Pc infecté ?

Résolu/Fermé
FRED -  
 FRED -
Bonjour,
voila zhp me trouve 2 lignes en rouge apres analyse d un rapports rsit RSHD c:\comment.htt et RASHOT c:\WINDOWS\winstart.bat ; y a une ligne variable RSHD c:\autorun.inf . hors impossible de retrouver ces lignes sur le pc ; merci de votre aide
Configuration: Windows XP
Opera 9.80

4 réponses

  1. Utilisateur anonyme
     
    Vous avez esseyer de remonter jusqu'a la sources ,?
    0
  2. Utilisateur anonyme
     
    bonjour
    serai-t-il possible de voir les rapport ?
    0
    1. FRED
       
      Logfile of random's system information tool 1.06 (written by random/random)
      Run by Administrateur at 2009-11-14 19:05:28
      Microsoft Windows XP Professionnel Service Pack 3
      System drive C: has 104 GB (72%) free of 146 GB
      Total RAM: 3006 MB (80% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 19:05:46, on 14/11/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v8.00 (8.00.6001.18702)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\svchost.exe
      c:\Program Files\Microsoft Security Essentials\MsMpEng.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\arservice.exe
      C:\WINDOWS\eHome\ehRecvr.exe
      C:\WINDOWS\eHome\ehSched.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxduserv.exe
      C:\WINDOWS\system32\lxducoms.exe
      C:\Program Files\PC Tools Firewall Plus\FWService.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\dllhost.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\notepad.exe
      C:\Program Files\Opera\opera.exe
      C:\Documents and Settings\Administrateur\Bureau\reparation et desinfection\ANALYSEUR DE RAPPORTS\RSIT.exe
      C:\Program Files\Trend Micro\Administrateur.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
      O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
      O4 - HKLM\..\Run: [lxdumon.exe] "C:\Program Files\Lexmark 5600-6600 Series\lxdumon.exe"
      O4 - HKLM\..\Run: [lxduamon] "C:\Program Files\Lexmark 5600-6600 Series\lxduamon.exe"
      O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
      O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
      O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
      O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
      O4 - Startup: Anti-Autorun-inf.lnk = C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\system32\shdocvw.dll
      O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\system32\shdocvw.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
      O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
      O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
      O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (qsax Control) - https://www.bitdefender.com/toolbox/
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab
      O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: lxduCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxduserv.exe
      O23 - Service: lxdu_device - - C:\WINDOWS\system32\lxducoms.exe
      O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
      0
      1. FRED > FRED
         
        Zeb Help Process 2 by Nicolas Coolman - Rapport de synthèse du 14/11/2009 19:56:12

        INFORMATION


        INFECTION IDENTIFIEE
        Liste disponible seulement en version Helper


        PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...)
        2009-11-07 11:52:55 ----RASHOT---- C:\WINDOWS\winstart.bat

        PROCESSUS SUPERFLU DU SYSTEME
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

        PROCESSUS D'ACTION INCONNUE
        C:\Program Files\Trend Micro\Administrateur.exe
        2009-11-14 14:04:17 ----D---- C:\Program Files\Prg Chris

        PROCESSUS INUTILE (Au démarrage du système)
        O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
        "TkBellExe"=C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe [2009-09-13 198160]

        PROTECTION DU SYSTEME (Antivirus, FireWall, Anti-Malwares)
        Microsoft Security Essentials
        PC Tools®Firewall Plus
        Microsoft®Security Essentials
        Microsoft Windows Defender
        ESET Online Scanner
        2009-10-20 22:13:01 ----D---- C:\Documents and Settings\All Users\Application Data\F-Secure
        PC Tools Firewall Plus

        RAPPORT SIMPLIFIE
        C:\Program Files\Trend Micro\Administrateur.exe
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
        O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
        O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
        O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (qsax Control) - https://www.bitdefender.com/toolbox/
        "TkBellExe"=C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe [2009-09-13 198160]
        [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
        [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MsMpSvc]
        2009-11-14 18:57:57 ----RASHD---- C:\autorun.inf
        2009-11-14 14:04:17 ----D---- C:\Program Files\Prg Chris
        2009-11-13 21:35:05 ----A---- C:\WINDOWS\ua2.dll
        2009-11-13 14:45:21 ----D---- C:\Documents and Settings\Administrateur\Application Data\QuickScan
        2009-11-09 22:34:12 ----D---- C:\logs
        2009-11-07 11:54:50 ----RSHD---- C:\desktop.ini
        2009-11-07 11:52:55 ----RASHOT---- C:\WINDOWS\winstart.bat
        2009-11-03 00:14:37 ----D---- C:\180a6d64a3448d3599
        2009-11-01 00:42:45 ----D---- C:\18b83efb135fcc217a
        2009-10-31 08:23:54 ----D---- C:\4f4b318f1a1c60ba2e12c6f08da680db
        2009-10-28 08:58:27 ----D---- C:\6b56ca73fa3b85d5797a12f5
        2009-10-25 15:35:27 ----RA---- C:\WINDOWS\system32\psProxy.dll
        2009-10-25 15:35:27 ----RA---- C:\WINDOWS\system32\pSOAP32.dll
        2009-10-25 15:35:27 ----RA---- C:\WINDOWS\system32\psDime.dll
        2009-10-25 15:35:27 ----RA---- C:\WINDOWS\system32\pocketHTTP.dll
        2009-10-25 15:35:27 ----A---- C:\WINDOWS\system32\EncryptedFolder.dll
        2009-10-25 00:14:52 ----D---- C:\Program Files\NT Registry Optimizer
        2009-10-18 12:43:05 ----A---- C:\WINDOWS\zip.exe
        2009-10-18 01:38:35 ----A---- C:\WINDOWS\system32\sqlite3_engine.dll
        2009-11-08 16:31:28 ----D---- C:\Program Files\SkanerOnline
        2009-11-08 16:31:28 ----D---- C:\Program Files\Casc'ADSL
        2009-11-08 16:31:28 ----D---- C:\_Backup
        2009-11-08 01:10:55 ----D---- C:\Program Files\Regcorrector
        2009-11-01 11:50:05 ----D---- C:\Photos
        2009-11-01 03:27:15 ----A---- C:\index.ini
        2009-10-25 01:37:33 ----D---- C:\Program Files\SpeedItUpFree
        R1 is-0LNLLdrv;is-0LNLLdrv; C:\WINDOWS\system32\DRIVERS\18660177.sys [2008-07-08 148496]
        R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader; C:\WINDOWS\System32\Drivers\RtsUStor.sys [2009-04-10 165888]
        S3 esihdrv;esihdrv; \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\esihdrv.sys []
        S3 RtsUIR;Realtek IR Driver; C:\WINDOWS\system32\DRIVERS\Rts516xIR.sys []
        S3 SBRE;SBRE; C:\WINDOWS\system32\drivers\SBRE.sys []
        S3 USBCCID;Realtek Smartcard Reader Driver; C:\WINDOWS\system32\DRIVERS\RtsUCcid.sys []
        S3 uti1nte2;AVZ Kernel Driver; \??\C:\WINDOWS\system32\Drivers\uti1nte2.sys []
        S3 nngvgitbqjvc;nngvgitbqjvc; C:\WINDOWS\system32\drivers\nngvgitbqjvc.sys [2009-11-07 8576]
        S3 omkghskuxgne;omkghskuxgne; C:\WINDOWS\system32\drivers\omkghskuxgne.sys [2009-11-07 8576]
        S3 ptaxcemeoxjr;ptaxcemeoxjr; C:\WINDOWS\system32\drivers\ptaxcemeoxjr.sys [2009-10-29 8576]
        S3 qtahsulunnnn;qtahsulunnnn; C:\WINDOWS\system32\drivers\qtahsulunnnn.sys [2009-10-29 8576]
        0
  3. Utilisateur anonyme
     
    C:\WINDOWS\winstart.bat

    Tu dois afficher les fichiers et dossiers cachés
    Démarrer, Poste de travail
    Clique sur outils
    Sélectionne options de dossier
    Va dans l'onglet affichage
    Coche afficher les fichiers et dossiers cachés, puis OK

    essaye de supprimer ce fichier, et vide la corbeille
    0
    1. FRED
       
      le probleme c est que je trouve pas ce fichier dans c
      0
    2. Utilisateur anonyme > FRED
       
      il faut ouvrir le dossier Windows
      0
    3. FRED > Utilisateur anonyme
       
      meme dans windows ; j ai aussi c:\autorun.inf c pas un cheval de trois ou un ver ? JE VIENS DE LANCER FINDYKILL
      0
    4. FRED > Utilisateur anonyme
       
      ############################## | FindyKill V5.017 |

      # User : Administrateur (Administrateurs) # NOM-FB9B15D2723
      # Update on 01/11/2009 by Chiquitine29
      # Start at: 00:05:43 | 15/11/2009
      # Website : http://pagesperso-orange.fr/NosTools/index.html
      # Contact : FindyKill.Contact@gmail.com

      # AMD Athlon(tm) 64 Processor 3500+
      # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      # Internet Explorer 8.0.6001.18702
      # Windows Firewall Status : Disabled
      # AV : AVG 0.0 [ (!) Disabled | (!) Outdated ]
      # AV : Microsoft Security Essentials 2.0.6212.0 [ Enabled | Updated ]
      # FW : PC Tools Firewall Plus[ Enabled ]6.0.0

      # C:\ # Disque fixe local # 142,38 Go (101,77 Go free) [PRESARIO] # NTFS
      # D:\ # Disque fixe local # 6,66 Go (1,25 Go free) [PRESARIO_RP] # FAT32
      # E:\ # Disque CD-ROM
      # F:\ # Disque amovible

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      c:\Program Files\Microsoft Security Essentials\MsMpEng.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\arservice.exe
      C:\WINDOWS\eHome\ehRecvr.exe
      C:\WINDOWS\eHome\ehSched.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxduserv.exe
      C:\WINDOWS\system32\lxducoms.exe
      C:\Program Files\PC Tools Firewall Plus\FWService.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\ehome\mcrdsvc.exe
      C:\WINDOWS\system32\dllhost.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Microsoft Security Essentials\msseces.exe
      C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
      C:\Program Files\Lexmark 5600-6600 Series\lxduMsdMon.exe
      C:\Program Files\Lexmark 5600-6600 Series\lxduMON.EXE
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## | C: |


      ################## | C:\WINDOWS |


      ################## | C:\WINDOWS\system32 |


      ################## | C:\WINDOWS\system32\drivers |


      ################## | C:\DOCUME~1\ADMINI~1\APPLIC~1 |

      ################## | Autres detections ... |

      ################## | Temporary Internet Files |


      ################## | Registre / Clés infectieuses |

      Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
      Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
      Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
      Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
      Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

      ################## | Etat / Services / Informations |

      # Affichage des fichiers cachés : OK

      # Mode sans echec : OK

      # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
      # EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
      # Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
      # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
      # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
      # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )


      ################## | Cracks / Keygens / Serials |


      ################## | ! Fin du rapport # FindyKill V5.017 ! |
      0
    5. Utilisateur anonyme > FRED
       
      bonjour
      qui est-ce qui t'a demandé de faire Findykill ?


      Déconnecte toi et ferme toutes application en cours, ainsi que le navigateur

      • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
      • Relance FindyKill présent sur le bureau, tape sur F pour le français, puis appuie sur la touche entrée
      • Sélectionne l'option 2 (suppression), puis appuie sur la touche entrée
      • Le pc va redémarrer automatiquement ...

      ▶Laisse l'outil travailler, et ne touche à rien,ton bureau ne sera pas accessible c'est normal !

      --> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

      Note:Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , aller dans Onglet "Processus",
      cliquer sur "fichier", sélectionner "nouvelle tâche", taper explorer.exe, puis valider


      Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html
      0
  4. Utilisateur anonyme
     
    Stop doublon, c'est vraiment pas correct de ta part
    0