Ctfmon.exe infecté log highjack this !! Résolu/Fermé

Question

Bonjour, 

Voilà, je lutte pour enlever tous les trojans de windows et il se trouve qu'avec emsisoft hijackfree, il me dit que ctfmon.exe est infecté par au moins 10 spywares, aucun antivirus ni anti spyware n'arrive à les enlever, voici un log highjack this ci dessous,

merci infiniment à tous ceux qui pourraient m'aider, j'ai formaté mon pc mais rien à faire il reviens toujours !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:55:49, on 10/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\BitDefender\BitDefender 2010\uiscan.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Ordinateur\Mes documents\Téléchargements\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: MaxTV Recorder Manager.lnk = C:\Program Files\MaxTV\MaxTV4	ask_scheduler.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs:  
O23 - Service: BitDefender Serveur Arrakis (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe

archet9 · Answer

Salut,

Un peu de lecture:
https://www.pcastuces.com/pratique/windows/ctfmon/page1.htm
Mets IE à jour ! on en est à la V8 !

pp_gourmand · Answer

Merci pour ta réponse, j'y vois plus clair, en fait, j'avais déja arreté ce ctfmon.exe au démarrage, et en faisant ca, c'est msconfig qui a ensuite été infecté, si je suis à la lettre les recommandations, msconfig ne sera pas infecté dans ce cas la ?

Merci pour ton aide !

archet9 · Answer

Ce n'est pas une infection lol !

pp_gourmand · Answer

Regarde, je viens de faire ce que tu m'as dis et maintenant, msconfig est infecté par une dixaine de trojans et autres spyware !!! au secours, franchement je vois pas quoi faire de + !

quand j'enlève un processus infecté, c'est ms config qui s'infecte !

t'aurais pas une solution ? je ne suis pas si sur que cela vienne de la mise à jour ie !

merci pour ton aide !

archet9 · Answer

"quand j'enlève un processus infecté, c'est ms config qui s'infecte ! "

Qui ou pltot quel outil te dis cela?

pp_gourmand · Answer

en fait j'utilise emsisoft high jack free, et quand je lance l'analyse, il me dit que msconfig est maintenant infecté par je ne sais combien de trojan. Quand j'ai lancé  msconfig là, dans les démarrages il n'y a plus que deux entrées, alors qu'avant il y en avait plusieurs !! 

tu y comprends quelque chose ?

et en plus, ctfmon est de nouveau dans la liste et sélectionné !! alors que j'avais désélectionné !

archet9 · Answer

Laisse tomber emsisoft...C'est un gratuiciel ds un premier temps qui te proposeras ensuite sa version payante !
==> C'est un piège à C..

Pour une vraie vérif:
Utilise cet outil de diagnostic.

Télécharge RSIT  (de random/random) sur le bureau :

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur "Continue" dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse .
- Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/
et colle le lien généré.
Les rapports sont dans le dossier ici C:\rsit
a+

pp_gourmand · Answer

Merci infiniment, 

voici les deux liens pour le log et l'info :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijRS8Lq3o.txt

http://www.cijoint.fr/cjlink.php?file=cj201008/cijgR4Es2m.txt


merci à toi pour ton aide, j'espère que tu y comprendras quelque chose !!

archet9 · Answer

Comment se fait-il que tu sois en "mode sans echec avec prise en charge réseau" ?

Aurais-tu un soucis avec le mode normal?

=> Refais la même chose en mode normal stp .
-> Tu n'auras cette fois qu'un seul rapport à savoir le "logtxt"

a+

pp_gourmand · Answer

je m'y étais mis car par moment ca ralenti de trop en mode normal, mais là ca a lair d'aller : voici le lien que je viens de faire via RSIT :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijcdDVETw.txt

Merci pour ton soutien !

archet9 · Answer

A part IE qui n'est pas à jour (Grosse faille de sécurité, car même si toi tu l'emploies pas, microsoft lui l'utilise pour les mises à jour de ton système)

==> D'ou l'importance de télécharger :IE V8

Ensuite pour vérif, lance ca scan généraliste:

Malwarebytes + tutoriel 
 
Tu l'installes; mets le a jour...(onglet mise a jour)
Click maintenant sur l'onglet recherche et coche la case :
 "Executer un examen rapide".
Puis click sur "rechercher". 
Laisses le scanner le pc...
A la fin du scan, clique sur Afficher les résultats 
Si des elements on ete trouvés : 
> click sur supprimer la selection.
si il t'es demandé de redemarrer > click sur "oui".
A la fin un rapport va s'ouvrir; 
sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp.  

a+

pp_gourmand · Answer

Merci, je suis en train de m'en occuper, je te colle le rapport dès que c'est terminé, a tout de suite !

pp_gourmand · Answer

Voici le rapport, apparament, rien de spécial ! qu'en penses tu ?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4413

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10/08/2010 21:41:14
mbam-log-2010-08-10 (21-41-14).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 134089
Temps écoulé: 22 minute(s), 45 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

archet9 · Answer

C'est ok...

Un  nouveau RSIt stp...

a+

pp_gourmand · Answer

ok voici le log :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijmFLW8Gs.txt

merci !

archet9 · Answer

Bah...Si tu ne fais pas ce qui est demandé !

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:21:06, on 10/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2900.5512)
Boot mode: Normal

pp_gourmand · Answer

C'est bizarre, pourtant j'ai télécharger internet explorer 8, j'y comprends rien du tout, en + dans 'ajout suppression de programmes' il y a bien marqué qu'internet explorer 8 est installé !

je viens d'en refaire un, apparament ca marche regarde :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijMvAf2Jo.txt

merci de ton aide !

pp_gourmand · Answer

ca c'était le log,
et un info est sorti quand même :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijR2cqnFY.txt

merci!

là mon pc ralentit, je lutte pour ouvrir firefox et naviguer, mon bitdefender n'est plus visible dans la barre des taches, c'est la cata !!

archet9 · Answer

--> Télécharge ComboFix.exe de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\ 

---> Double-clique sur Combofix.exe

---> Installe la console de récupération si l'outil te le propose.  

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

pp_gourmand · Answer

ok ca roule je m'en occupe, je vais le faire tourner, jdois m'absenter, j'espère que tu seras la vers 18h 19h !!
merci pour ton aide je le télécharge tout de suite !

archet9 · Answer

Pas de soucis...

pp_gourmand · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijJLQ0v78.txt 


voici le log de combo fix mais il n'a pas pu installer la console de récupération, il y  a un fichier qu'il ne trouvais pas apparament,  


merci beaucoup pour ton aide !

Je suis là c'est bon, alors tu en penses quoi ?

archet9 · Answer

C'est ok

Pour desinstaller les outils utilisés

Télécharge OTCleanIt sur ton Bureau: http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/ 

Lance OTCleanIt avec un double-clic (sous Vista, lance-le en cliquant droit sur OTCleanIt.exe et en sélectionnant "exécuter en tant qu'administrateur") 

Appuie sur le bouton "CleanUp!" 

A la question "begin cleanup process?", réponds "YES" 

A la fin de l'opération, si OTCleanIt demande de redémarrer ("Do you want to reboot now?"), ferme ce que tu es en train de faire (internet, documents divers...) et clique sur "YES": 

Au redémarrage, OTCleanIt aura supprimé les outils de désinfection, et se sera même autodétruit! 


puis

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html 

 * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre).  
* Décoche la case plus vieux que 24 h 

TRES IMPORTANT: 

---> Il est nécessaire de désactiver,redémarrer puis réactiver la restauration système pour la purger : 
XP:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

pp_gourmand · Answer

UP
Je te remercie pour toutes ces infos, j'ai fais tout ce que tu m'a dis, a priori il y a moins de ralentissement, mais lorsque je fais un high jack this avec emsisoft, il m'affiche encore des problèmes avec msconfig, je t'ai fais une capture d'écran pour que tu vois le truc, 

qu'en penses tu ? 

je te remercie beaucoup pour ton aide archet9 ! 

http://www.cijoint.fr/cjlink.php?file=cj201008/cij7c7s7vr.jpg

pp_gourmand · Answer

je te remercie de t'être décarcassé pour moi, mais je n'y comprends plus rien, sachant que je n'ai pas de données spéciales sur mon disque, je vais faire un killdisk pour me débarasser définitivement de ce problème car là ca fait des jours que ça dure et ctfmon je m'en suis déjà occupé malheureusement rien n'y fais,

je te remercie beaucoup d'avoir essayé de m'aider tu es bien le seul !

Je vais tout reformater afin que le disque soit vierge comme sortit d'usine, de cette façon c'est sur que mon disque n'aura plus de problèmes de trojans !

Merci encore infiniment archet9 !!

Ctfmon.exe infecté log highjack this !!

25 réponses

Discussions similaires