Rapport hijack pc lent

Fermé
SAMOUSSE75 Messages postés 54 Date d'inscription samedi 23 avril 2011 Statut Membre Dernière intervention 5 mai 2011 - Modifié par SAMOUSSE75 le 25/04/2011 à 21:12
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 5 mai 2011 à 21:41
Bonjour,

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:29, on 23/04/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17096)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\NewSoft\Presto! PVR\Monitor.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O5 "LPT1:" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ChangeFilterMerit] C:\Program Files\NewSoft\Presto! PVR\ChangeFilterMerit.exe
O4 - HKLM\..\Run: [Presto! PVR Monitor] C:\Program Files\NewSoft\Presto! PVR\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\adnane\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Egofe] rundll32.exe "C:\WINDOWS\rdp2FR.dll",Startup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD7510] cmd.exe /c del "C:\Documents and Settings\adnane\Application Data\ShoppingReport\cs\res2\WhiteList.dbs"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3047] command.com /c del "C:\Documents and Settings\adnane\Application Data\ShoppingReport\cs\report\aggr_storage.xml"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4219] cmd.exe /c del "C:\Documents and Settings\adnane\Application Data\ShoppingReport\cs\report\aggr_storage.xml"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
A voir également:

57 réponses

SAMOUSSE75 Messages postés 54 Date d'inscription samedi 23 avril 2011 Statut Membre Dernière intervention 5 mai 2011
26 avril 2011 à 14:40
Bonjour,

Aujourd'hui j'ai pu allumer le pc mais les icône du bureau ne sont pas apparu!Comment dois-je faire?

Merci!!!!
0
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 176
29 avril 2011 à 21:40
Yop^^

Continu ici avec Destrio . L'autre topique a été fermé a ma demande .

Il faut éviter de jouer sur un double tableau surtout avec ce genre d'infection ..
0
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
29 avril 2011 à 21:42
Si tu as des idées, n'hésite pas.
0
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 176
29 avril 2011 à 21:44
On va tenter quelquechose (vu que les icones bureau se sont échappés) :

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 6 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
SAMOUSSE75 Messages postés 54 Date d'inscription samedi 23 avril 2011 Statut Membre Dernière intervention 5 mai 2011
1 mai 2011 à 10:13
Bonjour,

Voici le rapport de RogueKiller


RogueKiller V5.0.0 [30/04/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: adnane [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 01/05/2011 10:11:21

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 8 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 2
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 39 / Fail 0

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
SAMOUSSE75 Messages postés 54 Date d'inscription samedi 23 avril 2011 Statut Membre Dernière intervention 5 mai 2011
1 mai 2011 à 10:13
Le pc est un peu plus rapide mais j'ai sans cesse des redirections ou des alertes de l'antivuris avec alertes cheval de troie jamais les mêmes!
0
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 176
Modifié par jfkpresident le 1/05/2011 à 11:21
Relance RogueKiller puis choisis l'option 5

Tu peux me donner les chemins d'acces des fichiers détectés ?
***Membre Contributeur Sécurité***
0
SAMOUSSE75 Messages postés 54 Date d'inscription samedi 23 avril 2011 Statut Membre Dernière intervention 5 mai 2011
1 mai 2011 à 21:17
RogueKiller V5.0.0 [30/04/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: adnane [Droits d'admin]
Mode: DNS RAZ -- Date : 01/05/2011 21:10:18

Processus malicieux: 0

Entrees de registre: 0

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt



Voilà pour le rapport du N5
Le pc a mis 15 minute pour s'allumer
0
SAMOUSSE75 Messages postés 54 Date d'inscription samedi 23 avril 2011 Statut Membre Dernière intervention 5 mai 2011
1 mai 2011 à 21:22
Le chemin des fichiers en quarantaine sont les suivants:

c:windows\rdp2FR.dll
c:windows\Temp\arz.exe
f:\autorun.inf
E:\autotun.inf
Contient le modèle de détection l'exploit exp/asf.getcodec.gen c:\mamusique Appalachian.springs.mp3
0
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 176
2 mai 2011 à 19:48
Je vois que personne ne t'as répondu ....

On va tenter un nouvel outil :

*Télécharge AswMBR sur ton bureau .
*Double clique dessus pour le lancer
*Clique sur "SCAN"
*Ensuite clique sur "SAVE LOG" pour enregistrer le rapport
*Colle le rapport généré dans ta prochaine réponse
0
SAMOUSSE75 Messages postés 54 Date d'inscription samedi 23 avril 2011 Statut Membre Dernière intervention 5 mai 2011
3 mai 2011 à 10:05
Bonjour,

Ben oui personne n'avait répondu.

Merci pour ta réponse j'essaie ce soir en rentrant du boulot!!

Bonne journée :)
0
SAMOUSSE75 Messages postés 54 Date d'inscription samedi 23 avril 2011 Statut Membre Dernière intervention 5 mai 2011
3 mai 2011 à 19:35
aswMBR version 0.9.5.256 Copyright(c) 2011 AVAST Software
Run date: 2011-05-03 18:23:58
-----------------------------
18:23:58.125 OS Version: Windows 5.1.2600 Service Pack 3
18:23:58.125 Number of processors: 1 586 0xD08
18:23:58.125 ComputerName: YOUR-AB6CD29F8E UserName: adnane
18:24:00.531 Initialize success
18:24:51.281 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e
18:24:51.296 Disk 0 Vendor: HTS541080G9SA00 MB4OC60R Size: 76319MB BusType: 3
18:24:51.296 Device \Driver\atapi -> DriverStartIo 8727657b
18:24:53.296 Disk 0 MBR read successfully
18:24:53.296 Disk 0 MBR scan
18:24:53.296 Disk 0 TDL4@MBR code has been found
18:24:53.296 Disk 0 MBR hidden
18:24:53.296 Disk 0 MBR [TDL4] **ROOTKIT**
18:24:53.296 Disk 0 trace - called modules:
18:24:53.312 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x87276730]<<
18:24:53.312 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x872b2ab8]
18:24:53.312 3 CLASSPNP.SYS[f7743fd7] -> nt!IofCallDriver -> [0x87342a10]
18:24:53.312 \Driver\atapi[0x872b1a48] -> IRP_MJ_CREATE -> 0x87276730
18:24:53.312 Scan finished successfully
18:25:48.093 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\adnane\Bureau\MBR.dat"
18:25:48.109 The log file has been saved successfully to "C:\Documents and Settings\adnane\Bureau\aswMBR.txt"
0
SAMOUSSE75 Messages postés 54 Date d'inscription samedi 23 avril 2011 Statut Membre Dernière intervention 5 mai 2011
3 mai 2011 à 19:37
Voici le rapport.
Mon pc est de plus en plus lent à s'allumer et à répondre en général quand il ne bloque pas. Je sais pas ce qui se passe.

Merci
0
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 176
3 mai 2011 à 20:54
Relance AswMBR puis clique sur [FIX] .
0
SAMOUSSE75 Messages postés 54 Date d'inscription samedi 23 avril 2011 Statut Membre Dernière intervention 5 mai 2011
5 mai 2011 à 20:16
voilà c'est fait.

Une consigne? :)
0
SAMOUSSE75 Messages postés 54 Date d'inscription samedi 23 avril 2011 Statut Membre Dernière intervention 5 mai 2011
5 mai 2011 à 20:19
Je t'écris d'un autre pc car le mien à bloquer je n'ai accès à rien j'ai éteint en appuyant directement sur le bouton et j'essaie de la faire redémarrer.
Toujours aussi lent et un écran noir dès l'allumage!
0
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 176
5 mai 2011 à 21:41
Si tu réouvre aswMBR ,as tu acces a l'onglet FixMBR ?
0