Rkfree.exe dans Msconfig Résolu/Fermé

Question

Bonjour,
j'ai regardé aujourd'hui les programmes qui se lançaient au démarrage de mon ordinateur, d'habitude il n' y en a qu'un seul qui se lance, c'est mon anti-virus.
Mais cette fois-ci, il y en avait un autre cochait et que je connaissais pas et que je n'avais jamais vu, Rkfree.exe, le chemin d'accès étant le suivant : "C:\Documents and Settings\Pierre-Louis\Bureaukfree.exe"/b. Il est localisé donc localisé dans la session de mon petit frère. Par contre, aucune autre trace de rkfree n'est présente sur mon ordinateur. Mon frère ayant récemment installé casino.com, peut-il y avoir un rapport avec l'arrivée de rkfree? Est-ce un virus ou un trojan?
Merci pour pour vos réponses et votre aide précieuse.
Je vous poste le log Hijackthis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:46:30, on 26/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Documents and Settings\Yoann\Bureau\download\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-21-515967899-1450960922-839522115-1004\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\Teknum Systems\update.exe /startup (User 'Pierre-Louis')
O4 - HKUS\S-1-5-21-515967899-1450960922-839522115-1004\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" (User 'Pierre-Louis')
O4 - HKUS\S-1-5-21-515967899-1450960922-839522115-1005\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" (User 'Maman')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B1D21FC5-A742-4261-86F2-C7B7F1A31C5D} (JDEWebRTFEditU Control) - https://services.dlink.eu/jde/axctls/jdewebctlsU.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Update Service (gupdate1c9aae41a805d7a) (gupdate1c9aae41a805d7a) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

neo*** · Answer

Rkfree est un peu des 2, c'est un keylogger, un analyseur de frappe clavier qui envoie toutes les infos recoltées a celui qui l'a installé !! (mots de passe, bancaires, connexion ...)


Pour analyser ton pc : télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau. 

- Clic droit en tant qu'admin sur RSIT.exe afin de lancer le programme. 

- Clique sur Continue à l'écran Disclaimer. 

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches). 

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

zik57 · Answer

Merci beaucoup pour ton aide, j'ai fait ce que tu m'as demandé, je te poste les 2 fichiers texte :


Logfile of random's system information tool 1.06 (written by random/random)
Run by Yoann at 2009-09-26 17:24:13
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 96 GB (63%) free of 153 GB
Total RAM: 1022 MB (41% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:24:26, on 26/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Yoann\Bureau\download\RSIT.exe
C:\Documents and Settings\Yoann\Bureau\download\Yoann.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-21-515967899-1450960922-839522115-1004\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\Teknum Systems\update.exe /startup (User 'Pierre-Louis')
O4 - HKUS\S-1-5-21-515967899-1450960922-839522115-1004\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" (User 'Pierre-Louis')
O4 - HKUS\S-1-5-21-515967899-1450960922-839522115-1005\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" (User 'Maman')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B1D21FC5-A742-4261-86F2-C7B7F1A31C5D} (JDEWebRTFEditU Control) - https://services.dlink.eu/jde/axctls/jdewebctlsU.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Update Service (gupdate1c9aae41a805d7a) (gupdate1c9aae41a805d7a) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

neo*** · Answer

tu peux essayer de le supprimer manuellement :
il est la 

C:\Documents and Settings\Pierre-Louis\Bureau\rkfree.exe

et la

C:\Documents and Settings\All Users\Application Data\rkfree 

tu as aussi une autre infection de sources amovibles , pour la supprimer fais ceci :

Telecharge UsbFix (de C_XX & Chiquitine29) sur ton bureau

tutoriel recherche

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir

Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement

choisi l'option 2 ( Suppression )

Ton bureau disparaîtra et le pc redémarrera .

Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

 UsbFix te proposera d'uploader un dossier compressé à cette adresse : 
https://www.androidworld.fr/

Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

Merci d'avance pour ta contribution !!

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

zik57 · Answer

Voici le rapport de UsbFix :


############################## | UsbFix V6.036 |

User : Yoann (Administrateurs) # MICHEL-763810EC
Update on 21/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 11:06:13 | 27/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

              Intel(R) Pentium(R) D CPU 2.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1351 [VPS 090926-1] 4.8.1351 [ Enabled | Updated ]
FW : Sunbelt Personal Firewall[ Enabled ]4.6.1861 T

C:\ -> Disque fixe local # 149 Go (98,25 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM # 244,67 Mo (0 Mo free) [EPSON] # CDFS
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque fixe local # 298,01 Go (277,01 Go free) [My Passport] # FAT32
K:\ -> Disque amovible # 980,22 Mo (887,59 Mo free) [PIG] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE
C:\PROGRA~1\Microsoft ActiveSyncapimgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

E:\autorun.inf  
J:\autorun.inf  

################## | Registre # Clés Run infectieuses |

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoResolveSearch" 

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{07ef2043-bf00-11dd-a76c-806d6172696f}
Shell\AutoRun\command =E:\EPSETUP.EXE 

HKCU\..\..\Explorer\MountPoints2\{7396124a-3d4b-11de-a7e8-001676d76dfe}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Shell\Open(0)\command =J:\Recycled\ctfmon.exe 

HKCU\..\..\Explorer\MountPoints2\{78e52759-a514-11de-a829-001676d76dfe}
Shell\AutoRun\command =J:\WDSetup.exe 

HKCU\..\..\Explorer\MountPoints2\{86218b4a-1612-11de-a7ba-001676d76dfe}
Shell\Auto\command =RavMonE.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e

################## | ! Fin du rapport # UsbFix V6.036 ! |

zik57 · Answer

Apparemment d'après le log je suis infecté, donc je vais repasser un coup de UsbFix et faire suppression comme tu m'avais dit, auparavant je me suis trompé, j'avais fait recherche.

zik57 · Answer

J'ai fait la suppression,  voila le log.
Est-que mon Pc e mes sources amovibles sont clean maintenant.
Encore merci pour ton aide précieuse, c'est très gentil.



############################## | UsbFix V6.036 |

User : Yoann (Administrateurs) # MICHEL-763810EC
Update on 21/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 14:16:30 | 27/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

              Intel(R) Pentium(R) D CPU 2.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1351 [VPS 090926-1] 4.8.1351 [ Enabled | Updated ]
FW : Sunbelt Personal Firewall[ Enabled ]4.6.1861 T

C:\ -> Disque fixe local # 149 Go (98,28 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM # 244,67 Mo (0 Mo free) [EPSON] # CDFS
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque fixe local # 298,01 Go (277,01 Go free) [My Passport] # FAT32
K:\ -> Disque amovible # 980,22 Mo (887,59 Mo free) [PIG] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\eHome\ehRec.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe

################## | Fichiers # Dossiers infectieux |

Non supprimé ! E:\autorun.inf 
Supprimé ! J:\autorun.inf 

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe]  

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{7396124a-3d4b-11de-a7e8-001676d76dfe}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{86218b4a-1612-11de-a7ba-001676d76dfe}\Shell\Auto\Command  

################## | Listing des fichiers présent |

[30/11/2008 18:06|--a------|0] C:\AUTOEXEC.BAT 
[26/09/2009 19:20|---hs----|209] C:\boot.ini 
[10/08/2004 14:00|-rahs----|4952] C:\Bootfont.bin 
[30/11/2008 18:06|--a------|0] C:\CONFIG.SYS 
[30/11/2008 18:06|-rahs----|0] C:\IO.SYS 
[30/11/2008 18:06|-rahs----|0] C:\MSDOS.SYS 
[10/08/2004 14:00|-rahs----|47564] C:\NTDETECT.COM 
[30/11/2008 21:10|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[01/12/2008 14:28|--ah-----|268] C:\sqmdata00.sqm 
[01/12/2008 15:36|--ah-----|268] C:\sqmdata01.sqm 
[01/12/2008 17:55|--ah-----|268] C:\sqmdata02.sqm 
[17/12/2008 22:00|--ah-----|268] C:\sqmdata03.sqm 
[13/02/2009 14:07|--ah-----|268] C:\sqmdata04.sqm 
[01/03/2009 23:16|--ah-----|268] C:\sqmdata05.sqm 
[04/06/2009 19:13|--ah-----|268] C:\sqmdata06.sqm 
[21/07/2009 11:27|--ah-----|268] C:\sqmdata07.sqm 
[26/09/2009 19:20|--ah-----|268] C:\sqmdata08.sqm 
[01/12/2008 14:28|--ah-----|244] C:\sqmnoopt00.sqm 
[01/12/2008 15:36|--ah-----|244] C:\sqmnoopt01.sqm 
[01/12/2008 17:55|--ah-----|244] C:\sqmnoopt02.sqm 
[17/12/2008 22:00|--ah-----|244] C:\sqmnoopt03.sqm 
[13/02/2009 14:07|--ah-----|244] C:\sqmnoopt04.sqm 
[01/03/2009 23:16|--ah-----|244] C:\sqmnoopt05.sqm 
[04/06/2009 19:13|--ah-----|244] C:\sqmnoopt06.sqm 
[21/07/2009 11:27|--ah-----|244] C:\sqmnoopt07.sqm 
[26/09/2009 19:20|--ah-----|244] C:\sqmnoopt08.sqm 
[27/09/2009 14:23|--a------|4310] C:\UsbFix.txt 
[19/04/2007 21:37|-r-------|29] E:\AUTORUN.INF 
[05/06/2008 09:00|-r-------|59296] E:\EPSetup.exe 
[27/12/2008 09:03|-r-------|616360] E:\InstallNavi.exe 
[24/09/2005 11:28|-r-------|1638400] E:\gdiplus.dll 
[24/04/2004 12:38|--a------|37888] J:\JSTART.exe 
[18/07/2008 11:23|--a------|319488] J:\Setup.exe 
[16/07/2008 09:14|--a------|42760] J:\WDInstaller.xml 
[08/07/2008 11:53|--a------|1760039] J:\WDSetup.exe 
[08/02/2008 13:44|--a------|4574208] J:\WDSync.exe 
[20/08/2009 16:05|--a------|78848] K:\Dossier entretien.doc 
[09/09/2009 16:41|--a------|34027488] K:\avira_antivir_personal_fr.exe 
[09/09/2009 16:55|--a------|28995] K:	utorial_antivir.php.htm 

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.  
# J:\autorun.inf -> Folder created by UsbFix.  
# K:\autorun.inf -> Folder created by UsbFix.  

################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\Yoann\Bureau\UsbFix_Upload_Me_MICHEL-763810EC.zip : https://www.androidworld.fr/ 
Merci pour votre contribution .

zik57 · Answer

J'ai refait une recherche et j'ai maintenant les disques C:\ J:\ et K:\ d'infectés.
J'ai fait refaire une suppression.



############################## | UsbFix V6.036 |

User : Yoann (Administrateurs) # MICHEL-763810EC
Update on 21/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 17:01:56 | 27/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

              Intel(R) Pentium(R) D CPU 2.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1351 [VPS 090926-1] 4.8.1351 [ Enabled | Updated ]
FW : Sunbelt Personal Firewall[ Enabled ]4.6.1861 T

C:\ -> Disque fixe local # 149 Go (98,29 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque fixe local # 298,01 Go (277,01 Go free) [My Passport] # FAT32
K:\ -> Disque amovible # 980,22 Mo (887,58 Mo free) [PIG] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\autorun.inf  
J:\autorun.inf  
K:\autorun.inf  

################## | Registre # Clés Run infectieuses |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoResolveSearch" 

################## | Registre # Mountpoints2 |


################## | ! Fin du rapport # UsbFix V6.036 ! |

zik57 · Answer

S'agirait-il d'un faux positif car chaque que je fait une recherche après avoir fait une suppression, il me trouve trois lecteurs infectés, dont mon disque dur C:/ et cela apres 3 ou 4 essais.

neo*** · Answer

slt 

je vais essayer de voir avec l'auteur, c'est peut-être le répertoire vaccin qui est détecté par erreur ?
je te tiens au courant :)

zik57 · Answer

D'accord je te remercie, je penche aussi pour ta solution à priori.

zik57 · Answer

D'accord je te remercie.
Je penche aussi pour ta solution à priori.

neo*** · Answer

re

l'auteur n'est pas ds le coin pour le moment, je te tiens au courant pour les nouvelles :)

tu ne m'as pas parlé du plus important , as tu viré ton rkfree ?

zik57 · Answer

Oui, j'ai viré rkfree, pas de soucis. Mais en questionnant mon petit frère, j'ai appris que c'est lui l'avait qui l'avait installé sur l'ordiateur. Quand je lui ai demandé pourquoi, il m'a répondu, "je voulais voir comment  marchait ce logiciel".
Bon, je suis rassuré quand même, ce n'est pas quelqu'un que je connais pas qui l'a installé à mon insu pour me soutirer des informations privées.

neo*** · Answer

en attendant fais ca stp :

Imprime ces instructions ou sauvegarde les sur ton Bureau car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

Télécharge Malwarebytes’ Anti-Malware 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX)

 

- Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware 
- Enregistres le sur le bureau 
- Double cliques sur le fichier téléchargé pour lancer le processus d’installation 
- Mets le a jour /!\  
-  Double-cliques sur l’icône de malwarebytes pour le relancer 
- Dans l’onglet, Recherche, probablement ouvert par défaut, 
- Sélectionne Exécuter un examen complet et Rechercher 
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés. 
- Cliques sur Ok pour poursuivre. 
- Si des malwares ont été détectés, cliques sur Afficher les résultats 
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
- Colle le rapport ici, il se trouve dans l’onglet rapport/log

Si tu as besoin d’aide regarde ce tutorial 

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
ps: s'il te demande de redemarrer : fais le !

zik57 · Answer

Salut, voilà le rapport : 


Malwarebytes' Anti-Malware 1.41
Database version: 2866
Windows 5.1.2600 Service Pack 3

28/09/2009 18:12:14
mbam-log-2009-09-28 (18-12-10).txt

Scan type: Full Scan (C:\|)
Objects scanned: 215223
Time elapsed: 1 hour(s), 1 minute(s), 3 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 4

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Casino\Casino.com\_SetupCasino_932e99[1].exe (Adware.Casino) -> No action taken.
C:\Documents and Settings\Pierre-Louis\Local Settings\Temporary Internet Files\Content.IE5\64IWR18N\SetupCasino_932e99[1].exe (Adware.Casino) -> No action taken.
C:\System Volume Information\_restore{8E820331-C75C-4417-87AE-41E537AAB450}\RP287\A0026815.exe (Keylogger.Logixoft) -> No action taken.
C:\System Volume Information\_restore{8E820331-C75C-4417-87AE-41E537AAB450}\RP287\A0026816.exe (Keylogger.Logixoft) -> No action taken.

neo*** · Answer

no action taken !!

tu as oublié de faire ca :
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

relance juste un scan rapide et n'oublie pas de supprimer la selection et ensuite de vider la quarantaine ;)

je te tiens au courant pour le reste ;)

zik57 · Answer

Très bien, je fais ça de suite.
Merci.

zik57 · Answer

C'est bon j'ai supprimé la sélection et vidé la quarantaine. J'ai repassé un scan rapide et cette fois il n'a trouvé aucun éléments nuisibles.

zik57 · Answer

Bonjour, as-tu eu des nouvelles pour notre historie de faux-positif?
Merci.

neo*** · Answer

slt et dsl pour le delai, 

si t'es toujours ds le coin, on peut finir si tu veux :))

pour ta question, c'etait bien un FP et corrigé depuis d'ailleurs ;)

Rkfree.exe dans Msconfig

20 réponses

Discussions similaires