WIN32 ROOTKIT-GEN RTK détecté par AVAST

Question

Bonjour à tous,
Je vous expose mon problème. Aujourd'hui, lors du démarrage de mon ordinateur, j'ai eu un message d'alerte de mon antivirus AVAST qui s'est affiché. Celui ci a détecté la menace suivante : WIN32 ROOTKIT-GEN RTK dans les fichiers se trouvant dans les dossiers suivants : - à 55 reprises dans c:\WINDOWS\SYSTEM32\DRIVERS
                                                                         - à 2 reprises dans c:\WINDOWS\LASTGOOD\SYSTEM32\DRIVERS
                                                                         - à 1 reprise dans c:\WINDOWS\TEMP
J'ai a chaque fois mis, le fichier correspondant, en quarantaine.
Après çà je suis allé voir sur le net si certaines personnes avaient été confrontées à cette menace et me suis rendu compte qu'en 2008 certains utilisateurs d'AVAST avaient eu ce problème. A l'époque, il s'agissait d'un "faux positif" que l'antivirus détectait. Mais par contre çà ne touchait pas autant de fichiers.
Donc j'ai téléchargé MALWAREBYTES et fait un scan complet du disque dur. Résultat après 1h de scan : 7 infections ont été trouvées mais ne sont pas du tout situées à l'endroit où se trouvent celles détectées par AVAST.
Que dois je faire concernant ces nouvelles infections ? Les supprimer ? 
Qu'advient il des menaces détectées par AVAST ? Dois je supprimer les fichiers mis en zone de quarantaine dans AVAST même si çà touche des dossiers de SYSTEM 32 ?
Je nage dans le brouillard le plus complet.
Merci par avance pour votre aide.

dédétraqué · Answer

Salut tititatou64


Poste le rapport de MalwareByte's, il peut être retrouvé sous l'onglet Rapports/logs du logiciel.


Télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l’analyse

Les rapports sont dans le dossier ici C:\rsit


@++ :)

tititatou64 · Answer

Merci déjà Dédétraqué de te pencher sur mon cas. 
Voici tout d'abord le rapport de MalwareByte's, je fais le reste dans la foulée :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3526
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09/01/2010 15:26:34
mbam-log-2010-01-09 (15-26-34).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 178696
Temps écoulé: 1 hour(s), 2 minute(s), 5 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
C:\WINDOWS\Temp\~TMD.tmp (Trojan.Dropper) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysgif32 (Trojan.Dropper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\Temp\~TMD.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\e02c9e0f.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\siszyd32.exe (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\Propriétaire\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.

tititatou64 · Answer

Et voici pour les fichiers log et info

Logfile of random's system information tool 1.06 (written by random/random)
Run by Propriétaire at 2010-01-09 15:30:41
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 89 GB (58%) free of 153 GB
Total RAM: 1023 MB (33% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:30:45, on 09/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\6W1AG47S\RSIT[1].exe
C:\Program Files	rend micro\Propriétaire.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: siszyd32.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

dédétraqué · Answer

Salut tititatou64


Télécharge OTM (de Old_Timer) sur le bureau :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double-clique sur OTM.exe sur le bureau

- Copie le texte qui se trouve en gras ci-dessous et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved

 :files 
C:\WINDOWS\system32\fjhdyfhsn.bat
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\siszyd32.exe

:commands 
[purity] 
[emptytemp] 
[reboot]

- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTM

Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.


@++   :)

tititatou64 · Answer

Re ! Et désolé pour l'attente mais mon ordi plante à présent au redémarrage en se "gelant" une fois sur le bureau. Du coup je me connecte via le mode sans échec. Et je crois que j'ai été plus mettre des complications que les solutionner.
Surtout que maintenant je ne sais pas ce qui me provoque ce plantage.
Je te mets quand même le rapport du dernier logiciel que tu m'as  fait télécharger.
All processes killed
========== FILES ==========
File/Folder C:\WINDOWS\system32\fjhdyfhsn.bat not found.
File move failed. C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\siszyd32.exe scheduled to be moved on reboot.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
User: Propriétaire
->Temp folder emptied: 165670 bytes
->Temporary Internet Files folder emptied: 538343528 bytes
->Java cache emptied: 37790638 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 17714526 bytes
%systemroot%\System32 .tmp files removed: 3614208 bytes
Windows Temp folder emptied: 32768 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23970612 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 593,00 mb
 
 
OTM by OldTimer - Version 3.1.4.0 log created on 01092010_160937

Files moved on Reboot...
File C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\siszyd32.exe not found!

Registry entries deleted on Reboot...

dédétraqué · Answer

Salut tititatou64


On dirais bien qu'il est parti, mettre MalwareByte's Anti-Malware à jour

---

- Redémarre en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur

---

- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur  sur OK

- Si MalwareByte's n'a rien détecté, clique sur OK  Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats  ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's  a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

Tutoriel pour MalwareByte's ici : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


@++   :)

tititatou64 · Answer

Re Dédétraqué !
Si tu le dis, je vais te croire !
Juste une question, il faut que je refasse encore un scan complet avec MalwyreByte's bien que j'en avais fait un initialement ? Pour la M.A.J, il l'est déjà vu que lors du téléchargement du début d'aprem, il s'était mis à jour.

dédétraqué · Answer

Salut tititatou64


Oui faire le scan pour confirmation


@++   :)

tititatou64 · Answer

Ok Dédétraqué ! Je m'y attelle de suite... Et verdict dans 1 h environ. 
@ tout

tititatou64 · Answer

Salut Dédétraqué !
Voici le rapport de Malwarebyte's.
Apparemment il n'y a plus rien ! Mais à présent, il faut que je m'occupe du problème du blocage de l'ordi en mode normal. A mon avis çà vient d'Avast et de son scan résident qui me bloque tout. Je vais essayer de voir de le désinstaller.
Sinon, par curiosité, le virus que m'avait détecté AVAST était bien le même qui a été éradiqué ? Ou Malwarebyte's a trouvé une infection qui était passée inaperçu par AVAST?
Et pour ma culture informatique, à quoi servaient les logiciels que tu m'as fait téléchargés ?
Je tiens enfin à te remercier infiniment pour le temps que tu as accordé à "mon cas".


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3527
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

09/01/2010 17:30:43
mbam-log-2010-01-09 (17-30-43).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 165917
Temps écoulé: 20 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

dédétraqué · Answer

Salut tititatou64


Cela n'est pas fini encore, je vais te faire passer un autre scan :

Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php

Note : l'application portera un nom aléatoire. Indique-le moi dans ton prochain message.

- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.

- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.

- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.


@++  :)

tititatou64 · Answer

Re re re Dédétraqué !
Ok je vais lancer cet autre outil.. Une remarque : je ne peux maintenant faire fonctionner Windows qu'en mode sans échec. A chaque fois que je démarre en mode normal celui ci se fige quelque seconde après avoir affiché le bureau et ceci quelque soit le programme que je lance (IE ou même si je lance le poste de travail).
A tout

tititatou64 · Answer

Bonsoir Dédétraqué !

Une remarque : je ne peux maintenant faire fonctionner Windows qu'en mode sans échec. A chaque fois que je démarre en mode normal celui ci se fige quelque seconde après avoir affiché le bureau et ceci quelque soit le programme que je lance (IE ou même si je lance le poste de travail). 

Pour ce qui est de la dernière manip, voici le compte rendu

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-09 20:45:16
Windows 5.1.2600 Service Pack 3
Running: bf0e5jps.exe; Driver: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\uwldqpob.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                            aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                           aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                           aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                         aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b  0xC8 0x28 0x51 0xAF ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b  0x71 0x3B 0x04 0x66 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016  0x25 0xDA 0xEC 0x7E ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48  0x3E 0x1E 0x9E 0xE0 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472  0xF5 0x1D 0x4D 0x73 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d  0xB0 0x18 0xED 0xA7 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b  0xFB 0xA7 0x78 0xE6 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d  0x83 0x6C 0x56 0x8B ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3  0x51 0xFA 0x6E 0x91 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b  0x3D 0xCE 0xEA 0x26 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6  0xF8 0x31 0x0F 0xA9 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2  0xFA 0xEA 0x66 0x7F ...

---- EOF - GMER 1.0.15 ----

dédétraqué · Answer

Salut tititatou64


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp


==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée 

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++   :)

tititatou64 · Answer

Bonsoir Dédétraqué !
Voilà le rapport de Combofix !
Je vais en rester là pour aujourd'hui et continuerai les prochaines manipulations demain matin. En espérant retrouver l'intégrité totale de mon disque dur :).
Pour info, j'ai désinstaller complètement AVAST car apparemment il posait problème à COMBOFIX même en ayant désactivé la protection résidente.
Merci de me tenir au courant. ;)
Bonne nuit et à demain sans doute .


ComboFix 10-01-04.01 - Propriétaire 09/01/2010  23:05:32.1.2 - x86 NETWORK
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1023.716 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Propriétaire\Mes documents\Programme à conserver\ComboFix.exe
.

(((((((((((((((((((((((((((((   Fichiers créés du 2009-12-09 au 2010-01-09  ))))))))))))))))))))))))))))))))))))
.

2010-01-09 15:51:52 . 2010-01-09 15:51:52	--------	d-----w-	C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2010-01-09 15:31:15 . 2010-01-09 15:31:15	--------	d-sh--w-	C:\Documents and Settings\Administrateur\PrivacIE
2010-01-09 15:30:36 . 2010-01-09 15:30:36	--------	d-sh--w-	C:\Documents and Settings\Administrateur\IETldCache
2010-01-09 15:09:37 . 2010-01-09 15:09:37	--------	d-----w-	C:\_OTM
2010-01-09 14:30:14 . 2010-01-09 14:32:25	--------	d-----w-	C:\Program Files	rend micro
2010-01-09 14:30:13 . 2010-01-09 14:30:20	--------	d-----w-	C:sit
2010-01-09 12:11:53 . 2010-01-07 15:07:14	38224	----a-w-	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2010-01-09 12:11:52 . 2010-01-09 12:11:52	--------	d-----w-	C:\Documents and Settings\All Users\Application Data\Malwarebytes
2010-01-09 12:11:52 . 2010-01-07 15:07:04	19160	----a-w-	C:\WINDOWS\system32\drivers\mbam.sys
2010-01-09 12:11:51 . 2010-01-09 14:26:20	--------	d-----w-	C:\Program Files\Malwarebytes' Anti-Malware
2010-01-09 11:54:16 . 2008-04-13 19:40:26	34688	-c--a-w-	C:\WINDOWS\system32\dllcache\lbrtfdc.sys
2010-01-09 11:54:16 . 2008-04-13 19:40:26	34688	----a-w-	C:\WINDOWS\system32\drivers\lbrtfdc.sys
2010-01-09 11:54:08 . 2008-04-13 19:41:22	8576	-c--a-w-	C:\WINDOWS\system32\dllcache\i2omgmt.sys
2010-01-09 11:54:08 . 2008-04-13 19:41:22	8576	----a-w-	C:\WINDOWS\system32\drivers\i2omgmt.sys
2010-01-09 11:53:54 . 2008-04-13 19:40:58	8192	-c--a-w-	C:\WINDOWS\system32\dllcache\changer.sys
2010-01-09 11:53:54 . 2008-04-13 19:40:58	8192	----a-w-	C:\WINDOWS\system32\drivers\changer.sys

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-09 22:03:04 . 2010-01-09 16:33:17	664	----a-w-	C:\WINDOWS\system32\d3d9caps.dat
2010-01-09 21:58:00 . 2004-08-05 12:00:00	81692	----a-w-	C:\WINDOWS\system32\perfc00C.dat
2010-01-09 21:58:00 . 2004-08-05 12:00:00	503506	----a-w-	C:\WINDOWS\system32\perfh00C.dat
2010-01-09 11:51:22 . 2010-01-09 11:50:47	20	----a-w-	C:\WINDOWS\system32\config\systemprofile\Application Data\fvgqad.dat
2009-10-29 07:42:33 . 2004-08-05 12:00:00	916480	----a-w-	C:\WINDOWS\system32\wininet.dll
2009-10-21 05:39:43 . 2004-08-05 12:00:00	75776	----a-w-	C:\WINDOWS\system32\strmfilt.dll
2009-10-21 05:39:43 . 2004-08-05 12:00:00	25088	----a-w-	C:\WINDOWS\system32\httpapi.dll
2009-10-20 16:20:16 . 2004-08-05 12:00:00	265728	----a-w-	C:\WINDOWS\system32\drivers\http.sys
2009-10-13 10:33:37 . 2004-08-05 12:00:00	271360	----a-w-	C:\WINDOWS\system32\oakley.dll
2009-10-12 13:39:22 . 2004-08-05 12:00:00	79872	----a-w-	C:\WINDOWS\system32aschap.dll
2009-10-12 13:39:22 . 2004-08-05 12:00:00	150528	----a-w-	C:\WINDOWS\system32astls.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 17:04:20 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 07:28:44 16126464]
"SkyTel"="SkyTel.EXE" [2007-04-04 09:22:46 1822720]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2009-03-27 22:03:00 13684736]
"nwiz"="nwiz.exe" [2009-03-27 22:03:00 1657376]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-09-06 13:09:14 413696]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2009-03-27 22:03:00 86016]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 13:40:44 155648]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" [2009-10-27 19:36:51 198160]
"SunJavaUpdateSched"="C:\Program Files\Java\jre6\bin\jusched.exe" [2009-10-11 03:17:36 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 02:33:59 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe [2005-9-23 29696]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"C:\Program Files\Shareaza\Shareaza.exe"=
"C:\Program Files\Real\RealPlayer\realplay.exe"=
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6346:TCP"= 6346:TCP:SHAREAZA
"6346:UDP"= 6346:UDP:SHAREAZA

.
Contenu du dossier 'Tâches planifiées'

2010-01-08 C:\WINDOWS\Tasks\User_Feed_Synchronization-{B2568E20-2DE0-4E57-A36D-5410EE5DCC70}.job
- C:\WINDOWS\system32\msfeedssync.exe [2006-10-17 09:58:32 . 2009-03-08 02:31:54]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.aliceadsl.fr
uSearchAssistant = hxxp://www.aliceadsl.fr

dédétraqué · Answer

Salut tititatou64 


Avec la désinstallation d'Avast, as-tu retrouvé le démarrage en mode normal?


@++   :)

tititatou64 · Answer

Bonjour Dédétraqué !

Hélàs non ! Même en ayant désinstallé AVAST, le démarrage en mode normal ne fonctionne pas. Je suis obligé de rebooter l'ordi manuellement avec le bouton Reset. Je vais essayé d'être plus précis. Lors du démarrage tout s'affiche correctement sur le bureau. Par contre, je ne peux pas accéder à la barre de tâche de Windows. Quand je pointe cette barre avec la souris, j'ai le pointeur "d'attente" avec un énervant sablier qui s'affiche.
Et si je double clique sur un icône du bureau, par exemple IE, la page de démarrage que j'ai s'affiche correctement, mais ensuite je ne peux procédé à rien de plus (impossible de rentrer d'adresse internet, ni d'aller dans mes favoris, ni d'aller dans l'historique). Bref les fenêtres sont figés et là aussi je suis obligé de passer par le Reset manuel (la commande CTRL+ALT+SUPP ne répond pas non plus).
Alors qu'en mode sans échec aucun problème (ce qui me permets de continuer à venir ici).
J'attends ton avis.

@+

tititatou64 · Answer

Je me permets de faire remonter mon sujet vu que j'ai toujours le problème ci dessus.

dédétraqué · Answer

Salut tititatou64


Supprime ce dossier C:\rsit

Refais un scan avec RSIT et poste le rapport log.txt seulement à la fin de l’analyse

Le rapport est dans le dossier ici C:\rsit


@++   :)

tititatou64 · Answer

Salut Dédétraqué ... et désolé de te redéranger.

Voici le rapport log.

Logfile of random's system information tool 1.06 (written by random/random)
Run by Propriétaire at 2010-01-10 15:03:23
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 92 GB (60%) free of 153 GB
Total RAM: 1023 MB (78% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:03:26, on 10/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Propriétaire\Mes documents\Programme à conserver\RSIT.exe
C:\Program Files	rend micro\Propriétaire.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.aliceadsl.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

tititatou64 · Answer

Salut !

Quelqu'un aurait il une solution à mon problème ? Le problème vient il de Windows qui a dû perdre un élément dans le "nettoyage"?  Mon ordi est il totalement nettoyé de virus ou Malware ?
Est ce que je peux réinstaller mon antivirus ? Que dois je faire de tous les programmes téléchargés  ?

Merci par avance pour vos réponses car je ne vais pas rester indéfiniment sur le mode sans échec ;)

dédétraqué · Answer

Salut tititatou64


On va voir avec l’utilitaire de configuration système, va dans le menu démarrer/Exécuter et tape msconfig clic sur OK.

Dans l’onglet Général.
- Sélectionne l’option Démarrage sélectif.
- Décoche la case Charger les éléments de démarrage.

Dans l’onglet Démarrage.
- Clique sur Désactiver tout.

Dans l’onglet Services.
- Vérifie que l’option  Masquer tous les services Microsoft est sélectionnée.
- Clique sur Désactiver tout.

Clique sur OK.
Cliquez sur Redémarrer.

Après avoir redémarrer une fenêtre apparait pour confirmer, clique sur OK.

Dis moi si cela bug encore 


@++   :)

tititatou64 · Answer

Salut !
Désolé mais çà ne marche pas.
Toujours le même problème. Est ce que j'ai toujours le virus ? 
Vais je devoir passer par un formatage ?

dédétraqué · Answer

Salut tititatou64


Non pas de virus en vu, faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

(coche toutes les cases à chaque fois) 
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt


@++   :)

tititatou64 · Answer

Re !
Après avoir laissé l'ordi "en plan" en mode normal, au bout de 20 minutes, celui ci s'est débloqué. Et j'avais accés de nouveau à toutes les fonctionnalités apparemment. J'ai redémarré l'ordi normalement et même chose après un blocage d'une 20aine de minutes.
Tout n'est pas pour autant résolu. Il doit subsister un problème. Et pour information, une chose qui doit y être liée, je n'ai plus aucun son système (lorsque l'ordi démarre par exemple) ou alors les sons habituels sont remplacés par un bip désagréable (par exemple quand je reçois un mail via outlook ou alors par exemple quand l'activation d'un controle Active X est requise). Est ce que celà se peut que Windows XP est subi des dommages avec les manipulations effectuées hier ?
Quoiqu'il en soit, j'ai lancé Nod32 et voici le rapport :
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=130dd38a9fbfe04dbe91b85130999352
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-01-10 07:20:07
# local_time=2010-01-10 08:20:07 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 20481 20481 0 0
# compatibility_mode=769 16775125 100 98 6052 199433838 5053 0
# compatibility_mode=8192 67108863 100 0 89 89 0 0
# scanned=55602
# found=0
# cleaned=0
# scan_time=2125

tititatou64 · Answer

Re !
En fouillant un peu plus au niveau du gestionnaire de périphérique je m'aperçois que dans les controleurs audio, 5 ont un point d'exclamation et comportent donc un problème. Il s'agit de Filtre de décodeur DRM (Noyau Microsoft), Mélangeur audio Wave de Noyau Microsoft, Splitter audio du noyau Microsoft, suppresseur d'écho acoustique (Noyau Microsoft) et Synthétiseur de table de son GC noyau microsoft. En cliquant dans le détail j'ai le message suivant :"Windows ne peut pas démarrer ce périphérique matériel car ses informations de configuration (dans le Registre) sont incomplètes ou endommagées. (Code 19)". 
Est ce que c'est possible que ce soit ce problème qui "fige" au démarrage mon ordi ?

@+

dédétraqué · Answer

Salut tititatou64


Non pas seulement cela ne doit être en cause, as-tu ton CD de Windows XP?


@++   :)

tititatou64 · Answer

Re Dédétraqué !

Oui j'ai mon Cd de Windows XP ;)

dédétraqué · Answer

Salut tititatou64


Parfais alors, tu vas procédé a une réparation de Windows :
http://www.informatruc.com/reparer-windows-xp-2

Tiens moi au courant


@++   :)

tititatou64 · Answer

Re !

Ok je vais tenter çà et te redonnerai des news demain sans doute vu l'heure qu'il est en France.
(je n'aurai jamais penser qu'une infection aurait pu m'amener dans de telles méandres de l'informatique).

A demain en espérant que çà s'améliore ;)

@+

tititatou64 · Answer

Salut Dédétraqué !

Bon ben je pense que cette manipulation de réparation de WINDOWS a planté mon ordi. Je ne peux plus accéder au mode normal ni au mode sans échec.
Après le chargement du logo WINDOWS, un fameux écran bleu apparait avec le message suivant : "faillance d'un fichier registre ............ vidage de la mémoire" et l'ordinateur redémarre. Et comme çà en boucle.
Du coup je n'ai même pas pu achever la réparation de WINDOWS XP (pas de clé d'enregistrement demandé comme c'était marqué sur la procédure que tu m'as jointe).
Bref, je crois que je vais me diriger vers un formatage complet bien que je ne sache pas comment m'y prendre.
Je referais une tentative ce soir.

PS: je me connecte depuis mon lieu de travail pour écrire ce message, vu que dorénavant je ne peux plus me servir de mon ordi.

Peut être à ce soir, si je parviens à réparer.

@+

tititatou64 · Answer

Salut ! 
Je reviens donner de mes news.
Comme dis précédemment, je ne suis pas parvenu à réparer Windows. J'ai donc dû me tourner vers le formatage.

Maintenant je redémarre à 0 avec un ordi quasi tout neuf.

Un grand merci en tout cas en Dédétraqué qui aura tout de même réussi à me débarasser du virus, même si j'aurais aimé une fin plus heureuse.
Je croise les doigts pour ne plus être réinfecté.

D'ailleurs si vous avez un antivirus à me conseiller qui tienne la route, je suis à votre écoute. Car apparemment AVAST n'est pas fiable à 100%.

Bonne soirée.

Cédric

dédétraqué · Answer

Salut tititatou64 


Je te conseil Antivir de Avira en français ici :

http://dlce.antivir.com/package/wks_avira/win32/fr/pecl/avira_antivir_personal_fr.exe

Aide : http://www.libellules.ch/tuto_antivir.php


ZoneAlarm en pare feu --> https://www.malekal.com/tutoriel-zonealarm-firewall/

MalwareByte's Anti-Malware --> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/



Je te donne quelques consignes de sécurité :

-  Windows Update  parfaitement à jour http://www.windowsupdate.com/windowsupdate/v6/default.aspx (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré, je te conseil ZoneAlarm : 
https://www.malekal.com/tutoriel-zonealarm-firewall/
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..)   http://forum.malekal.com/ftopic893.php
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware, je conseil MalwareByte's Anti-Malware :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
- un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour :
https://www.java.com/en/download/uninstalltool.jsp 
- faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/


De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
http://www.malekal.com/menu_windows_general.php
http://www.malekal.com/menu_windows_securite.php


Bonne journée/soirée et bon surf   


@++  :)

tititatou64 · Answer

Salut Dédétraqué !

Merci pour tous ces renseignements. 
Je vais donc opter pour Malwarebyte's et virer Spybot qui ne s'était apparemment pas montrer efficace lors de mon infection (même en l'ayant à jour).
Pour ce qui est des M.A.J régulières de Windows (comme de tout autre programme), elles étaient (sont et seront) faites.
Pour l'antivirus que tu me conseilles, je vais y réfléchir. J'ai lu à droite et gauche que certains ne trouvaient pas Antivir efficace (comme d'autres ne trouvent pas Avast terrible).

Je me pencherai sur la lecture que tu m'as laissé prochainement ;).
Encore merci et à une prochaine (sans virus j'espère).

Bonne journée.

WIN32 ROOTKIT-GEN RTK détecté par AVAST

34 réponses

Votre réponse

Discussions similaires

Newsletters