Je crois avoir chopé un rootkit ! HELP SVP !

Fermé

Emmanuel34 - 20 sept. 2009 à 12:03
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 - 23 sept. 2009 à 19:50

Bonjour, je crois que j'ai chopé un virus/rootkit mais je sais pas trop comment et je sais pas trop comment l'enlever j'ai comme antivirus Avira Antivir Prenium Security Suite, j'ai fais plusieurs scans de mon PC et il n'a rien trouvé...
Je ne sais pas comment faire voilà ce qui me fait penser que je suis infecté : Ouverture imtempestives de Internet Explorer avec une page de pub, et aussi quand je clique sur les liens quand je fais une recherche sur google (avec Opera et Mozilla Firefox dernières versions je les ai réinstallés mais ca n'a rien changé...) ca me redirige souvent vers une page que je n'ai pas demandée au lieu de la page du lien (par exemple je tape "bonjour" sur google je clique sur le premier resultat et je suis redirigé ici : "http://www.find-a-bargain.biz/index.php?search=bonjour&x=0&y=0&_u8iopRT2Vb=<la j'ai pas tout mis y'a trop de trucs>")
Donc j'en ai marre j'aimerai pouvoir désinfecter mon PC et j'ai besoin de votre aide !
Voici un rapport Hijackthis :

<rapport>

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:58:10, on 20/09/2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Acer Bio Protection\PdtWzd.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
C:\Program Files\Acer Bio Protection\PwdBank.exe
C:\Program Files\Vidalia Bundle\Tor\tor.exe
C:\Windows\system32\conhost.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Opera\opera.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Adobe\Adobe Dreamweaver CS4\Dreamweaver.exe
C:\Program Files\Audacity\audacity.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Benji\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\Windows\system32\msxml71.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [VitaKeyPdtWzd] "C:\Program Files\Acer Bio Protection\PdtWzd.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Vidalia] "C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Global Startup: Privoxy.lnk = C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Quick-Launch Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\Acer Bio Protection\PwdBank.exe
O9 - Extra 'Tools' menuitem: Quick-Launch Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\Acer Bio Protection\PwdBank.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\Windows\System32\d3dx10_3532.dll
O23 - Service: Avira Pare-feu (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service Google Update (gupdate1ca1cb6c3295e85) (gupdate1ca1cb6c3295e85) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: EgisTec Service (IGBASVC) - Egis Technology Inc. - C:\Program Files\Acer Bio Protection\BASVC.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

A voir également:

Je crois avoir chopé un rootkit ! HELP SVP !
Comment faire un tableau croisé dynamique - Guide
Photo chope gratuit - Télécharger - Montage photo
Anti rootkit - Télécharger - Antivirus & Antimalwares
Rootkit hunter - Télécharger - Antivirus & Antimalwares
Grand frère je crois que c'est rentré ✓ - Forum Cinéma / Télé

31 réponses

Réponse 21 / 31

Emmanuel34
22 sept. 2009 à 18:12

Alors ?

Réponse 22 / 31

neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
22 sept. 2009 à 18:14

alors ??? je t'ai donné la procedure post 21: toolbarsd

Réponse 23 / 31

Emmanuel34
22 sept. 2009 à 18:52

Alors c'est bon ou pas ?

Réponse 24 / 31

Emmanuel34
22 sept. 2009 à 18:54

Excuse moi xD j'ai pas vu qu'il y avait maintenant une deuxième page ...
Jsuis trop fort xD

Merci je fais ca tout de suite !

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 31

Emmanuel34
22 sept. 2009 à 18:56

Alors j'ai fait comme t'as dit mais le programme se ferme dès que je rentre 2 et que je fais "Entrée"...
Merci !

Réponse 26 / 31

neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
22 sept. 2009 à 20:09

/!\ Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur vous l'a recommandé. /!\

Ce logiciel est très puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans la fenêtre qui s'ouvre et valide.

Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus...
(qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )

Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

postes le rapport stp

(ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)

Réponse 27 / 31

Emmanuel34
23 sept. 2009 à 13:27

Ok je fais faire ca dès que j'aurais fini ce que je suis en train de faire...

Merci !

Réponse 28 / 31

Emmanuel34
23 sept. 2009 à 14:29

Alors j'ai fermé tous les programmes y compris l'antivirus, j'ai placé le fichier C-Fix sur le bureau, j'ai fait clic-droit "Executer en tant qu'administrateur", tout à coup une barre de progression verte apparait dans une fenêtre "Combo-fix" j'attend qu'elle se termine puis une fois terminée un fichier s'ouvre sous Notepad++ (mon logiciel d'édition de fichier style bloc-note je pense que vous connaissez) le fichier qui s'ouvre est "NirCmd.cfxxe" il se situe dans "C:/32788R22FWJFW/" et il est composé d'énormement de signes bizarres et étranges que je ne saurais lire...
Le dossier "C:/32788R22FWJFW/" a plein de fichiers dedans Oo...
Donc je fais quoi moi ?

Merci !

Réponse 29 / 31

neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
23 sept. 2009 à 14:44

laisse tomber combofix, desinstalles

par contre pourquoi n'as tu pas fais ca au dessus ?

https://forums.commentcamarche.net/forum/affich-14451224-je-crois-avoir-chope-un-rootkit-help-svp?page=2#21

Réponse 30 / 31

Emmanuel34
23 sept. 2009 à 14:54

Ca ne marchais pas et je l'ai dit dans le post n°26...

Merci !

Réponse 31 / 31

neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
23 sept. 2009 à 19:50

m'en rappelais plus :)

Fais un scan en ligne avec Kaspersky (avec Internet Explorer)

CLIQUE ICI

- En bas à droite, clique sur Démarrer Online-scaner

- Dans la nouvelle fenêtre qui s’affiche, clique sur J’accepte

- Accepte les Contrôles ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport

- Pour t’aider à utiliser le scan en ligne, tu as un tuto ici

Note :
Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport

EMISSION LE GRAND FRERE

Scan trop grand !

impossible d'afficher le tableau dynamique sur un rapport existant

RechercheV à partir d'un TCD