Virus bloquant l’accès à Microsoft update

Fermé
antoine.poul1 Messages postés 4 Date d'inscription samedi 16 janvier 2010 Statut Membre Dernière intervention 17 janvier 2010 - 16 janv. 2010 à 16:39
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 - 19 janv. 2010 à 01:49
Bonjour,

Je pense que mon PC est infecté par un virus:

Je ne peux plus accéder ni à Microsoft Update ni à aucun des antivirus en ligne. Je n'ai plus accès à la restauration du système windows non plus.

Ci joint les 2 fichiers log de Rooter et HijackThis

Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows XP Home Edition (5.1.2600) Service Pack 3
[32_bits] - x86 Family 6 Model 28 Stepping 2, GenuineIntel
.
[wscsvc] (Security Center) RUNNING (state:4)
[SharedAccess] RUNNING (state:4)
Windows Firewall -> Enabled
.
Internet Explorer 8.0.6001.18702
.
C:\ [Fixed-NTFS] .. ( Total:71 Go - Free:61 Go )
D:\ [Fixed-NTFS] .. ( Total:71 Go - Free:55 Go )
G:\ [Removable]
.
Scan : 16:03.18
Path : D:\Marion\Antoine\Rooter.exe
User : MARION ( Administrator -> YES )
.
----------------------\\ Processes
.
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (644)
______ \??\C:\WINDOWS\system32\csrss.exe (760)
______ \??\C:\WINDOWS\system32\winlogon.exe (784)
______ C:\WINDOWS\system32\services.exe (828)
______ C:\WINDOWS\system32\lsass.exe (840)
______ C:\WINDOWS\system32\svchost.exe (996)
______ C:\WINDOWS\system32\svchost.exe (1044)
______ C:\WINDOWS\System32\svchost.exe (1084)
______ C:\WINDOWS\system32\svchost.exe (1188)
______ C:\WINDOWS\system32\svchost.exe (1236)
______ C:\WINDOWS\System32\svchost.exe (1256)
______ C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (1472)
______ C:\Program Files\Alwil Software\Avast4\ashServ.exe (1548)
______ C:\WINDOWS\Explorer.EXE (1796)
______ C:\Program Files\Java\jre1.5.0\bin\jusched.exe (1932)
______ C:\WINDOWS\RTHDCPL.EXE (1940)
______ C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe (1960)
______ C:\WINDOWS\system32\igfxtray.exe (1968)
______ C:\WINDOWS\system32\hkcmd.exe (1976)
______ C:\WINDOWS\system32\igfxpers.exe (1984)
______ C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (1992)
______ C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe (2032)
______ C:\WINDOWS\system32\igfxsrvc.exe (2040)
______ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe (120)
______ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe (204)
______ C:\WINDOWS\system32\ctfmon.exe (228)
______ C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (236)
______ C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe (348)
______ C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe (404)
______ C:\Program Files\SAMSUNG\MagicKBD\PerformanceManager.exe (412)
______ C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe (420)
______ C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (520)
______ C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE (680)
______ C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe (1108)
______ C:\WINDOWS\system32\spoolsv.exe (1416)
______ C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe (1704)
______ C:\WINDOWS\system32\svchost.exe (1872)
______ C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE (2072)
______ C:\WINDOWS\system32\svchost.exe (2168)
______ C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe (2764)
______ C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (2908)
______ C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (3108)
______ C:\WINDOWS\system32\igfxext.exe (3212)
______ C:\WINDOWS\System32\alg.exe (3404)
______ C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe (3720)
______ C:\WINDOWS\system32\rundll32.exe (3696)
______ C:\WINDOWS\system32\Restore\rstrui.exe (3088)
______ C:\Program Files\Internet Explorer\iexplore.exe (3764)
______ C:\Program Files\Internet Explorer\iexplore.exe (3796)
______ C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE (2848)
______ D:\Marion\Antoine\Rooter.exe (3872)
.
----------------------\\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 (Start_Offset:32256 | Length:6448587264)
\Device\Harddisk0\Partition2 --[ MBR ]-- (Start_Offset:6448619520 | Length:76282978304)
\Device\Harddisk0\Partition3 (Start_Offset:82731597824 | Length:77308362752)
.
----------------------\\ Scheduled Tasks
.
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\SA.DAT
.
----------------------\\ Registry
.
.
----------------------\\ Files & Folders
.
----------------------\\ Scan completed at 16:03.20
.
C:\Rooter$\Rooter_1.txt - (16/01/2010 | 16:03.20)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:04:13, on 16/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Program Files\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Restore\rstrui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DMHotKey] C:\Program Files\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe

6 réponses

anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
16 janv. 2010 à 20:24
Bonjour,


Peux-tu utiliser ce logiciel de diagnostic stp, il donne plus de détails que Hijackthis :

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum



Ensuite, utilise ce programme pour vérifier la présence de rootkits :

/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\

• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

0
antoine.poul1 Messages postés 4 Date d'inscription samedi 16 janvier 2010 Statut Membre Dernière intervention 17 janvier 2010
17 janv. 2010 à 10:20
Bonjour,

Mes réponses ne sembles pas partir!?!

je vais essayer d'envoyer les 2 fichiers demandés séparément.
0
antoine.poul1 Messages postés 4 Date d'inscription samedi 16 janvier 2010 Statut Membre Dernière intervention 17 janvier 2010
17 janv. 2010 à 10:34
Désolé, je n'avais pas bien lu qu'il fallait coller le lien fourni par le site.

ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201001/cijeSLDsWX.txt

GMER
http://www.cijoint.fr/cjlink.php?file=cj201001/cijtTb4WBh.txt

Dans l'attente de te lire, reçois mes sincères salutations.

Antoine
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
17 janv. 2010 à 17:12
Pour afficher les fichiers cachés et les extensions :

• Clique sur Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.


Ensuite, envoie moi les 3 fichiers suivants par e-mail à l'adresse aehykfio@trashmail.net :

C:\Documents and Settings\MARION\Local Settings\Temp\_uninst_setup_9.0.0.722_16.01.2010_17-41.exe.bat

C:\WINDOWS\system32\DRIVERS\84369901.sys

C:\WINDOWS\system32\DRIVERS\78181982.sys


Confirme moi l'envoi quand ce sera fait stp

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
antoine.poul1 Messages postés 4 Date d'inscription samedi 16 janvier 2010 Statut Membre Dernière intervention 17 janvier 2010
17 janv. 2010 à 21:59
bonjour,

je n'ai trouvé que le fichier 84369901.sys, je te l'ai envoyé à l'adresse indiquée
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
19 janv. 2010 à 01:49
D'accord, je vais regarder

0