j'ai attrapé un rotkit d'apres avast Résolu/Fermé

Question

Bonjour, 

Tiotre assez explicite, j'ai attrapé ce virus, donc pour faciliter la tacher à nos experts du fofo, j'ai fait un scan hijackthis qui est le suivant:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:26:29, on 07/12/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\avastUI.exe
C:\program files\real\realplayer\update\realsched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Secunia\PSI\sua.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [TkBellExe] "C:\program files\real\realplayer\update\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - Unknown owner - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe (file missing)
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Secunia PSI Agent - Secunia - C:\Program Files\Secunia\PSI\PSIA.exe
O23 - Service: Secunia Update Agent - Secunia - C:\Program Files\Secunia\PSI\sua.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

loumax91 · Answer

Bonjour

Hijackthis est un peu dépassé sur ce coup !
Peux-tu utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

funkalme · Answer

bonjour, désolé du retard à cause du boulot, voilà le scan zhp qui est le suivant:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111208_d8j12w12y7e6


Merci et @ bientot.

funkalme · Answer

Bonjour,   

J'ai pas trouvé le rapport mais j'ai fait une capture d'ecran des virus trouvés.  


https://imageshack.com/

@BIENTOT et merci d'avance

loumax91 · Answer

Bonjour

Certainement des faux positifs d'Avast :)
ProcessLogger :
https://forum.avast.com/index.php?topic=85042.0
Pour le second : l'application KillApp C:\HP\BIN\EndProcess.exe, sert généralement pour la restauration d'usine du pc de marque Hewlett-Packard

Pour continuer, fais ceci :
Ce script va cibler certains éléments à supprimer :

* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Copie/colle la totalité du rapport dans ta prochaine réponse

Une fois fait, redémarre l'ordinateur et poste le rapport stp ;)

funkalme · Answer

Bonjour, voici le rapport:

Rapport de ZHPFix 1.12.3374 par Nicolas Coolman, Update du 05/12/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-10-12-2011-08-15-17.txt
Run by Compaq_Propriétaire at 10/12/2011 08:15:17
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Searchqu MediaBar
CREE CTFDisabled

========== Valeur(s) du Registre ==========
ABSENT RunValue: KernelFaultCheck
ABSENT RunValue: TkBellExe
ABSENT RunValue: ctfmon.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
SUPPRIME Flash Cookies: 0
SUPPRIME Temporaires Windows: : 17

========== Fichier(s) ==========
SUPPRIME Reboot c:\documents and settings\all users\menu démarrer\programmes\multi-channel sound manager.lnk
ABSENT File: c:\sqmdata06.sqm
ABSENT File: c:\sqmnoopt06.sqm
ABSENT File: c:\sqmdata05.sqm
ABSENT File: c:\sqmnoopt05.sqm
ABSENT File: c:\sqmdata04.sqm
ABSENT File: c:\sqmnoopt04.sqm
ABSENT File: c:\sqmdata03.sqm
ABSENT File: c:\sqmnoopt03.sqm
SUPPRIME Flash Cookies: 0
SUPPRIME Temporaires Windows: : 71


========== Récapitulatif ==========
2 : Clé(s) du Registre
4 : Valeur(s) du Registre
2 : Dossier(s)
11 : Fichier(s)


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 10/12/2011 08:14:10 [1589]
C:\ZHP\ZHPFix[R2].txt - 10/12/2011 08:15:17 [1518]

Merci et à bientot.

funkalme · Answer

Oui il va arriver.

funkalme · Answer

Ci dessous:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111210_j5x11f14u15m9


Merci beaucoup. @+

loumax91 · Answer

Bon, ZHPFix n'a pas fonctionné !

* Télécharge OTM (de OldTimer) sur ton Bureau
* Double-clique sur OTM.exe afin de le lancer. 
* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
-----------------------------
:Reg
[-HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Searchqu MediaBar]
-----------------------------
* Clique sur MoveIt! puis ferme OTM. 
* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. 
* Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles 
Le nom du rapport correspond au moment de sa création : date_heure.log


Ensuite :
*Double-clicque sur HijackThis pour le lancer - Dans le cas de Windows Vista/Seven, faites un clic droit puis Executer en tant qu'administrateur pour le lancer
*Cliquez sur Do a scan and save log file.
*Cochez les lignes suivantes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)     
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll     
O4 - HKLM\..\Run: [TkBellExe] "C:\program files\real\realplayer\update\realsched.exe" -osboot     
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe     
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     

Si tu veux désactiver msn pour pas qu'il se lance inutilement au démarrage de Windows, rajoute la ligne ci-dessous : 
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background  

    *Une fois toutes les lignes cochées, cliquer en bas sur Fix Checked
    *Redémarrez l'ordinateur


Mises à jour : 

*Panneau de configuration > ajout/suppression de programmes
-Désinstaller les versions de Java
-Si tu n'y arrive pas, utilise ce programme : JavRa
-Télécharge la nouvelle version de Java 6 Update 29 ICI. 

*Pour sécuriser tes navigateurs, installe ces deux extensions : 
-Adblock plus > Firefox > Chrome
-Wot > Firefox > Chrome 

-Vérifier si tu dispose de la dernière version d'Adobe Reader 10.1.1 ICI
Avant installation : désinstaller l'ancienne version "Adobe Reader"  

-Logiciels de protection :
Garde un antivirus (Avast5 dans ton cas, si tu veux passer à la version 6 :https://www.avast.com/fr-fr/download-thank-you.php?src=http://files.avast.com/iavs5x/setup_av_free.exe&product=FA-AVAST&page=fr-fr/download-software&locale=fr-fr&avast=0 En complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. 

*Lire ceci : L'importance de maintenir à jour son PC 

J'attends le rapport OTM et refais une analyse Diag pour contrôle :)

funkalme · Answer

Bonjour, , merci pour tous ces renseignement, pour java je l'ai desactivé volontairement parce qu'il ralentissait mon ordinateur? C4EST LA MEME CHOSE POUR wot, adblock que j'ai desactivé pour cause de lenteur. 

Sinon, j'ai effectué la consigne pour otm mais je n'ai pas trouvé le doc meme avec la fonction recherche. 



Par contre j'ai le rapport diag: 

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111213_y5n12t1311z15 



Merci beaucoup. 

@bientot.

loumax91 · Answer

Tu peux aller à la racine de C: et supprimer ça > C:\sqmdata08.sqm (14 au total finissent tous par : sqm )

Peux-tu passer cet outil, après nous finaliserons ;)

* Télécharge AD-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report.log )

funkalme · Answer

Bonjour, pour les fichiers sqmdata, dois je les supprimer tous?

le rapport est le suivant:. 

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 ======= 

Mis à jour par TeamXscript le 12/04/11 
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com 
Site web: http://www.teamxscript.org 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 07:25:27 le 14/12/2011, Mode normal 

Microsoft Windows XP Édition familiale Service Pack 3 (X86)  
Compaq_Propriétaire@NOM-47D5A5B94AD ( )  
  
============== ACTION(S) ============== 



(!) -- Fichiers temporaires supprimés. 


Clé supprimée: HKLM\Software\iAvatars.com 


============== SCAN ADDITIONNEL ============== 

**** Mozilla Firefox Version [8.0 (fr)] **** 

Searchplugins\bing.xml (    hxxp://www.bing.com/search) 
Components\browsercomps.dll (Mozilla Foundation) 
Extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} (Skype extension) 

-- C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\FireFox\Profiles\lc69ujsz.default -- 
Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}(2) (NoScript) 
Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}(2) (DownloadHelper) 
Prefs.js - browser.search.defaultenginename, Web Search 
Prefs.js - browser.search.selectedEngine, Google 
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/firefox 
Prefs.js - browser.startup.homepage_override.buildID, 20111104165243 
Prefs.js - browser.startup.homepage_override.mstone, rv:8.0 

======================================== 

**** Internet Explorer Version [8.0.6001.18702] **** 

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896 
HKCU_Main|Start Page - hxxp://fr.msn.com/ 
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896 
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm 
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
HKLM_Main|Start Page - hxxp://fr.msn.com/ 
HKCU_Toolbar\ShellBrowser|{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} (x) 
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?) 

======================================== 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s) 
C:\Program Files\Ad-Remover\Backup: 12 Fichier(s) 

C:\Ad-Report-CLEAN[1].txt - 14/12/2011 07:25:33 (498 Octet(s))  

Fin à: 07:26:28, 14/12/2011  
  


============== E.O.F ==============  


@+ merci

loumax91 · Answer

Bonjour

Nous allons utiliser un autre outil de diagnostic.

* Télécharge OTL sur ton Bureau.
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
* Sous Personnalisation, copie-colle ce script :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32drivers\*.sys /lockedfiles
%systemroot%\System32config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop

* Coche la case "tous les utilisateurs" puis clique sur le bouton "Analyse"
* Patiente pendant l'analyse jusqu'à l'apparition des deux rapports OTL.txt et Extras.txt
* Rends toi sur ce site, clique sur "Parcourir" et sélectionne le rapport de OTL. Copie/colle le lien fourni dans ta prochaine réponse sur le forum

funkalme · Answer

Bonjour voici les rapports otl:

extras:

http://pjjoint.malekal.com/files.php?id=20111214_k13g7d6y5v11

et otl:

http://pjjoint.malekal.com/files.php?id=20111214_m6j9h9c5h9

loumax91 · Answer

Ok, fais ce qui suit :

Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.

* Télécharge ComboFix (de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
* Ne touche à rien pendant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

funkalme · Answer

Bonjour, combo n'a apparemment pas marché malgré le scan mais il m'affichait plusieurs fois ce message que j'ai capturé concernant des erreurs, ce qui a fait qu'il n'a pas redemarré normalement et je n'ai meme pas trouvé de rapport (pourtant j'ai desactivé tous les antivirus donc ce n'est pas le probleme).

Le message qu'il m'affichait plusieurs fois est de ce style là:

http://imageshack.us/f/215/sanstitre2bh.jpg/


Je me demande bien pourquoi.

Merci à bientot.

loumax91 · Answer

Essaies en renommant Combofix : Winlogon.exe

S'il ne fonctionne toujours pas :
Télécharger load_tdsskiller de Loup Blanc sur le Bureau
Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

   * Lancer load_tdsskiller en double-cliquant dessus :
    l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
    *Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
    *Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
    (le fichier est également présent ici : C:	dsskillereport.txt)
    *Redémarrer le PC

funkalme · Answer

Re, ca fonctionne enfin grace à votre methode, j'ai reussi à avoir un rapport qui est le suivant: 

ComboFix 11-12-13.03 - Compaq_Propriétaire 15/12/2011   9:59.1.1 - x86 
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.959.390 [GMT 1:00] 
Lancé depuis: c:\documents and settings\Compaq_PropriÚtaire\Bureau\ComboFix.exe 
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D} 
. 
. 
((((((((((((((((((((((((((((((((((((   Autres suppressions   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
. 
c:\documents and settings\Administrateur\WINDOWS 
c:\documents and settings\Default User\WINDOWS 
c:\windows\system32\_004211_.tmp.dll 
c:\windows\system32\_004212_.tmp.dll 
c:\windows\system32\_004213_.tmp.dll 
c:\windows\system32\_004214_.tmp.dll 
c:\windows\system32\_004219_.tmp.dll 
c:\windows\system32\_004220_.tmp.dll 
c:\windows\system32\_004221_.tmp.dll 
c:\windows\system32\_004222_.tmp.dll 
c:\windows\system32\_004223_.tmp.dll 
c:\windows\system32\_004224_.tmp.dll 
c:\windows\system32\_004225_.tmp.dll 
c:\windows\system32\_004226_.tmp.dll 
c:\windows\system32\_004227_.tmp.dll 
c:\windows\system32\_004229_.tmp.dll 
c:\windows\system32\_004230_.tmp.dll 
c:\windows\system32\_004232_.tmp.dll 
c:\windows\system32\_004233_.tmp.dll 
c:\windows\system32\_004234_.tmp.dll 
c:\windows\system32\_004236_.tmp.dll 
c:\windows\system32\_004238_.tmp.dll 
c:\windows\system32\_004239_.tmp.dll 
c:\windows\system32\_004240_.tmp.dll 
c:\windows\system32\_004243_.tmp.dll 
c:\windows\system32\_004244_.tmp.dll 
c:\windows\system32\_004245_.tmp.dll 
c:\windows\system32\_004246_.tmp.dll 
c:\windows\system32\_004247_.tmp.dll 
c:\windows\system32\_004248_.tmp.dll 
c:\windows\system32\_004250_.tmp.dll 
c:\windows\system32\_004251_.tmp.dll 
c:\windows\system32\_004252_.tmp.dll 
c:\windows\system32\_004253_.tmp.dll 
c:\windows\system32\_004254_.tmp.dll 
c:\windows\system32\_004255_.tmp.dll 
c:\windows\system32\_004256_.tmp.dll 
c:\windows\system32\_004258_.tmp.dll 
c:\windows\system32\_004259_.tmp.dll 
c:\windows\system32\_004260_.tmp.dll 
c:\windows\system32\_004261_.tmp.dll 
c:\windows\system32\_004262_.tmp.dll 
c:\windows\system32\_004264_.tmp.dll 
c:\windows\system32\_004265_.tmp.dll 
c:\windows\system32\_004267_.tmp.dll 
c:\windows\system32\_004268_.tmp.dll 
c:\windows\system32\_004269_.tmp.dll 
c:\windows\system32\_004270_.tmp.dll 
c:\windows\system32\_004271_.tmp.dll 
c:\windows\system32\_004272_.tmp.dll 
c:\windows\system32\_004273_.tmp.dll 
c:\windows\system32\_004274_.tmp.dll 
c:\windows\system32\_004276_.tmp.dll 
c:\windows\system32\_004278_.tmp.dll 
c:\windows\system32\_004279_.tmp.dll 
c:\windows\system32\_004280_.tmp.dll 
c:\windows\system32\_004281_.tmp.dll 
c:\windows\system32\_004282_.tmp.dll 
c:\windows\system32\_004283_.tmp.dll 
c:\windows\system32\_004284_.tmp.dll 
c:\windows\system32\_004286_.tmp.dll 
c:\windows\system32\_004287_.tmp.dll 
c:\windows\system32\_004290_.tmp.dll 
c:\windows\system32\_004291_.tmp.dll 
c:\windows\system32\_004292_.tmp.dll 
c:\windows\system32\_004293_.tmp.dll 
c:\windows\system32\_004294_.tmp.dll 
c:\windows\system32\_004295_.tmp.dll 
c:\windows\system32\_004297_.tmp.dll 
c:\windows\system32\_004298_.tmp.dll 
c:\windows\system32\_004299_.tmp.dll 
c:\windows\system32\_004300_.tmp.dll 
c:\windows\system32\_004301_.tmp.dll 
c:\windows\system32\_004304_.tmp.dll 
c:\windows\system32\_004306_.tmp.dll 
c:\windows\system32\_004307_.tmp.dll 
c:\windows\system32\_004308_.tmp.dll 
c:\windows\system32\_004309_.tmp.dll 
c:\windows\system32\_004310_.tmp.dll 
c:\windows\system32\_004311_.tmp.dll 
c:\windows\system32\_004312_.tmp.dll 
c:\windows\system32\_004313_.tmp.dll 
c:\windows\system32\_004314_.tmp.dll 
c:\windows\system32\_004315_.tmp.dll 
c:\windows\system32\_004316_.tmp.dll 
c:\windows\system32\_004317_.tmp.dll 
c:\windows\system32\_004320_.tmp.dll 
c:\windows\system32\_004321_.tmp.dll 
c:\windows\system32\_004322_.tmp.dll 
c:\windows\system32\_004323_.tmp.dll 
c:\windows\system32\_004324_.tmp.dll 
c:\windows\system32\_004325_.tmp.dll 
c:\windows\system32\_004326_.tmp.dll 
c:\windows\system32\_004327_.tmp.dll 
c:\windows\system32\_004328_.tmp.dll 
c:\windows\system32\_004329_.tmp.dll 
c:\windows\system32\_004330_.tmp.dll 
c:\windows\system32\_004335_.tmp.dll 
c:\windows\system32\_004337_.tmp.dll 
c:\windows\system32\config\systemprofile\WINDOWS 
c:\windows\system32\ps2.bat 
. 
. 
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   ))))))))))))))))))))))))))))))))))))))))))))))))) 
. 
. 
-------\Legacy_USNJSVC 
-------\Service_usnjsvc 
. 
. 
(((((((((((((((((((((((((((((   Fichiers créés du 2011-11-15 au 2011-12-15  )))))))))))))))))))))))))))))))))))) 
. 
. 
2011-12-14 06:25 . 2011-12-14 06:25 -------- d-----w- c:\program files\Ad-Remover 
2011-12-08 07:14 . 2011-12-13 09:59 -------- d-----w- C:\ZHP 
. 
. 
. 
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
2011-11-23 14:40 . 2011-01-02 19:38 1859712 ----a-w- c:\windows\system32\win32k.sys 
2011-11-04 19:13 . 2004-01-02 05:39 916992 ----a-w- c:\windows\system32\wininet.dll 
2011-11-04 19:13 . 2004-01-02 05:39 43520 ----a-w- c:\windows\system32\licmgr10.dll 
2011-11-04 19:13 . 2004-01-02 05:39 1469440 ----a-w- c:\windows\system32\inetcpl.cpl 
2011-11-04 11:24 . 2004-01-02 05:39 385024 ----a-w- c:\windows\system32\html.iec 
2011-11-01 16:07 . 2004-01-02 05:39 1288192 ----a-w- c:\windows\system32\ole32.dll 
2011-10-28 05:31 . 2011-01-02 19:38 33280 ----a-w- c:\windows\system32\csrsrv.dll 
2011-10-26 10:50 . 2011-01-02 19:38 2194816 ----a-w- c:\windows\system32
toskrnl.exe 
2011-10-26 10:50 . 2011-01-02 19:38 2071424 ----a-w- c:\windows\system32
tkrnlpa.exe 
2011-10-18 15:23 . 2011-08-29 19:39 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 
2011-10-18 11:13 . 2004-01-02 05:39 186880 ----a-w- c:\windows\system32\encdec.dll 
2011-10-10 14:23 . 2004-01-01 21:49 692736 ----a-w- c:\windows\system32\inetcomm.dll 
2011-10-03 03:06 . 2010-12-27 20:28 472808 ----a-w- c:\windows\system32\deployJava1.dll 
2011-10-03 00:37 . 2011-02-23 10:44 73728 ----a-w- c:\windows\system32\javacpl.cpl 
2011-09-28 07:06 . 2004-01-02 05:38 606208 ----a-w- c:\windows\system32\crypt32.dll 
2011-09-26 09:41 . 2008-07-29 18:59 614400 ----a-w- c:\windows\system32\uiautomationcore.dll 
2011-09-26 09:41 . 2004-09-13 18:30 22528 ----a-w- c:\windows\system32\oleaccrc.dll 
2011-09-26 09:41 . 2004-09-13 18:30 220160 ----a-w- c:\windows\system32\oleacc.dll 
2011-11-10 09:18 . 2011-10-11 06:42 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll 
. 
. 
(((((((((((((((((((((((((((((((((   Points de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
. 
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés  
REGEDIT4 
. 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast] 
@="{472083B0-C522-11CF-8763-00608CC02F24}" 
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}] 
2011-09-06 20:45 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll 
. 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"avast"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-09-06 3722416] 
. 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] 
@="Driver" 
. 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] 
"%windir%\system32\sessmgr.exe"= 
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= 
"c:\Program Files\Windows Live\Messenger\livecall.exe"= 
"%windir%\Network Diagnostic\xpnetdiag.exe"= 
"c:\Program Files\Java\jre6\bin\java.exe"= 
"c:\Program Files\Java\jre6\bin\javaw.exe"= 
"c:\Program Files\SopCast\adv\SopAdver.exe"= 
"c:\Program Files\SopCast\SopCast.exe"= 
"c:\Program Files\Skype\Phone\Skype.exe"= 
"c:\Program Files\Opera\opera.exe"= 
. 
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [03/05/2011 18:17 442200] 
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [02/01/2011 22:32 320856] 
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [02/01/2011 22:32 20568] 
R2 Secunia Update Agent;Secunia Update Agent;c:\program files\Secunia\PSI\sua.exe [21/12/2010 13:04 399416] 
S3 GenericMount;Generic Mount Driver;c:\windows\system32\DRIVERS\GenericMount.sys --> c:\windows\system32\DRIVERS\GenericMount.sys [?] 
S3 McComponentHostService;McAfee Security Scan Component Host Service;"c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe" --> c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [?] 
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [01/09/2010 09:30 15544] 
S3 Secunia PSI Agent;Secunia PSI Agent;c:\program files\Secunia\PSI\psia.exe [21/12/2010 13:04 987704] 
. 
Contenu du dossier 'Tâches planifiées' 
. 
2011-12-12 c:\windows\Tasks\AppleSoftwareUpdate.job 
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 
. 
. 
------- Examen supplémentaire ------- 
. 
uInternet Connection Wizard,ShellNext = iexplore 
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 
TCP: DhcpNameServer = 192.168.1.1 
FF - ProfilePath - c:\documents and settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\lc69ujsz.default\ 
FF - prefs.js: browser.search.selectedEngine - Google 
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/firefox 
. 
. 
************************************************************************** 
. 
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net 
Rootkit scan 2011-12-15 10:12 
Windows 5.1.2600 Service Pack 3 NTFS 
. 
Recherche de processus cachés ...  
. 
Recherche d'éléments en démarrage automatique cachés ...  
. 
Recherche de fichiers cachés ...  
. 
. 
C:\## aswSnx private storage 
. 
Scan terminé avec succès 
Fichiers cachés: 1 
. 
************************************************************************** 
. 
--------------------- CLES DE REGISTRE BLOQUEES --------------------- 
. 
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*] 
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" 
. 
--------------------- DLLs chargées dans les processus actifs --------------------- 
. 
- - - - - - - > 'explorer.exe'(2068) 
c:\windows\system32\eappprxy.dll 
c:\windows\system32\webcheck.dll 
. 
------------------------ Autres processus actifs ------------------------ 
. 
c:\program files\Alwil Software\Avast5\AvastSvc.exe 
c:\program files\Java\jre6\bin\jqs.exe 
c:\windows\system32\wscntfy.exe 
. 
************************************************************************** 
. 
Heure de fin: 2011-12-15  10:17:20 - La machine a redémarré 
ComboFix-quarantined-files.txt  2011-12-15 09:17 
. 
Avant-CF: 32 744 652 800 octets libres 
Après-CF: 32 801 390 592 octets libres 
. 
- - End Of File - - 5FE11435416FA26011B1EC82518288E7

funkalme · Answer

Bonjour rien à signaler il va tres bien, merci beaucoup, je peux donc cloturer?

loumax91 · Answer

"je peux donc cloturer?" 
Nous finalisons et tu pourras passer en [Résolu] ;) 
Suis bien ces dernières instructions : 


1) Optimisation :  

*Lance Ccleaner (présent sur le PC). Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.  

* Télécharge Defraggler. Installe le puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".  

2) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau --> Lance le et clique sur Suppression --> quand il aura terminé, clique sur Désinstallation. 
Pour t'aider  

3) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel.  

4) Prévention : 
Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet 

6) Précautions : 
Je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...) 
Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre. 

Bonne lecture et bon courage, n'hésite pas à poser des questions en cas de besoin ;)  


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

J'ai attrapé un rotkit d'apres avast

19 réponses

Discussions similaires