VIRUS Wrom/rbot et fichier Winmgmt.exe

IBRAHIMCHEHABBEYROUTH -  
 IBRAHIMCHEHABBEYROUTH -
Bonjour,
Depuis quelques jours l'antivirus Avast avait trouvé un cheval de troie et mis en quarantaine pas mal de fichiers. J'ai installé a-squadra et Malwares puis remplacé Avast par Antivir, mon problème de logiciels malveillants persiste ; cependant Windows au démarrage ne trouve pas un fichier dans Windows/systeme 32/ Driver/ WinMgmt.exe ; du coup un message s'affiche à plusieurs reprises. Je crains que le système ait subi un coup dur par mes maladresses, je ne suis pas pro de l'informatique.

Alors, si l'un d'entre vous a une solution - facile à appliquer - je l'en remercie d'avance
ps / LE PC EN QUESTION EST UN PORTABLE DE MARQUE ACER AVEC WINDOWS xp

Suite à la question d’un internaute, voici ce que l’on trouve dans l’observateur d’événements sur poste de travail

Sur Systeme, on trouve des erreurs en rouge depuis le 22/02/09 :

- le service network driver s'est arrêté avec erreur : une routine d'initialisation d'une libaririe dynamique DLL a échoué
- la description pour l'ID d'événement (0) dans la source (O2SCBUS) est introuvable; l'ordinateur local n'a peut-être pas les informations du Registre ou les librairies requises pour afficher les messages émanant d'un ordinateur distant. vous pourrez peut-être utiliser l'option /AUXSOURCE = pour récupérer cette description. reportez-vous aux rubriques Aide et suport pour + de détails.les info suivantes font partie de l' événement : ;IOCTL POWER failed with satuts 0xc0000014
-le lecteur de caret à puce 'O2Micro PCMCIA Reader 0' a rejeté le contrôle d'E/S POWER: la acrte à puce ne réponds pas à la réinitialisation

Ces 3 erreurs systeme se sont répétées à plusieurs reprises aujourd'hui et avec la même fréquence : la 1ére une fois, la seconde 3 fois et et la 3ème 3 fois.
le 24/02, on trouve l'erreur : le service gestion d'applications s'est arrêté : le module spécifié est introuvable ; erreur se répétant beaucoup de fois ; et la retrouve les jours d'avant.

Sur applications : des avertissements et erreurs depuis le 17/02

- avertissement : antivir a détecté dans le fichier C/WINDOWS/SYSTEM32/SSMS.EXE un code suspect avec la désignation "WORM/Rbot.147456.27'
- avertissement: windows a sauvegardé le regsitre ACER-PRXPQQLFD5/DSF Rhône alors qu'une application oui un service utilisait toujours le registre pendant la fermeture de la session. la mémoire utilisée par le registre de l'utilisateur n'a pas été libérée; le registre sera déchargé lorsqu'il ne sera plus utilisé.
-erreur : du service cliché instantané des volumes : erreur lors de l'appel de la routine CoCreatelnstance. hr = 0x80040206
- erreur : le système d'événement de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESUT est 8007043C à partir de l ligne 44 de d:/nt/com/com1x/src/events/tier1/eventsystemobj.cpp
-détecteur d'erreur 24097034
- application défaillante version 0.0.0.0. module défaillant version 0.0.0.0. adresse de défaillance 0x00000000
-application bloquée iexplorer.exe version 6.0.2800.1106 module bloqué hungapp, version0.0.0.0.

Merci de votre aide et à beintôt
Configuration: Windows XP
Internet Explorer 6.0

4 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    si tu as le rapport antivir colle le

    puis

    scan avec malwarebyte , fais un scan rapide et colle le rapport obtenu et vire ce qui est trouvé:

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

    ______________________

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
  2. IBRAHIMCHEHABBEYROUTH
     
    Bonjour,

    antivir a trouvé ceci

    le 22/ 2 un fichier qui contient un programme exécutable, cependant celui-ci se dissumule sous une extension du fichier inoffensif HIDDENEXT/. fichier non restauré; moteur 8.02.00.31 . VDF 7.01.00.97. Source C/SYSTEM32/CONFIGURE/SYSTEMPROFIL/LOCAL SETTINGS/TEMPORALLYINETRENT FILE/ CONTENT IE5/4DIBCLIN/JRSCTW(1)BMP

    LE 28/02 UN fichier contitnt cheval de troie TR/CRYPT.XPACK.GEN moteur 8.02.00.98 . VDF 7.01.02.94. Source E/RECYCLER..................MA CLEF USB

    MALWAREBYTE
    LE 24
    TROJEN.CONFICKER.H FOLDER E/RECYCLERS5342;;;;;;;;;;;;;;; REFRERENCE 45445
    TROJEN.AGENT REGISTRY VALUE HKEY LOCAL MACHINE/SOFTWARE/MICROSIOFT/WINDOWS/CURRENTVERSION/RUN/ADSLTASKB(data rundll 32.exe stmctrl.dll taskbar référence 19125

    PAS pu télécharger la malware image dont tu as parlé, le line ne fonctionne pas ; je l'ai téléchargé ailleurs malware remmoval tool et il n'a rien touvé;

    merci de ton aide
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    il faut le rapport complet d'antivir pour voir les fichiers infectés
    0
  4. IBRAHIMCHEHABBEYROUTH
     
    bonjour

    hier j'ai eu des problèmes, alors j'ai scanné avec antivir et sauvegardé le rapport :

    Avira AntiVir Personal
    Date de création du fichier de rapport : samedi 28 février 2009 19:12

    La recherche porte sur 1271369 souches de virus.

    Détenteur de la licence :Avira AntiVir PersonalEdition Classic
    Numéro de série : 0000149996-ADJIE-0001
    Plateforme : Windows XP
    Version de Windows :(Service Pack 1) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur :ACER-FRXPQQLFD5

    Informations de version :
    BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
    AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:02
    AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:28
    LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:18
    LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:28
    ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:38
    ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 15:45:58
    ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20/02/2009 15:46:02
    ANTIVIR3.VDF : 7.1.2.96 190976 Bytes 28/02/2009 15:55:42
    Version du moteur: 8.2.0.98
    AEVDF.DLL : 8.1.1.0 106868 Bytes 24/02/2009 15:46:12
    AESCRIPT.DLL : 8.1.1.56 352634 Bytes 27/02/2009 15:56:10
    AESCN.DLL : 8.1.1.7 127347 Bytes 24/02/2009 15:46:10
    AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:40
    AEPACK.DLL : 8.1.3.8 397684 Bytes 24/02/2009 15:46:10
    AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27/02/2009 15:56:08
    AEHEUR.DLL : 8.1.0.100 1618295 Bytes 27/02/2009 15:56:08
    AEHELP.DLL : 8.1.2.2 119158 Bytes 27/02/2009 15:56:04
    AEGEN.DLL : 8.1.1.22 336245 Bytes 27/02/2009 15:56:02
    AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:58
    AECORE.DLL : 8.1.6.6 176501 Bytes 24/02/2009 15:46:02
    AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:58
    AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:04
    AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:00
    AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:16
    AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:38
    AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:20
    AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:48
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:04
    SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:38
    NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:08
    RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:18
    RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:44

    Configuration pour la recherche actuelle :
    Nom de la tâche..................: Contrôle intégral du système
    Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Documentation....................: bas
    Action principale................: interactif
    Action secondaire................: ignorer
    Recherche sur les secteurs d'amorçage maître: marche
    Recherche sur les secteurs d'amorçage: marche
    Secteurs d'amorçage..............: C:, D:,
    Recherche dans les programmes actifs: marche
    Recherche en cours sur l'enregistrement: marche
    Recherche de Rootkits............: arrêt
    Fichier mode de recherche........: Sélection de fichiers intelligente
    Recherche sur les archives.......: marche
    Limiter la profondeur de récursivité: 20
    Archive Smart Extensions.........: marche
    Heuristique de macrovirus........: marche
    Heuristique fichier..............: moyen

    Début de la recherche : samedi 28 février 2009 19:12

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SCARDSVR.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'AVGUARD.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'OSA.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'MSMSGS.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'CTFMON.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SSMS.EXE' - '1' module(s) sont contrôlés
    Module infecté -> 'C:\WINDOWS\System32\ssms.exe'
    Processus de recherche 'AVGNT.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'PowerDVD.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'almxptray.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'QtZgAcer.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SynTPLpr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AGRSMMSG.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SOUNDMAN.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'HKCMD.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'IGFXTRAY.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'a2service.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SCHED.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'EXPLORER.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SPOOLSV.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'LSASS.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SERVICES.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'WINLOGON.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'CSRSS.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SMSS.EXE' - '1' module(s) sont contrôlés
    Le processus 'SSMS.EXE' est arrêté
    C:\WINDOWS\System32\ssms.exe
    [RESULTAT] Contient le modèle de détection du ver WORM/Rbot.147456.27
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a167ef9.qua' !

    '32' processus ont été contrôlés avec '31' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD1
    [INFO] Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'D:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence.

    Le registre a été contrôlé ( '60' fichiers).

    merci
    0