Sujet Précédent Sujet Suivant

Rootkit

sev -  
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité -
Bonjour, j'ai l'anti virus securite internet 2009 et un message s'affiche : decouvert : cheval de troie rootkit.win 32.podnuha.cen fichier:c:/windows/system32/catsrvu.dll
j'ai desintallé ts les derniers programmes mis sur mon ordi mais je n'arrive pas à supprimer directement catsrvu.dll ds le fichier system32:acces refusé
je ne suis pas une experte mais aidez-moi svp car j'ai peur d'aller consulter ma banque ou de faire des achats sur internet
quel est le risque avec ce genre de fichier?
merci d'avance
sev
A voir également:

30 réponses

  • 1
  • 2
Réponse 1 / 30
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Bonsoir,

Pour commencer : faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner

Ensuite :

Télécharge le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Renomme Hijackthis en Tutu

Double-clique sur HJTInstall.exe (tutu) pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la licence en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux (ne fixe rien pour le moment !!)

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

0
Réponse 2 / 30
sev
 
bonsoir
merci pour ta reponse
j'ai deja utiliser ccleaner mais tout simplement et il n'a rien diagnostiqué
c'est un peu difficile de tout comprendre ds ta reponse mais je vais essayer
que veut dire tuto et tutu?
c'est la premiere fois que je suis confrontée à un tel pb alors je ne maitrise pas grandchose
encore merci
sev
0
Réponse 3 / 30
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Tuto= tutorielle pour savoir comment installer et se servir du logiciel en question, ensuite tutu est un nom comme ça j'aurais mettre tartenpion ou autre.
0
sev
 
besoin d'aide pimprenelle
merci
0
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502 > sev
 
qu'est ce qu'il y a?
0
Réponse 4 / 30
sev
 
merci bcp pimprenelle
je suis en train d'installer ccleaner et je vais suivre à la lettre tes instructions en esperant que tt fonctionnera du premier coup
sinon à bientot
bonne soiree
et encore merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 30
sev
 
voici mon rapLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:12:22, on 15/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\APPS\OD2\OD2DLEngine.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Micro Application\Securite Internet 2009\avp.exe
C:\APPS\OD2\OD2State.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Micro Application\Securite Internet 2009\avp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis en tutu\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: (no name) - {4B3F9085-BF43-413A-9800-5D96257BC5C4} - C:\WINDOWS\system32\catsrvu.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DOWNLOAD MANAGER] C:\APPS\OD2\OD2DLEngine.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Micro Application\Securite Internet 2009\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Micro Application\Securite Internet 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Micro Application\Securite Internet 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: *.od2.com
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://fr.systemdoctor.com/download/2006/cab/SystemDoctor2006FreeInstall_fr.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O20 - AppInit_DLLs: C:\PROGRA~1\MICROA~1\SECURI~1\adialhk.dll
O20 - Winlogon Notify: __c0013190 - C:\WINDOWS\
O20 - Winlogon Notify: __c0022BA9 - C:\WINDOWS\
O20 - Winlogon Notify: __c003D475 - C:\WINDOWS\
O20 - Winlogon Notify: __c0044768 - C:\WINDOWS\
O20 - Winlogon Notify: __c0046B69 - C:\WINDOWS\
O20 - Winlogon Notify: __c0052411 - C:\WINDOWS\
O20 - Winlogon Notify: __c005DC5B - C:\WINDOWS\
O20 - Winlogon Notify: __c005EB04 - C:\WINDOWS\
O20 - Winlogon Notify: __c0076840 - C:\WINDOWS\
O20 - Winlogon Notify: __c00789E6 - C:\WINDOWS\
O20 - Winlogon Notify: __c007E43 - C:\WINDOWS\
O20 - Winlogon Notify: __c008926 - C:\WINDOWS\
O20 - Winlogon Notify: __c0091A10 - C:\WINDOWS\
O20 - Winlogon Notify: __c0091FC4 - C:\WINDOWS\
O20 - Winlogon Notify: __c0098FA6 - C:\WINDOWS\
O20 - Winlogon Notify: __c009E464 - C:\WINDOWS\
O20 - Winlogon Notify: __c00A1A10 - C:\WINDOWS\
O20 - Winlogon Notify: __c00A2E80 - C:\WINDOWS\
O20 - Winlogon Notify: __c00A7B60 - C:\WINDOWS\
O20 - Winlogon Notify: __c00B3768 - C:\WINDOWS\
O20 - Winlogon Notify: __c00B93F9 - C:\WINDOWS\
O20 - Winlogon Notify: __c00C7061 - C:\WINDOWS\
O20 - Winlogon Notify: __c00CA9BE - C:\WINDOWS\
O20 - Winlogon Notify: __c00CC1 - C:\WINDOWS\
O20 - Winlogon Notify: __c00CEA0 - C:\WINDOWS\
O20 - Winlogon Notify: __c00E0DF1 - C:\WINDOWS\
O20 - Winlogon Notify: __c00E2128 - C:\WINDOWS\
O20 - Winlogon Notify: __c00E3F26 - C:\WINDOWS\
O20 - Winlogon Notify: __c00E4256 - C:\WINDOWS\
O20 - Winlogon Notify: __c00E9A12 - C:\WINDOWS\
O20 - Winlogon Notify: __c00F6041 - C:\WINDOWS\
O20 - Winlogon Notify: __c00F68DB - C:\WINDOWS\
O20 - Winlogon Notify: __c00F6F5 - C:\WINDOWS\
O20 - Winlogon Notify: __c00F86F5 - C:\WINDOWS\
O20 - Winlogon Notify: __c00F9D30 - C:\WINDOWS\
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Securite Internet 2009 (AVP) - Micro Application - C:\Program Files\Micro Application\Securite Internet 2009\avp.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 6 / 30
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Utilise tu Boonty Games?

ensuite fais moi ceci :

Télécharger GMER ( http://www2.gmer.net/gmer.zip )
Extraire le contenu du ZIP puis renommer "gmer.exe" en "bypass.exe"
Onglet "Rootkit" ; cliquez sur "SCAN" puis patienter...
En fin de traitement cliquez sur "SAVE" et enregistrer sur votre bureau "150309.txt"
Double cliquez sur "150309.txt" ; le fichier s'ouvre dans le bloc-notes.
Copiez le contenu et collez le sur votre prochain message
0
Réponse 7 / 30
sev
 
non je n'utilise pas boonty games
0
Réponse 8 / 30
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Supprimer Boonty.exe

Bouton Démarrer => Exécuter... => Ecrire : services.msc

Rechercher dans le panneau qui s’ouvre : Boonty Games

Double-clic dessus => Type de démarrage : Désactivé => en dessous Arrêter et OK

Supprimer BOONTY Shared qui se trouve dans C:\Program Files\Fichiers communs\

Si vous avez un message d'erreur à cause du processus actif, le refaire en mode sans échec.

Redémarrez et passez HiJackThis pour vérifier qu'il n'y a plus de ligne avec Boonty.exe
0
Réponse 9 / 30
sev
 
j'ai extrais gmer que j'ai renommer bypass.exe mais il ne veut pas demarrer
0
Réponse 10 / 30
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
il y a t-il un message d'erreur?
0
Réponse 11 / 30
sev
 
non pas de message il ne demarre pas
j'ai supprimmé le boonty games
0
Réponse 12 / 30
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Refait moi un hijackthis.
0
Réponse 13 / 30
sev
 
oui un message: loadDriver("C:/DOCUME-1/test/LOCALS-1/Temp/aunasnkj.sys")error0xC0000034:impossible de creer une sous cle stable sous une cle parente volatile
0
Réponse 14 / 30
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Refait moi un hijackthis. ensuite je te dis à demain il est tard. si je ne te répond pas demain soir car je risque d'avoir pas mal de message , tu marque un up pour faire remonter ton message.
0
Réponse 15 / 30
sev
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:46:35, on 15/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\APPS\OD2\OD2DLEngine.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Micro Application\Securite Internet 2009\avp.exe
C:\APPS\OD2\OD2State.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Micro Application\Securite Internet 2009\avp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\test\Bureau\bypass.exe
C:\Program Files\Trend Micro\HijackThis en tutu\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: (no name) - {4B3F9085-BF43-413A-9800-5D96257BC5C4} - C:\WINDOWS\system32\catsrvu.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DOWNLOAD MANAGER] C:\APPS\OD2\OD2DLEngine.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Micro Application\Securite Internet 2009\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Micro Application\Securite Internet 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Micro Application\Securite Internet 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: *.od2.com
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://fr.systemdoctor.com/download/2006/cab/SystemDoctor2006FreeInstall_fr.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O20 - AppInit_DLLs: C:\PROGRA~1\MICROA~1\SECURI~1\adialhk.dll
O20 - Winlogon Notify: __c0013190 - C:\WINDOWS\
O20 - Winlogon Notify: __c0022BA9 - C:\WINDOWS\
O20 - Winlogon Notify: __c003D475 - C:\WINDOWS\
O20 - Winlogon Notify: __c0044768 - C:\WINDOWS\
O20 - Winlogon Notify: __c0046B69 - C:\WINDOWS\
O20 - Winlogon Notify: __c0052411 - C:\WINDOWS\
O20 - Winlogon Notify: __c005DC5B - C:\WINDOWS\
O20 - Winlogon Notify: __c005EB04 - C:\WINDOWS\
O20 - Winlogon Notify: __c0076840 - C:\WINDOWS\
O20 - Winlogon Notify: __c00789E6 - C:\WINDOWS\
O20 - Winlogon Notify: __c007E43 - C:\WINDOWS\
O20 - Winlogon Notify: __c008926 - C:\WINDOWS\
O20 - Winlogon Notify: __c0091A10 - C:\WINDOWS\
O20 - Winlogon Notify: __c0091FC4 - C:\WINDOWS\
O20 - Winlogon Notify: __c0098FA6 - C:\WINDOWS\
O20 - Winlogon Notify: __c009E464 - C:\WINDOWS\
O20 - Winlogon Notify: __c00A1A10 - C:\WINDOWS\
O20 - Winlogon Notify: __c00A2E80 - C:\WINDOWS\
O20 - Winlogon Notify: __c00A7B60 - C:\WINDOWS\
O20 - Winlogon Notify: __c00B3768 - C:\WINDOWS\
O20 - Winlogon Notify: __c00B93F9 - C:\WINDOWS\
O20 - Winlogon Notify: __c00C7061 - C:\WINDOWS\
O20 - Winlogon Notify: __c00CA9BE - C:\WINDOWS\
O20 - Winlogon Notify: __c00CC1 - C:\WINDOWS\
O20 - Winlogon Notify: __c00CEA0 - C:\WINDOWS\
O20 - Winlogon Notify: __c00E0DF1 - C:\WINDOWS\
O20 - Winlogon Notify: __c00E2128 - C:\WINDOWS\
O20 - Winlogon Notify: __c00E3F26 - C:\WINDOWS\
O20 - Winlogon Notify: __c00E4256 - C:\WINDOWS\
O20 - Winlogon Notify: __c00E9A12 - C:\WINDOWS\
O20 - Winlogon Notify: __c00F6041 - C:\WINDOWS\
O20 - Winlogon Notify: __c00F68DB - C:\WINDOWS\
O20 - Winlogon Notify: __c00F6F5 - C:\WINDOWS\
O20 - Winlogon Notify: __c00F86F5 - C:\WINDOWS\
O20 - Winlogon Notify: __c00F9D30 - C:\WINDOWS\
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Securite Internet 2009 (AVP) - Micro Application - C:\Program Files\Micro Application\Securite Internet 2009\avp.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 16 / 30
sev
 
le gmer a fini par s'ouvrir mais l'anti virus me dit de le refuser donc gmer=0
0
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
non il faut pas le refuser, sinon désactive ton antivirus le temps du scan?
0
Réponse 17 / 30
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
ça à marché pour boonty game, tu vas me faire ceci à la place de gemer pour demain et ne fais surtout rien sans que je te le dise.

Télécharge GenProc sur ton bureau

Double-clique sur GenProc.exe

et poste le contenu du rapport qui s'ouvre à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.

Si pas de rapport .txt, regarder sur le bureau, il doit y avoir une icône Genproc qui renvoie sur internet avec la procédure.

Voir comment utiliser GenProc

Pour ceux qui ont Vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

IMPORTANT : Poste la procédure Genproc et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )

0
Réponse 18 / 30
sev
 
merci pimprenelle à demain
le gmer tourne
0
Réponse 19 / 30
sev
 
le gmer n' a rien trouvé
je ferais la nouvelle demarche demain et je t'envoie le rapport
merci bcp
bonne nuit
0
Réponse 20 / 30
sev
 
rapport genproc:
<head>
<link rel="stylesheet" media="screen" type="text/css" title="design" href="GenProcPage/design.css" />
<title>Rapport GenProc [1]</title>
</head>
<body>
<center><img src="GenProcPage/2.gif" /> </center><br /><br />
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".<br />Par la suite, laisse-le avec ses réglages par défaut. C'est tout. <br /><br /><div class="decalage"><img src="GenProcPage/4.gif" /><em class="etapes">Etape 1</em>/ Télécharge :</div><br />
<div class="decalage1"><img src="GenProcPage/1.gif" /><a href="http://merijn.geekstogo.com/files/bfu.zip"><em>Brute Force Uninstaller</em></a> (Merijn) et décompresse-le sur ton bureau.<br /></div> <div class="decalage1">Fais un clic droit de souris sur ce lien : <a href="http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu">http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu</a><br />et choisis "Enregistrer la cible (du lien) sous" afin de télécharger le script WinSoftware.bfu,<br />que tu placeras à côté de l'icône en forme de boule noire dentée bfu.exe.<br /><br /></div><br /><div class="decalage2"><img src="GenProcPage/important.gif" alt="important" title="important" /><strong> Redémarre en mode sans échec comme indiqué</strong><a href= "https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/" target="_blank"><em> ICI </em></a> ; Choisis ta session courante *** <em class="mse">test</em> *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).</div><br /><br /><br /><div class="decalage"><img src="GenProcPage/4.gif" /><em class="etapes">Etape 2</em>/ </div><br />
<div class="decalage1"><img src="GenProcPage/1.gif" /> Double-clique sur le fichier BFU.exe en forme de boule noire dentée, sur ton bureau. Clique sur le petit dossier jaune,<br />à la droite de la boîte "Scriptfile to execute", et double-clique sur le fichier Winsoftware.bfu qui devrait apparaître.<br />- Dans la boîte "Script to execute", tu devrais maintenant voir le chemin complet du fichier Winsoftware.bfu. <br />- clique sur "Execute" et laisse-le faire son travail. La réussite de l'opération sera obligatoirement sanctionnée<br />par un message final "Complete script execution", si ce n'est pas le cas, il faudra le signaler.<br />- Clique sur OK, puis exit pour fermer le programme BFU.<br />- Recommence encore une fois.<br /><br /></div><div class="decalage"><img src="GenProcPage/4.gif" /><em class="etapes">Etape 3</em>/ </div><br />
<div class="decalage1"><img src="GenProcPage/1.gif" /> Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.</div><br /><br /><div class="decalage"><img src="GenProcPage/4.gif " /><em class="etapes">Etape 4</em>/ </div><br />
<div class="decalage1"><img src="GenProcPage/1.gif" /> Redémarre normalement et poste, dans la même réponse : <br /></div>
<div class="decalage1">- Un nouveau rapport <a href= "http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm"target="_blank"><em>HijackThis</em></a> ;</div>
<div class="decalage1">- Un nouveau rapport <em>GenProc</em> ;</div>
<br /><div class="decalage1"> Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.</div><br />
<center>----------------------------------------------------------------------</center>
<center><a href= "file:///C:\GenProc\Arguments/Uninstall.html"target="_blank"><em class ="site">Liste Ajout-Suppression de programmes</a></em> - <a href= "file:///C:\GenProc\Arguments/Argument.html" target="_blank"><em class ="site">Arguments de la procédure</a></em></center><br />
<center>Sites officiels GenProc : <a href= "http://www.alt-shift-return.org/Info/GenProc-HowTo.html"target="_blank"><em class ="site">alt-shift-return.org</em></a> et <a href= "http://ww11.genproc.com/" target="_blank"<em class ="site">GenProc.com</em></a></center></body>
merci
0

Discussions similaires

Rootkit sur pc windows 10
mic42 -
bazfile -

1 réponse
Rootkit : chacun son tour !!! HELP ! Help !
Reciff -
verni29 -

23 réponses
WIN32 KAMSO PUIS DETECTION D'UN ROOTKIT
BACARA -
BACARA -

61 réponses