Arret du système - cheval de troie

Linou -  
 linou -
Bonjour

Depuis hier, je n'arrive plus à accéder à mon pc : lors du démarrage, j'ai l'instruction suivante qui apparait à 4 reprises : "L'instruction à 'Ox37001160' emploie l'adresse mémoire 'Ox37001160'. La mémoire ne peut pas être 'written'"
Ensuite j'ai un message qui dit : "Arrêt du système. Veuillez enregistrer tous les travaux en cours et quitter votre session. Toutes les modifications non enregistrées seront perdues. Cet arrêt a été initié par AUTORITE NT\SYSTEM.
Le processus système c:\Windows\System 32\Isass.exe n' a pas pu démarrer"

J'ai démarrer en mode sans échec et fait un scan avec Norton et voilà ce que ca a trouvé :

C:\tvcjfm.exe est infecté par Adware.SpySheriff.
C:\winstall.exe est infecté par Adware.SpySheriff.
C:\Program Files\SpySheriff\heur000.dll est infecté par Adware.SpySheriff.
C:\Program Files\SpySheriff\heur001.dll est infecté par Adware.SpySheriff.
C:\Program Files\SpySheriff\heur002.dll est infecté par Adware.SpySheriff.
C:\Program Files\SpySheriff\heur003.dll est infecté par Adware.SpySheriff.
C:\Program Files\SpySheriff\SpySheriff.exe est infecté par Adware.SpySheriff.
C:\Program Files\SpySheriff\Uninstall.exe est infecté par Adware.SpySheriff.
C:\Documents and Settings\Etudes-hv\Local Settings\Temporary Internet Files\Content.IE5\49MBSPQR\xpl[1].wmf est infecté par Downloader.
C:\WINDOWS\system\r_server.exe est infecté par Remacc.Radmin.
C:\WINDOWS\system\raddrv.dll est infecté par Remacc.Radmin.
C:\WINDOWS\system\admdll.dll est infecté par Remacc.Radmin.
C:\WINDOWS\system32\lionldcn.dll est infecté par Trojan.Tannick.B.

Que dois-je faire ?

Merci beaucoup

Linou
Configuration: Windows XP

47 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le fil traite d'un démarrage bloqué sous Windows XP avec une erreur mémoire et un arrêt système initié par AUTORITE NT\SYSTEM, suivi d'infections par SpySheriff et d'autres composants malveillants. Plusieurs recommandations portent sur un démarrage en mode sans échec et l'utilisation d'outils spécialisés comme SmitFraudFix pour nettoyer les clés et fichiers infectés, puis nettoyage des éléments douteux et du registre. Des alternatives incluent une restauration système avant l'apparition des symptômes, la suppression sélective de fichiers non critiques et l'éventuelle désinfection complète après redémarrage en mode normal. D'autres analyses évoquent aussi un éventuel problème matériel, comme une barrette mémoire défectueuse, ce qui peut nécessiter un diagnostic hardware après les nettoyages logiciels.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Christian* Messages postés 4874 Statut Membre 2 433
     
    essai de le supprimer en moe sans échecs
    0
  2. Linou
     
    Je peux supprimer sans problème les fichiers .dll? Pas de risque de supprimer des fichiers utilisés par Windows?

    Merci
    0
  3. Christian* Messages postés 4874 Statut Membre 2 433
     
    tu peux les mettre dans la corbeille et si il y a un bleme restaure les
    0
  4. linou
     
    Entre temps, j'ai fait tourner bitdefender online et il me met qu'il ne sait pas effacer Generic.PWStealer.5093C6A5

    Comment faire? Et comment être sure que mon pc ne contient rien d'autre comme spy ware?

    Merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Christian* Messages postés 4874 Statut Membre 2 433
     
    telecharge ad-aware il est tres efficace
    0
  7. linou
     
    J'ai mis le fichier infecté dans la crobeille et redémarrer mais j'ai tojours le meme problème. A quoi va servir ad aware?
    0
  8. linou
     
    J'ai fait tourner ad-aware et il a détecté des infectés. Que dois-je faire?
    0
  9. Christian* Messages postés 4874 Statut Membre 2 433
     
    tu peux les supprimer car ad-aware met les objets en quarantaine et si il y a un bleme apres cette suppréssion tu peux les restaurer
    0
  10. linou
     
    Ok, j'ai supprimé les fichiers détectés mais lorsque j'essaye de redémarrer le problème n'est pas résolu.

    Est-ce que les logiciels du style à Jijack This ne permettent pas de faire un diagnostic du problème?
    0
  11. Christian* Messages postés 4874 Statut Membre 2 433
     
    pour ton bleme je ne vois pas.
    ca peut aussi etre une barette de memoire déffectueuse..
    tente néanmoins une restauration du systeme
    0
  12. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    salut

    Télécharge ceci: (merci a S!RI pour ce programme).
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.
    ----------------------------------------------------------------------------
    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

    a+
    0
  13. linou
     
    Voici le rapport (je suis déjà en mode sans echec; pas moyen de démarrer autement)

    SmitFraudFix v2.81

    Rapport fait à 17:51:31,75, 25/08/2006
    Executé à partir de C:\Program Files\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Etudes-hv\Application Data

    C:\Documents and Settings\Etudes-hv\Application Data\Install.dat PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ETUDES~1\FAVORIS

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  14. linou
     
    Voici le deuxième rapport

    SmitFraudFix v2.81

    Rapport fait à 17:57:46,43, 25/08/2006
    Executé à partir de C:\Program Files\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\Documents and Settings\Etudes-hv\Application Data\Install.dat supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  15. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    salut

    quand tu demarre en sans echec, il se passe quoi?

    a+
    0
  16. linou
     
    J'arrive à aller sur internet mais l'antivirus ne fonctionne pas
    0
  17. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    télécharge HijackThis ici:
    http://telechargement.zebulon.fr/138-hijackthis-1991.html

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage

    A+
    0
  18. linou
     
    Voici

    Logfile of HijackThis v1.99.1
    Scan saved at 15:09:56, on 26/08/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    C:\Acer\eManager\anbmServ.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\fxssvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\YAHOO!\COMMON\unyt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
    O4 - HKLM\..\Run: [LaunchApp] Alaunch
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
    O16 - DPF: {1F831FA7-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Program Files\AutoCAD LT 2002 Fra\InstFred.ocx
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/...
    O16 - DPF: {AE563727-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD LT 2002 Fra\InstBanr.ocx
    O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp05.photoprintit.de/microsite/30/defaults/activex/IPSUploader.cab
    O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Gestion d'AcPreview) - file://C:\Program Files\AutoCAD LT 2002 Fra\AcPreview.ocx
    O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = CDHICT
    O17 - HKLM\Software\..\Telephony: DomainName = CDHICT
    O17 - HKLM\System\CCS\Services\Tcpip\..\{71459A49-9519-409A-B91A-7EA1CFA62876}: NameServer = 192.168.1.44,195.238.2.21,195.238.2.22
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = CDHICT
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = CDHICT
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = CDHICT
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - C:\Program Files\Fichiers communs\Acronis\Agent\agent.exe
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Remote Administrator Service (r_server) - Unknown owner - c:\windows\system\r_server.exe" /service (file missing)
    O23 - Service: WinMcq - Unknown owner - \\?\C:\Program Files\Fichiers communs\System\com1.exe (file missing)

    Merci

    Linou
    0
  19. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    salut

    Rend toi sur ce site :
    http://www.virustotal.com/xhtml/virustotal_en.html
    Clik sur parcourir
    Recherche ceci :
    C:\Program Files\Fichiers communs\System\com1.exe
    Clik send et colle le rapport stp

    A+
    0
  20. linou
     
    Voilà

    STATUS: FINISHEDComplete scanning result of "com1", received in VirusTotal at 08.26.2006, 15:46:16 (CET).

    Antivirus Version Update Result
    AntiVir n - no virus found
    Authentium n - no virus found
    Avast n - no virus found
    AVG n - no virus found
    BitDefender n - no virus found
    CAT-QuickHeal n - no virus found
    ClamAV n - no virus found
    DrWeb n - no virus found
    eTrust-InoculateIT n - no virus found
    eTrust-Vet n - no virus found
    Ewido n - no virus found
    Fortinet n - no virus found
    F-Prot n - no virus found
    F-Prot4 n - no virus found
    Ikarus n - no virus found
    Kaspersky n - no virus found
    McAfee n - no virus found
    Microsoft n - no virus found
    NOD32v2 n - no virus found
    Norman n - no virus found
    Panda n - no virus found
    Sophos n - no virus found
    Symantec n - no virus found
    TheHacker n - no virus found
    UNA n - no virus found
    VBA32 n - no virus found
    VirusBuster n - no virus found

    Aditional Information
    File size: 0 bytes
    MD5: d41d8cd98f00b204e9800998ecf8427e
    SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
    packers: embedded

    A+

    Linou
    0
  21. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Scan ton pc avec ewido et copie colle le rapport.

    a+
    0
  • 1
  • 2
  • 3