\\SpySweeperUI.exe:*:Enabled:Spy Sweeper"
      "F:\\Mes documents\\CyberLink\\PowerDVD\\eMule\\emule.exe"="F:\\Mes documents\\CyberLink\\PowerDVD\\eMule\\emule.exe:*:Disabled:eMule"
      "F:\\eMule\\emule.exe"="F:\\eMule\\emule.exe:*:Disabled:eMule"
      "D:\\Program Files\\eMule\\emule.exe"="D:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"
      "D:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"="D:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe:*:Disabled:ET"
      "D:\\Program Files\\iTunes\\iTunes.exe"="D:\\Program Files\\iTunes\\iTunes.exe:*:Disabled:iTunes"
      "C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe:*:Disabled:Logitech Desktop Messenger"
      "D:\\WINDOWS\\system32\\dpvsetup.exe"="D:\\WINDOWS\\system32\\dpvsetup.exe:*:Disabled:Microsoft DirectPlay Voice Test"
      "D:\\Program Files\\NeverwinterNights\\NWN\\nwmain.exe"="D:\\Program Files\\NeverwinterNights\\NWN\\nwmain.exe:*:Disabled:Neverwinter Nights"
      "D:\\NeverwinterNights\\NWN\\nwmain.exe"="D:\\NeverwinterNights\\NWN\\nwmain.exe:*:Disabled:Neverwinter Nights"
      "C:\\NeverwinterNights\\NWN\\nwmain.exe"="C:\\NeverwinterNights\\NWN\\nwmain.exe:*:Disabled:Neverwinter Nights"
      "D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe"="D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe:*:Disabled:Neverwinter Nights 2 AMD"
      "D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main.exe"="D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main.exe:*:Disabled:Neverwinter Nights 2 Main"
      "D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2server.exe"="D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2server.exe:*:Disabled:Neverwinter Nights 2 Server"
      "D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwupdate.exe"="D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwupdate.exe:*:Disabled:Neverwinter Nights 2 Updater"

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "D:\\Program Files\\MSN Messenger\\msncall.exe"="D:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
      "D:\\Program Files\\MSN Messenger\\msnmsgr.exe"="D:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
      "D:\\Program Files\\MSN Messenger\\livecall.exe"="D:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

      [b]Remaining Files [/b]:

      D:\WINDOWS\system32\ntos.exe Found

      File Backups: - D:\SDFix\backups\backups.zip

      [b]Files with Hidden Attributes [/b]:

      Fri 6 Feb 2009 65,536 ..SHR --- "D:\RECYCLER\S-5-9-86-100031737-100017859-100005777-6866.com"
      Wed 22 Oct 2008 949,072 A.SHR --- "D:\Program Files\Spybot - Search & Destroy\advcheck.dll"
      Mon 15 Sep 2008 1,562,960 A.SHR --- "D:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
      Tue 16 Sep 2008 1,833,296 A.SHR --- "D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
      Wed 22 Oct 2008 962,896 A.SHR --- "D:\Program Files\Spybot - Search & Destroy\Tools.dll"
      Tue 10 Feb 2009 42,496 ..SHR --- "D:\WINDOWS\system32\actmoviet.exe"
      Fri 6 Feb 2009 65,536 A.SHR --- "D:\WINDOWS\Temp\1163953.tmp"
      Fri 6 Feb 2009 65,536 A.SHR --- "D:\WINDOWS\Temp\169281.tmp"
      Fri 6 Feb 2009 65,536 A.SHR --- "D:\WINDOWS\Temp\171734.tmp"
      Fri 6 Feb 2009 65,536 A.SHR --- "D:\WINDOWS\Temp\196718.tmp"
      Fri 6 Feb 2009 65,536 A.SHR --- "D:\WINDOWS\Temp\207953.tmp"
      Fri 6 Feb 2009 65,536 A.SHR --- "D:\WINDOWS\Temp\447671.tmp"
      Sun 24 Dec 2006 4,348 ..SH. --- "D:\Documents and Settings\All Users\DRM\DRMv1.bak"
      Tue 23 Jan 2007 0 A.SH. --- "D:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
      Tue 10 Feb 2009 0 A..H. --- "D:\Documents and Settings\utilisateur\Local Settings\Temp\60325cahp25ca0.exe"
      Fri 3 Aug 2007 857 ...HR --- "D:\Documents and Settings\utilisateur\Application Data\SecuROM\UserData\securom_v7_01.bak"

      [b]Finished![/b]
      0
      1. math > math
         
        et voici le nouveau hijackthis


        Logfile of Trend Micro HijackThis v2.0.2
        Scan saved at 14:36:13, on 12/02/2009
        Platform: Windows XP SP3 (WinNT 5.01.2600)
        MSIE: Internet Explorer v7.00 (7.00.6000.16735)
        Boot mode: Normal

        Running processes:
        D:\WINDOWS\System32\smss.exe
        D:\WINDOWS\system32\csrss.exe
        D:\WINDOWS\system32\winlogon.exe
        D:\WINDOWS\system32\services.exe
        D:\WINDOWS\system32\lsass.exe
        D:\WINDOWS\system32\Ati2evxx.exe
        D:\WINDOWS\system32\svchost.exe
        D:\WINDOWS\system32\svchost.exe
        D:\WINDOWS\System32\svchost.exe
        D:\WINDOWS\system32\svchost.exe
        D:\WINDOWS\system32\svchost.exe
        D:\WINDOWS\System32\wltrysvc.exe
        D:\WINDOWS\System32\bcmwltry.exe
        D:\WINDOWS\system32\spoolsv.exe
        D:\WINDOWS\ATKKBService.exe
        D:\Program Files\Bonjour\mDNSResponder.exe
        D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
        D:\Program Files\CA\eTrust Antivirus\InoRT.exe
        D:\Program Files\CA\eTrust Antivirus\InoTask.exe
        D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
        D:\WINDOWS\system32\svchost.exe
        D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
        D:\WINDOWS\System32\alg.exe
        D:\WINDOWS\system32\Ati2evxx.exe
        D:\WINDOWS\Explorer.EXE
        D:\WINDOWS\system32\wbem\wmiprvse.exe
        D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
        D:\WINDOWS\system32\ctfmon.exe
        D:\WINDOWS\System32\svchost.exe
        D:\Program Files\Internet Explorer\IEXPLORE.EXE
        D:\WINDOWS\system32\wuauclt.exe
        D:\Documents and Settings\utilisateur\Bureau\HiJackThis.exe
        D:\WINDOWS\system32\wbem\wmiprvse.exe

        F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\Userinit.exe,D:\WINDOWS\system32\ntos.exe,
        O4 - HKLM\..\Run: [SpySweeper] "D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
        O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
        O4 - HKCU\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe
        O4 - HKUS\S-1-5-18\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
        O4 - HKUS\.DEFAULT\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe (User 'Default user')
        O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
        O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
        O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - D:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\wndutl32.dll
        O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
        O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
        O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
        O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
        O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
        O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRT.exe
        O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoTask.exe
        O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
        O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
        O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
        O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\wltrysvc.exe
        0
      2. math > math
         
        Et bien je ne comprends pas trop, j'ai été reinfecté de partout j'ai donc refais ta manip, en plus j'ai lancer mon antivirus lors du mode sans echec j'ai reboot et la une agreable surprise tout semble de retour comme il se doit, plus d'icone impempestive ni de lag en tout cas merci pour tout

        Veux tu encore un hijackthis ?
        0
  4. Nic00 Messages postés 1751 Statut Membre 95
     
    Oui stp
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour,

    Tente cette application; j'aimerais voir le résultat. SVP. Merci.

    Télécharger MsnFix < http://sosvirus.changelog.fr/MSNFix.exe > ([Enregistrer] > choisir sur le "Bureau")
    Accepter les alertes éventuelles de l'antivirus installé.
    Double-clique sur l’icône placé sur le bureau, puis [Exécuter] > choisir « Français » > [Suivant] dans l’assistant d’installation > cocher la case devant « Créer une icône sur le bureau » > [Suivant] > [Installer] > [Terminer] ==> le programme se lance automatiquement. Patiente un peu.
    - Exécute l'option R. Patiente à nouveau le temps du Scan (clignotant)
    - Si l'infection est détectée, tu vois le message « Infection présente » ; presse une touche pour lancer le nettoyage. (N)
    Si tu dois redémarrer l’ordinateur, fais-le manuellement.
    Poste le rapport situé dans le dossier MSNFix.
    Le nom du rapport correspond au moment de sa création : date_heure.log
    À l’installation, l’exécutable se place en "C:\Program Files\MSNFix\MSNFix.bat"

    Ensuite
    Spybot et son Tea-Timer sont totalement dépassés, et ne servent pour le moment qu'à empêcher les outils de désinfections de fonctionner.
    Il faut faire un clic-droit sur le lien ci-dessous, puis choisir « Enregistrer la cible du lien sous ».
    http://www.safer-networking.org/files/remove-spybotsd-settings.reg
    Placer le fichier "remove-spybotsd-settings.reg" sur le Bureau.
    Faire un clic-droit sur le fichier "remove-spybotsd-settings.reg" ; puis choisir « Fusionner » et accepter la fusion dans le Registre.
    Redémarrer le PC

    Merci
    Al.
    0
  7. Nic00 Messages postés 1751 Statut Membre 95
     
    Salut afideg,

    attend plutôt d'avoir le nouveau rapport Hijackthis avant de passer à quoi que ce soit ;-)
    0
    1. math
       
      Salut à vous deux voila mon rapport :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 11:17:16, on 13/02/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16762)
      Boot mode: Normal

      Running processes:
      D:\WINDOWS\System32\smss.exe
      D:\WINDOWS\system32\winlogon.exe
      D:\WINDOWS\system32\services.exe
      D:\WINDOWS\system32\lsass.exe
      D:\WINDOWS\system32\Ati2evxx.exe
      D:\WINDOWS\system32\svchost.exe
      D:\WINDOWS\System32\svchost.exe
      D:\WINDOWS\System32\wltrysvc.exe
      D:\WINDOWS\System32\bcmwltry.exe
      D:\WINDOWS\system32\spoolsv.exe
      D:\WINDOWS\ATKKBService.exe
      D:\Program Files\Bonjour\mDNSResponder.exe
      D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
      D:\Program Files\CA\eTrust Antivirus\InoRT.exe
      D:\Program Files\CA\eTrust Antivirus\InoTask.exe
      D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      D:\WINDOWS\system32\svchost.exe
      D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
      D:\WINDOWS\system32\Ati2evxx.exe
      D:\WINDOWS\Explorer.EXE
      D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
      D:\WINDOWS\system32\ctfmon.exe
      D:\Program Files\Internet Explorer\IEXPLORE.EXE
      D:\WINDOWS\system32\wuauclt.exe
      D:\Documents and Settings\utilisateur\Bureau\HiJackThis.exe

      O4 - HKLM\..\Run: [SpySweeper] "D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
      O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
      O17 - HKLM\System\CCS\Services\Tcpip\..\{609AF63A-D3C8-4328-83B2-79A58C37F388}: NameServer = 85.255.112.39,85.255.112.40
      O17 - HKLM\System\CCS\Services\Tcpip\..\{C1FEC265-3B7C-4CB0-AF8E-9700BCC59093}: NameServer = 85.255.112.39,85.255.112.40
      O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
      O17 - HKLM\System\CS2\Services\Tcpip\..\{609AF63A-D3C8-4328-83B2-79A58C37F388}: NameServer = 85.255.112.39,85.255.112.40
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
      O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - D:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\wndutl32.dll (file missing)
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
      O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRT.exe
      O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoTask.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
      O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\wltrysvc.exe
      0
    2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Salut

      Ce n'est pas un problème pour moi.
      J'avais particulièrement lu ceci:
      Could Not Remove D:\WINDOWS\system32\ntos.exe

      D'autre part, l'internaute écrit: « Et bien je ne comprends pas trop, j'ai été reinfecté de partout j'ai donc refais ta manip, en plus j'ai lancer mon antivirus lors du mode sans echec j'ai reboot et la une agreable surprise tout semble de retour comme il se doit, plus d'icone impempestive ni de lag en tout cas merci pour tout »
      Salut math, de quel antivirus parles-tu, s'il te plaît ?

      Merci
      Al.


      0
      1. math > afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention  
         
        Et bien j'ai passé un coup de i trust et de webroot spy, par contre je j'arrive pas a ouvrir ton lien ni a reinstaller spybot on met cela :

        error sending request
        the server name or adress could not be resolved
        0
      2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602 > math
         
        Re,

        Webroot Spy Sweeper immunise votre ordinateur contre différents spywares (logiciels espion) comme les trojans, les adwares, les keyloggers et autres moniteurs systèmes.
        Ce n'est pas à proprement parler, un antivirus; mais c'est un antispyware.

        Ton antivirus, ce n'est pas "i trust", mais c'est eTrust Antivirus.


        Pour Spybot S&D, il n'y a pas à ouvrir le lien ! ==> Il faut faire un clic-droit sur le lien ci-dessous, puis choisir « Enregistrer la cible du lien sous ».
        http://www.safer-networking.org/files/remove-spybotsd-settings.reg
        Placer le fichier "remove-spybotsd-settings.reg" sur le Bureau.
        Et l'exécuter de là; comme c'était indiqué.


        Al.
        0
      3. math > afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention  
         
        je clique droit sur ton lien mais le soucis et le mm que quand j'essaye d'installer spybot on me dit que le site est in trouvable il faut que je verifie l'adresse
        0