Infection win32;BANKERS;F5

Fermé
math - 12 févr. 2009 à 11:55
 math - 13 févr. 2009 à 13:31
Bonjour,

Bien si je vous écris c'est que je commence à desesperer, il y a de cela maitenant 3 jours j'allume mon pc et je vois qu'il rame un peu, je lance mon antivirus mon spy bot et il ne detecte rien, je me dis alors tient une barrette de ram a du me lacher bref je laisse comme ça et je fais mes activités sur mon pc, je redemarre et la je constate une petite croix blanche dans un rond rouge qui apparait dans ma barre de tache ( sujet recurent et la réponse a deja été donné sur votre site)

Mon soucis vient du fait que je ne peux plus lancer mon spybot, ni le reinstaller, je ne peux plus non plus changer mon fond d'ecran mais ça c'est normal cela va avec mon infection, mais le plus difficile c'est que je ne peux plus non plus ouvrir un de mes disks dur....Mm en mode sans echec je me retrouve donc assez mal, je passe des antivirus ilme suprime certains trucs mais en vains la totalité ( a chaque fois queje rellume mon pc mon pare feu est desactivé je dois le reactiver a la main)

je vais vous poster mon hijackthis car vous allez me le demander j'en suis sur merci de votre aide a l'avance



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:53:40, on 12/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\wltrysvc.exe
D:\WINDOWS\System32\bcmwltry.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\ATKKBService.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
D:\Program Files\CA\eTrust Antivirus\InoRT.exe
D:\Program Files\CA\eTrust Antivirus\InoTask.exe
D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Webroot\Spy Sweeper\SSU.EXE
D:\Documents and Settings\utilisateur\Bureau\HiJackThis.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\Userinit.exe,D:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [SpySweeper] "D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - D:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\wndutl32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\wltrysvc.exe

6 réponses

desolé il m'a pas tout mis sur mon premier post le voila en entier


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:53:40, on 12/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\wltrysvc.exe
D:\WINDOWS\System32\bcmwltry.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\ATKKBService.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
D:\Program Files\CA\eTrust Antivirus\InoRT.exe
D:\Program Files\CA\eTrust Antivirus\InoTask.exe
D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Webroot\Spy Sweeper\SSU.EXE
D:\Documents and Settings\utilisateur\Bureau\HiJackThis.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\Userinit.exe,D:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [SpySweeper] "D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - D:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\wndutl32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\wltrysvc.exe
0
Nic00 Messages postés 1701 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 30 mars 2010 95
12 févr. 2009 à 12:10
Salut,

Télécharge SDFix et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

>> Redémarre ton ordinateur

>> Tapotes la touche F8 eu démarrage

>> un menu avec différentes options va apparaître.

>> Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".

>> Choisis ton compte.
Déroule la liste des instructions ci-dessous :

>> Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.

>> Appuie sur Y pour commencer le processus de nettoyage.

>> Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

>> Appuie sur une touche pour redémarrer le PC.

>> Ton système sera plus long pour redémarrer. C'est normal.....

>> Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

>> Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

>> Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

>> Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum



>> Reposte ensuite un nouveau rapport Hijackthis stp
0
Bien dans un premier temps, merci à toi de prendre du temps pour me repondre, je vais esayer de t'expliquer au meux la suite des evenements...

Je télécharge donc SDfix sans le moindre soucis, l'installation elle aussi pas de problème.

Je redemarre mon pc, je tape sur ma touche F8 et voilà ce que je peux observer :

* Removable
- floppy disks
*Hard disk
- Sata 1 : Maxtor
- Sata 2 : Maxtor
- Bootable add in cards
*CD ROM
-2 nd masters
-2 nd slave
legacy lann


Voila donc ou est mon soucis, donc je le contourne je tape msconfig dans mon exectuter et la je met en route mon mode dyagnostique pas mode sans echec je lance ton programme et je ne peux pas le mettre en route car ce n'est pas le bon mode de windos pour l'utliser

Voila donc si tu as encore des idées des solutions je t'ecoute
0
Nic00 Messages postés 1701 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 30 mars 2010 95
12 févr. 2009 à 14:01
Sur certains pc, c'est la touche F5, essayes.

0
Bon, en effet il s'agit bien de la touche f5 voila deja une interrogation de lever voici donc le rapport que tu m'as demandé

b]Checking Files [/b]:

Trojan Files Found:



Could Not Remove D:\WINDOWS\system32\ntos.exe



Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-12 14:30:05
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: D:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: D:\WINDOWS\system32\config\software, 0
disk error: D:\Documents and Settings\utilisateur\ntuser.dat, 0
scanning hidden files ...

disk error: D:\WINDOWS\

please note that you need administrator rights to perform deep scan

[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\CA\\eTrust Antivirus\\Realmon.exe"="D:\\Program Files\\CA\\eTrust Antivirus\\Realmon.exe:*:Enabled:Realmon"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\\Program Files\\CA\\eTrust Antivirus\\InocIT.exe"="D:\\Program Files\\CA\\eTrust Antivirus\\InocIT.exe:*:Enabled:InocIT"
"D:\\Program Files\\MSN Messenger\\msncall.exe"="D:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"D:\\Program Files\\Zapu\\Zapu\\wDivi.exe"="D:\\Program Files\\Zapu\\Zapu\\wDivi.exe:*:Disabled:Zapu Control"
"D:\\WINDOWS\\system32\\rundll32.exe"="D:\\WINDOWS\\system32\\rundll32.exe:*:Disabled:Ex‚cuter une DLL en tant qu'application"
"D:\\Program Files\\MSN Messenger\\msnmsgr.exe"="D:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"D:\\Program Files\\MSN Messenger\\livecall.exe"="D:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"D:\\Program Files\\Bonjour\\mDNSResponder.exe"="D:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"D:\\Program Files\\World of Warcraft\\Launcher.exe"="D:\\Program Files\\World of Warcraft\\Launcher.exe:*:Enabled:World of Warcraft"
"D:\\Program Files\\Skype\\Phone\\Skype.exe"="D:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"D:\\Program Files\\Webroot\\Spy Sweeper\\SpySweeperUI.exe"="D:\\Program Files\\Webroot\\Spy Sweeper\\SpySweeperUI.exe:*:Enabled:Spy Sweeper"
"F:\\Mes documents\\CyberLink\\PowerDVD\\eMule\\emule.exe"="F:\\Mes documents\\CyberLink\\PowerDVD\\eMule\\emule.exe:*:Disabled:eMule"
"F:\\eMule\\emule.exe"="F:\\eMule\\emule.exe:*:Disabled:eMule"
"D:\\Program Files\\eMule\\emule.exe"="D:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"
"D:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"="D:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe:*:Disabled:ET"
"D:\\Program Files\\iTunes\\iTunes.exe"="D:\\Program Files\\iTunes\\iTunes.exe:*:Disabled:iTunes"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe:*:Disabled:Logitech Desktop Messenger"
"D:\\WINDOWS\\system32\\dpvsetup.exe"="D:\\WINDOWS\\system32\\dpvsetup.exe:*:Disabled:Microsoft DirectPlay Voice Test"
"D:\\Program Files\\NeverwinterNights\\NWN\\nwmain.exe"="D:\\Program Files\\NeverwinterNights\\NWN\\nwmain.exe:*:Disabled:Neverwinter Nights"
"D:\\NeverwinterNights\\NWN\\nwmain.exe"="D:\\NeverwinterNights\\NWN\\nwmain.exe:*:Disabled:Neverwinter Nights"
"C:\\NeverwinterNights\\NWN\\nwmain.exe"="C:\\NeverwinterNights\\NWN\\nwmain.exe:*:Disabled:Neverwinter Nights"
"D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe"="D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe:*:Disabled:Neverwinter Nights 2 AMD"
"D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main.exe"="D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main.exe:*:Disabled:Neverwinter Nights 2 Main"
"D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2server.exe"="D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2server.exe:*:Disabled:Neverwinter Nights 2 Server"
"D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwupdate.exe"="D:\\Program Files\\Atari\\Neverwinter Nights 2\\nwupdate.exe:*:Disabled:Neverwinter Nights 2 Updater"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\\Program Files\\MSN Messenger\\msncall.exe"="D:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"D:\\Program Files\\MSN Messenger\\msnmsgr.exe"="D:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"D:\\Program Files\\MSN Messenger\\livecall.exe"="D:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:

D:\WINDOWS\system32\ntos.exe Found

File Backups: - D:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Fri 6 Feb 2009 65,536 ..SHR --- "D:\RECYCLER\S-5-9-86-100031737-100017859-100005777-6866.com"
Wed 22 Oct 2008 949,072 A.SHR --- "D:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "D:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Tue 16 Sep 2008 1,833,296 A.SHR --- "D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "D:\Program Files\Spybot - Search & Destroy\Tools.dll"
Tue 10 Feb 2009 42,496 ..SHR --- "D:\WINDOWS\system32\actmoviet.exe"
Fri 6 Feb 2009 65,536 A.SHR --- "D:\WINDOWS\Temp\1163953.tmp"
Fri 6 Feb 2009 65,536 A.SHR --- "D:\WINDOWS\Temp\169281.tmp"
Fri 6 Feb 2009 65,536 A.SHR --- "D:\WINDOWS\Temp\171734.tmp"
Fri 6 Feb 2009 65,536 A.SHR --- "D:\WINDOWS\Temp\196718.tmp"
Fri 6 Feb 2009 65,536 A.SHR --- "D:\WINDOWS\Temp\207953.tmp"
Fri 6 Feb 2009 65,536 A.SHR --- "D:\WINDOWS\Temp\447671.tmp"
Sun 24 Dec 2006 4,348 ..SH. --- "D:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 23 Jan 2007 0 A.SH. --- "D:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Tue 10 Feb 2009 0 A..H. --- "D:\Documents and Settings\utilisateur\Local Settings\Temp\60325cahp25ca0.exe"
Fri 3 Aug 2007 857 ...HR --- "D:\Documents and Settings\utilisateur\Application Data\SecuROM\UserData\securom_v7_01.bak"

[b]Finished![/b]
0
et voici le nouveau hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36:13, on 12/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\wltrysvc.exe
D:\WINDOWS\System32\bcmwltry.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\ATKKBService.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
D:\Program Files\CA\eTrust Antivirus\InoRT.exe
D:\Program Files\CA\eTrust Antivirus\InoTask.exe
D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\wbem\wmiprvse.exe
D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\system32\wuauclt.exe
D:\Documents and Settings\utilisateur\Bureau\HiJackThis.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\Userinit.exe,D:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [SpySweeper] "D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe
O4 - HKUS\S-1-5-18\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - D:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\wndutl32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\wltrysvc.exe
0
Et bien je ne comprends pas trop, j'ai été reinfecté de partout j'ai donc refais ta manip, en plus j'ai lancer mon antivirus lors du mode sans echec j'ai reboot et la une agreable surprise tout semble de retour comme il se doit, plus d'icone impempestive ni de lag en tout cas merci pour tout

Veux tu encore un hijackthis ?
0
Nic00 Messages postés 1701 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 30 mars 2010 95
13 févr. 2009 à 10:16
Oui stp
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
13 févr. 2009 à 10:33
Bonjour,

Tente cette application; j'aimerais voir le résultat. SVP. Merci.

Télécharger MsnFix < http://sosvirus.changelog.fr/MSNFix.exe > ([Enregistrer] > choisir sur le "Bureau")
Accepter les alertes éventuelles de l'antivirus installé.
Double-clique sur l’icône placé sur le bureau, puis [Exécuter] > choisir « Français » > [Suivant] dans l’assistant d’installation > cocher la case devant « Créer une icône sur le bureau » > [Suivant] > [Installer] > [Terminer] ==> le programme se lance automatiquement. Patiente un peu.
- Exécute l'option R. Patiente à nouveau le temps du Scan (clignotant)
- Si l'infection est détectée, tu vois le message « Infection présente » ; presse une touche pour lancer le nettoyage. (N)
Si tu dois redémarrer l’ordinateur, fais-le manuellement.
Poste le rapport situé dans le dossier MSNFix.
Le nom du rapport correspond au moment de sa création : date_heure.log
À l’installation, l’exécutable se place en "C:\Program Files\MSNFix\MSNFix.bat"



Ensuite
Spybot et son Tea-Timer sont totalement dépassés, et ne servent pour le moment qu'à empêcher les outils de désinfections de fonctionner.
Il faut faire un clic-droit sur le lien ci-dessous, puis choisir « Enregistrer la cible du lien sous ».
http://www.safer-networking.org/files/remove-spybotsd-settings.reg
Placer le fichier "remove-spybotsd-settings.reg" sur le Bureau.
Faire un clic-droit sur le fichier "remove-spybotsd-settings.reg" ; puis choisir « Fusionner » et accepter la fusion dans le Registre.
Redémarrer le PC



Merci
Al.
0
Nic00 Messages postés 1701 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 30 mars 2010 95
13 févr. 2009 à 10:42
Salut afideg,

attend plutôt d'avoir le nouveau rapport Hijackthis avant de passer à quoi que ce soit ;-)
0
Salut à vous deux voila mon rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:17:16, on 13/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wltrysvc.exe
D:\WINDOWS\System32\bcmwltry.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\ATKKBService.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
D:\Program Files\CA\eTrust Antivirus\InoRT.exe
D:\Program Files\CA\eTrust Antivirus\InoTask.exe
D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\system32\wuauclt.exe
D:\Documents and Settings\utilisateur\Bureau\HiJackThis.exe

O4 - HKLM\..\Run: [SpySweeper] "D:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{609AF63A-D3C8-4328-83B2-79A58C37F388}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1FEC265-3B7C-4CB0-AF8E-9700BCC59093}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\..\{609AF63A-D3C8-4328-83B2-79A58C37F388}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - D:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\wndutl32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - D:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\wltrysvc.exe
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
13 févr. 2009 à 11:51
Salut

Ce n'est pas un problème pour moi.
J'avais particulièrement lu ceci:
Could Not Remove D:\WINDOWS\system32\ntos.exe

D'autre part, l'internaute écrit: « Et bien je ne comprends pas trop, j'ai été reinfecté de partout j'ai donc refais ta manip, en plus j'ai lancer mon antivirus lors du mode sans echec j'ai reboot et la une agreable surprise tout semble de retour comme il se doit, plus d'icone impempestive ni de lag en tout cas merci pour tout »
Salut math, de quel antivirus parles-tu, s'il te plaît ?

Merci
Al.


0
math > afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022
13 févr. 2009 à 12:02
Et bien j'ai passé un coup de i trust et de webroot spy, par contre je j'arrive pas a ouvrir ton lien ni a reinstaller spybot on met cela :

error sending request
the server name or adress could not be resolved
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602 > math
13 févr. 2009 à 12:45
Re,

Webroot Spy Sweeper immunise votre ordinateur contre différents spywares (logiciels espion) comme les trojans, les adwares, les keyloggers et autres moniteurs systèmes.
Ce n'est pas à proprement parler, un antivirus; mais c'est un antispyware.

Ton antivirus, ce n'est pas "i trust", mais c'est eTrust Antivirus.


Pour Spybot S&D, il n'y a pas à ouvrir le lien ! ==> Il faut faire un clic-droit sur le lien ci-dessous, puis choisir « Enregistrer la cible du lien sous ».
http://www.safer-networking.org/files/remove-spybotsd-settings.reg
Placer le fichier "remove-spybotsd-settings.reg" sur le Bureau.
Et l'exécuter de là; comme c'était indiqué.


Al.
0
math > afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022
13 févr. 2009 à 13:31
je clique droit sur ton lien mais le soucis et le mm que quand j'essaye d'installer spybot on me dit que le site est in trouvable il faut que je verifie l'adresse
0