Sujet Précédent Sujet Suivant

Infection drivers rootkit

Résolu/Fermé
odile06 Messages postés 33 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 24 février 2010 - 19 févr. 2010 à 14:53
 Utilisateur anonyme - 24 févr. 2010 à 18:32
Bonjour,
Mon antivirus Avast! m'a détecté un "logiciel malveillant" : Win32 : Rootkit-gen [Rtk]..pour une centaine de fichiers !!! principalement des drivers. Sur ces conseils, je les ai mis en quanrantaine.
Après, j'ai redémarré mon ordi en mode sans échec et scanné avec MalwareBytes--> 4 fichiers infectés, j'ai suivi les instructions : suppression et redémarrage.

Mon problème est que, comme tous mes drivers sont en quarantaine, j'ai perdu le son et sûrement d'autres fonctionnalités de mon ordi. Alors j'ai tenté de restaurer les fichiers de la quarantaine mais Avast se déclenche tout de suite et ça m'énerve alors hop, tout le monde en quarantaine !!

Donc je ne sais pas par où attraper le problème...je me suis dis qu'une analyse avec Hijackthis pourrait vous aider...voilà le rapport.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:45:18, on 19/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\WLTRYSVC.EXE
E:\WINDOWS\System32\bcmwltry.exe
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
E:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Java\jre6\bin\jqs.exe
E:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
E:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\WLTRAY.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
E:\WINDOWS\system32\KADxMain.exe
E:\Program Files\Apoint\Apoint.exe
E:\Program Files\Search Settings\SearchSettings.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\Program Files\Java\jre6\bin\jusched.exe
E:\Program Files\Apoint\ApMsgFwd.exe
E:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
E:\Program Files\Apoint\HidFind.exe
E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\Program Files\Microsoft ActiveSync\wcescomm.exe
E:\Program Files\Apoint\Apntex.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Fichiers communs\TerraTec\Remote\TTTVRC.exe
E:\PROGRA~1\MICROS~3\rapimgr.exe
E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
E:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
E:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
E:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
E:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
E:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
E:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
E:\Program Files\Windows Live\Messenger\msnmsgr.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Documents and Settings\GRATIOT\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - E:\Program Files\Search Settings\kb127\SearchSettings.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - E:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - E:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - E:\Program Files\Search Settings\kb127\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: MEDIADICO Familial - {CEDDA62B-5FBE-4AB2-AE2E-5E069F444444} - E:\Program Files\LAventure\MDToolbar\MdToolbar.dll
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - E:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] E:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "E:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "E:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [KADxMain] E:\WINDOWS\system32\KADxMain.exe
O4 - HKLM\..\Run: [Apoint] E:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SearchSettings] E:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] "E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "E:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Remote Control Editor] "E:\Program Files\Fichiers communs\TerraTec\Remote\TTTVRC.exe"
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] E:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://E:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Convertir en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://E:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5AB888AC-0B0D-4ACB-9D76-178DCC899237}: NameServer = 134.59.1.7,134.59.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8696816B-7E34-488A-9F95-1528DAE7861A}: NameServer = 134.59.1.7,134.59.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F40F846B-4EA0-4D93-9D4F-B1309EF87DBF}: NameServer = 134.59.1.7,134.59.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrlAPI - Unknown owner - E:\cygwin\bin\cygrunsrv.exe (file missing)
O23 - Service: Google Update Service (gupdate1ca66a7ebfaa8c8) (gupdate1ca66a7ebfaa8c8) - Google Inc. - E:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - E:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - E:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NMIndexingService - Nero AG - E:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - E:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - E:\WINDOWS\System32\WLTRYSVC.EXE
A voir également:

51 réponses

Réponse 1 / 51
Utilisateur anonyme
19 févr. 2010 à 21:19
moi, oublié ?
mais non, j'avais mes dossiers de boulot à finir :-)
la suite avec ceci :

• /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux!

► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\INSTALLES LA CONSOLE DE RECUPERATION

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Si ça ne marche pas, tu vires combofix de sur ton bureau et tu télécharge depuis ce lien jacombo qui est combofix renommé cela permet de contrer certaine infection, tu le mets sur ton bureau et tu suis les explications données dans la procédure de combofix

http://sd-1.archive-host.com/membres/up/89820622056365782/jacombo.exe
3
Réponse 2 / 51
Utilisateur anonyme
19 févr. 2010 à 15:28
bonjour,

1° Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3
ou ici : https://sites.google.com/site/toolbarsd/

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 2 .Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

Tuto :
https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/

2° Télécharge USBFIX sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici :
https://www.ionos.fr/?affiliate_id=77097

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir • Double clic sur le raccourci UsbFix présent sur ton bureau .
• Choisis l'option 2

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaîtra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.


• Tuto : http://pagesperso-orange.fr/nostools/tuto_usbfix2.html
2
odile06 Messages postés 33 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 24 février 2010
19 févr. 2010 à 15:46
Voici le rapport ToolbarSd

-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T7800 @ 2.60GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A04
USER : GRATIOT ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1368 [VPS 100219-0] 4.8.1368 (Activated)
C:\ (Local Disk) - NTFS - Total:48 Go (Free:42 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:62 Go (Free:18 Go)
T:\ (Network Disk)
U:\ (Network Disk)
V:\ (Network Disk)
W:\ (Network Disk)
X:\ (Network Disk)
Y:\ (Network Disk)

"E:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 19/02/2010|15:43 )

-----------\\ SUPPRESSION

Supprime! - E:\DOCUME~1\GRATIOT\Cookies\gratiot@cachalot[1].txt
Supprime! - E:\DOCUME~1\VISITEUR\APPLIC~1\Dealio\kb127
Supprime! - E:\Program Files\Dealio\kb127
Supprime! - E:\DOCUME~1\VISITEUR\APPLIC~1\Search Settings\kb127
Supprime! - E:\DOCUME~1\VISITEUR\APPLIC~1\Dealio
Supprime! - E:\Program Files\Dealio
Supprime! - E:\DOCUME~1\VISITEUR\APPLIC~1\Search Settings

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(GRATIOT) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user
(GRATIOT) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar

(VISITEUR) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="E:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.google.fr/?gws_rd=ssl"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="https://www.msn.com/fr-fr/"
"Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "E:\ToolBar SD\TB_1.txt" - 19/02/2010|15:44 - Option : [2]

-----------\\ Fin du rapport a 15:44:51,42

Je m'occupe de ma clé usb :)
0
Réponse 3 / 51
Utilisateur anonyme
19 févr. 2010 à 15:50
passe à usbfix , option 2 et poste son rapport
2
odile06 Messages postés 33 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 24 février 2010
19 févr. 2010 à 16:02
et un rapport usbfix un !!


############################## | UsbFix V6.096 |

User : GRATIOT (Administrateurs) # LAPTOP-JUG
Update on 19/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:56:20 | 19/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7800 @ 2.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100219-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 48,83 Go (42,15 Go free) # NTFS
D:\ -> Disque CD-ROM # 611,61 Mo (0 Mo free) [XP_PRO_SP2] # CDFS
E:\ -> Disque fixe local # 62,85 Go (17,94 Go free) # NTFS

############################## | Processus actifs |

E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\logonui.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\WLTRYSVC.EXE
E:\WINDOWS\System32\bcmwltry.exe
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
E:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\system32\userinit.exe
E:\WINDOWS\system32\WgaTray.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\System32\SCardSvr.exe
E:\WINDOWS\system32\svchost.exe
E:\Program Files\Google\Update\GoogleUpdate.exe
E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\Program Files\Java\jre6\bin\jqs.exe
E:\Program Files\Google\Update\GoogleUpdate.exe
E:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
E:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
E:\WINDOWS\system32\svchost.exe
E:\Program Files\Google\Update\GoogleUpdate.exe
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\system32\wbem\wmiprvse.exe
E:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

Supprimé ! E:\DOCUME~1\GRATIOT\LOCALS~1\Temp\017.exe
Supprimé ! E:\DOCUME~1\GRATIOT\LOCALS~1\Temp\104.exe
Supprimé ! E:\DOCUME~1\GRATIOT\LOCALS~1\Temp\179.exe
Supprimé ! C:\Recycler\S-1-5-21-1715567821-261903793-725345543-1003
Supprimé ! E:\Recycler\S-1-5-21-1715567821-261903793-725345543-1003
Supprimé ! E:\Recycler\S-1-5-21-1715567821-261903793-725345543-1004
Supprimé ! E:\Recycler\S-1-5-21-6429402439-5984824695-609711606-5305

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{10a8e8df-398a-11de-bf20-001c23a53cea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{56d34da1-3c52-11dd-be19-804770fa2ce2}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9b52d2f0-1adb-11de-beff-001c23a53cea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b5c98d98-2d8c-11de-bf0e-001a6be70340}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{d4395502-9a2b-11dd-be7b-001c23a53cea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e6c8b8fe-3961-11de-bf1f-001c23a53cea}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[28/01/2008 18:00|--a------|0] C:\AUTOEXEC.BAT
[14/10/2008 21:06|-rahs----|213] C:\boot.ini
[05/08/2004 11:00|-rahs----|4952] C:\Bootfont.bin
[28/01/2008 18:00|--a------|0] C:\CONFIG.SYS
[28/01/2008 18:00|-rahs----|0] C:\IO.SYS
[28/01/2008 18:00|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 11:00|-rahs----|47564] C:\NTDETECT.COM
[13/05/2008 14:51|-rahs----|252240] C:\ntldr
[26/01/2010 16:11|--a------|350] C:\Raccourci vers MEDAM.lnk
[19/11/2008 18:36|--ahs----|14848] C:\Thumbs.db
[09/03/2007 15:08|--a------|6035928] E:\bi2807fr.exe
[07/07/2009 08:25|--a------|1703] E:\cleannavi.txt
[18/12/2008 17:47|--a------|133] E:\DealioAu.log
[?|?|?] E:\pagefile.sys
[19/02/2010 15:44|--a------|2492] E:\TB.txt
[19/02/2010 16:00|--a------|4112] E:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : E:\UsbFix_Upload_Me_LAPTOP-JUG.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.096 ! |
0
Réponse 4 / 51
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
19 févr. 2010 à 14:59
slt,


puis répare windows comme ceci:

https://www.commentcamarche.net/informatique/windows/25-verifier-et-reparer-des-fichiers-systeme-avec-windows-10/


puis


Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
1
odile06 Messages postés 33 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 24 février 2010
19 févr. 2010 à 15:24
slt,
ça ne marche pas la réparation de xp...j'ai mis le cd mais il me demande ce que je veux faire, je lui dis "effectuer taches supplémentaires"...bref moi et les invites de commandes ça fait 15 !!!
est-ce que Combofix c'est un autre logiciel comme MalwareBytes ?? c'est vraiment utile ??? c'est pas que je veux pas mais là ça fait le 3ème logiciel que je télécharge alors si c'est pas super utile....

Merci quand même
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 51
Utilisateur anonyme
19 févr. 2010 à 18:03
bien,
si je ne me trompe pas, tu dois avoir MBAM su ton pc :

E:\Program Files\Malwarebytes' Anti-Malware

Lance le
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
1
Réponse 6 / 51
i am toto Messages postés 767 Date d'inscription vendredi 1 janvier 2010 Statut Membre Dernière intervention 30 décembre 2011 45
19 févr. 2010 à 14:55
Fait un scan RSIT

tuto: https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

et post le rapport.

Les driver font marcher le pc, donc normale que t'ai plus de son ni rien.C'est comme si t'avait plus de carte son.

Post aussi le rapport malwarbytes
0
Réponse 7 / 51
Attaqua Messages postés 313 Date d'inscription dimanche 20 septembre 2009 Statut Membre Dernière intervention 28 mars 2015 16
19 févr. 2010 à 14:57
Eh bien. Je ne sais pas lire les rapports HiJackThis, mais tu m'as l'air infecté par un rootkit. Si tu veux en savoir plus sur ton infection : https://fr.wikipedia.org/wiki/Rootkit



0
Réponse 8 / 51
i am toto Messages postés 767 Date d'inscription vendredi 1 janvier 2010 Statut Membre Dernière intervention 30 décembre 2011 45
19 févr. 2010 à 15:00
Antivirus: Avast 4

Virus:

svchost.exe (x3)

Bizzard:

CTFMON.EXE
0
Réponse 9 / 51
odile06 Messages postés 33 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 24 février 2010
19 févr. 2010 à 15:01
Wahou, ça c'est du rapide !!! merci
alors le rapport RSIT :
Logfile of random's system information tool 1.06 (written by random/random)
Run by GRATIOT at 2010-02-19 14:59:46
Microsoft Windows XP Professionnel Service Pack 3
System drive E: has 19 GB (29%) free of 64 GB
Total RAM: 3582 MB (78% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:56, on 19/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\WLTRYSVC.EXE
E:\WINDOWS\System32\bcmwltry.exe
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
E:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Java\jre6\bin\jqs.exe
E:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
E:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\WLTRAY.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
E:\WINDOWS\system32\KADxMain.exe
E:\Program Files\Apoint\Apoint.exe
E:\Program Files\Search Settings\SearchSettings.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\Program Files\Java\jre6\bin\jusched.exe
E:\Program Files\Apoint\ApMsgFwd.exe
E:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
E:\Program Files\Apoint\HidFind.exe
E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\Program Files\Microsoft ActiveSync\wcescomm.exe
E:\Program Files\Apoint\Apntex.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Fichiers communs\TerraTec\Remote\TTTVRC.exe
E:\PROGRA~1\MICROS~3\rapimgr.exe
E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
E:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
E:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
E:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
E:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
E:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
E:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
E:\Program Files\Windows Live\Messenger\msnmsgr.exe
E:\Documents and Settings\GRATIOT\Bureau\HiJackThis.exe
E:\WINDOWS\system32\NOTEPAD.EXE
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Documents and Settings\GRATIOT\Bureau\RSIT.exe
E:\Documents and Settings\GRATIOT\Bureau\GRATIOT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - E:\Program Files\Search Settings\kb127\SearchSettings.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - E:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - E:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - E:\Program Files\Search Settings\kb127\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: MEDIADICO Familial - {CEDDA62B-5FBE-4AB2-AE2E-5E069F444444} - E:\Program Files\LAventure\MDToolbar\MdToolbar.dll
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - E:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] E:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "E:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "E:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [KADxMain] E:\WINDOWS\system32\KADxMain.exe
O4 - HKLM\..\Run: [Apoint] E:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SearchSettings] E:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] "E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "E:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Remote Control Editor] "E:\Program Files\Fichiers communs\TerraTec\Remote\TTTVRC.exe"
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] E:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://E:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Convertir en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://E:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5AB888AC-0B0D-4ACB-9D76-178DCC899237}: NameServer = 134.59.1.7,134.59.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8696816B-7E34-488A-9F95-1528DAE7861A}: NameServer = 134.59.1.7,134.59.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F40F846B-4EA0-4D93-9D4F-B1309EF87DBF}: NameServer = 134.59.1.7,134.59.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrlAPI - Unknown owner - E:\cygwin\bin\cygrunsrv.exe (file missing)
O23 - Service: Google Update Service (gupdate1ca66a7ebfaa8c8) (gupdate1ca66a7ebfaa8c8) - Google Inc. - E:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - E:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - E:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NMIndexingService - Nero AG - E:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - E:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - E:\WINDOWS\System32\WLTRYSVC.EXE
0
Réponse 10 / 51
i am toto Messages postés 767 Date d'inscription vendredi 1 janvier 2010 Statut Membre Dernière intervention 30 décembre 2011 45
19 févr. 2010 à 15:05
Virus:

svchost.exe (x3)
Search Settings
Trojan.Banker
Trojan.Agent
Trojan.Dropper
Worm.Autorun.B

Bizzard:

CTFMON.EXE

RUNDLL32.EXE (x2)

GRATIOT.exe



--------------------------------
0
odile06 Messages postés 33 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 24 février 2010
19 févr. 2010 à 15:08
merci I am toto mais là je comprend autant ton post que les rapports Hijackthis !!!!
tu peux me traduire ??? je me doute que je suis infectée mais le truc c'est comment enlever tout ça !!

merci
0
Réponse 11 / 51
i am toto Messages postés 767 Date d'inscription vendredi 1 janvier 2010 Statut Membre Dernière intervention 30 décembre 2011 45
19 févr. 2010 à 15:10
"gratiot" et ton nom d'utilisateur or normalement y ' doit pas d'avoir d' "EXE" avec le nom d'utilisateur.

CTFMON.EXE = normalement pas un virus

Search Settings = tu telechage CClener et une fois installer,tu le lance,et tu cherche la clé a outils, aprés tu cherche le programme Search Settings et tu le supprime.
0
Réponse 12 / 51
i am toto Messages postés 767 Date d'inscription vendredi 1 janvier 2010 Statut Membre Dernière intervention 30 décembre 2011 45
19 févr. 2010 à 15:14
je voualit savoir si t'avait Xp pro ou famillial ? c pour svchost.exe
0
odile06 Messages postés 33 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 24 février 2010
19 févr. 2010 à 15:20
c'est xp pro (l'ordi du boulot !!!).
J'ai supprimé Search settings avec ccleaner...je suis réparée ???
0
Réponse 13 / 51
i am toto Messages postés 767 Date d'inscription vendredi 1 janvier 2010 Statut Membre Dernière intervention 30 décembre 2011 45
19 févr. 2010 à 15:22
attention, tout n'ai pas virus !

Les fichiers associés à la contamination (Trojan Banker):

avgdos.exe
avgdos1[1].scr
avgdos1.scr
bpkcert.exe
gets.exe
ImgPaint.exe
tasklist32.exe
regserve.exe
ExcorP.exe
feliznatal2006.exe
Win XP.exe
WorkFile.exe
DarkLinux[1].exe
Windowsupdate.exe
ib15.dll
Wapp.exe
load[1].exe
ntos.exe
netfx20.exe
gbiesrv.exe
AcroIEHelpe.dll
Explorer.exe
iexplore.exe
WindowsUpdate.scr
ree2.exe
ree1.exe
nl.exe
msbcs.exe
mac.dll
fc.exe
csrss.exe
sunwin32.exe
systm321.exe
ssmss.exe
iexplorer2.exe
gbieh.dll
winnt4.exe
winnt3.exe
winnt6.exe
winnt5.exe
winsex.exe
svchosts.exe
dll.exe
sms.exe
smsni.exe
winnt2.exe
winmsne.exe
WPV501258147400.EXE
Z48B83X1LIB.DLL
svhost.exe
Systema.exe
mydpla.exe
wininit.exe
spoolsv.exe
SerialsWorld[skbhyu].exe
System32.exe
spoolsvr32.exe
svchost.exe
csrrs1.exe
csrrs2.exe
winnt.exe

Utilisation de bibliothèques de lien dynamique (Trojan Banker):

ib15.dll
AcroIEHelpe.dll
mac.dll
gbieh.dll

Les processus pour tuer (Trojan Banker):

DarkLinux[1].exe
Windowsupdate.exe
Wapp.exe
WorkFile.exe
Win XP.exe
feliznatal2006.exe
ExcorP.exe
regserve.exe
tasklist32.exe
ImgPaint.exe
gets.exe
bpkcert.exe
avgdos.exe
load[1].exe
ntos.exe
netfx20.exe
gbiesrv.exe
Explorer.exe
iexplore.exe
ree2.exe
ree1.exe
nl.exe
msbcs.exe
fc.exe
csrss.exe
sunwin32.exe
systm321.exe
ssmss.exe
iexplorer2.exe
winnt4.exe
winnt3.exe
winnt6.exe
winnt5.exe
winsex.exe
svchosts.exe
dll.exe
sms.exe
smsni.exe
winnt2.exe
winmsne.exe
svhost.exe
Systema.exe
mydpla.exe
wininit.exe
spoolsv.exe
SerialsWorld[skbhyu].exe
System32.exe
spoolsvr32.exe
svchost.exe
csrrs1.exe
csrrs2.exe
winnt.exe
0
Réponse 14 / 51
i am toto Messages postés 767 Date d'inscription vendredi 1 janvier 2010 Statut Membre Dernière intervention 30 décembre 2011 45
19 févr. 2010 à 15:27
Non tu n'ai pas réparé. Il faut que tu face: executer ---> cmd. Aprés une petit boite noir va s'afficher et tu marque: tasklist /svc /fi "imagename eq svchost.exe"

Et aprés tu me fait un copier colle si un blocnote qui tu mais en ligne sur CIJOINT. ( c un site)

et aprés tu post le lien vers le telechagement.
0
odile06 Messages postés 33 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 24 février 2010
19 févr. 2010 à 15:33
euh, ça me met erreur argument non valide - '/svc/fi' ??? y'a un truc avec les espaces??
0
Réponse 15 / 51
i am toto Messages postés 767 Date d'inscription vendredi 1 janvier 2010 Statut Membre Dernière intervention 30 décembre 2011 45
19 févr. 2010 à 15:29
Aprés passe un coup de spyboot : tuto: https://forums.cnetfrance.fr/tutoriels-securite-informatique/427-spybot-search-and-destroy-tutoriel

et post le rapport ici.
0
Réponse 16 / 51
i am toto Messages postés 767 Date d'inscription vendredi 1 janvier 2010 Statut Membre Dernière intervention 30 décembre 2011 45
19 févr. 2010 à 15:35
Bah, les logicielle trouveront : suis donc se qu'on a écrit
0
Réponse 17 / 51
odile06 Messages postés 33 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 24 février 2010
19 févr. 2010 à 15:41
le rapport de commande
http://www.cijoint.fr/cjlink.php?file=cj201002/cijBkdsBf2.tx
0
Réponse 18 / 51
i am toto Messages postés 767 Date d'inscription vendredi 1 janvier 2010 Statut Membre Dernière intervention 30 décembre 2011 45
19 févr. 2010 à 15:42
t'a oublier de maitre fichier public sa fait que je peut pas y accéder. Fait un copier coller et refait la manif en maitant fichier public.
0
Réponse 19 / 51
odile06 Messages postés 33 Date d'inscription vendredi 19 février 2010 Statut Membre Dernière intervention 24 février 2010
19 févr. 2010 à 15:50
désolée ;)...j'ai re-essayer et ça marche pas ("vous n'avez pas choisi de fichier !!")
mais bon il est petit alors je le met là

E:\Documents and Settings\GRATIOT>tasklist /svc /fi "imagename eq svchost.exe"

Nom de l'image PID  Services
========================= ====== =============================================
svchost.exe 1160 DcomLaunch, TermService
svchost.exe 1228 RpcSs
svchost.exe 1268 AudioSrv, BITS, CryptSvc, Dhcp, ERSvc,
EventSystem, FastUserSwitchingCompatibility,
helpsvc, HidServ, Irmon, lanmanserver,
lanmanworkstation, Netman, Nla, RasMan,
Schedule, seclogon, SENS, SharedAccess,
ShellHWDetection, srservice, TapiSrv,
Themes, TrkWks, W32Time, winmgmt, wscsvc,
wuauserv
svchost.exe 1392 Dnscache
svchost.exe 1416 LmHosts, RemoteRegistry, SSDPSRV
svchost.exe 224 WebClient
svchost.exe 660 stisvc
0
Réponse 20 / 51
i am toto Messages postés 767 Date d'inscription vendredi 1 janvier 2010 Statut Membre Dernière intervention 30 décembre 2011 45
19 févr. 2010 à 15:56
Y'a rien de bizzard dans le cmd
0

Discussions similaires

system32\drivers\pci.sys
christophe -
Sandrine -

14 réponses
vga driver qu est ce c'est s'il vous plait
Juju2433 -
kaneagle -

13 réponses
Touslesdrivers.com
xOxneosxOx -
xOxneosxOx -

22 réponses