Virus Infecté par rootkit, trojan.......

Résolu
warrior35 Messages postés 8 Statut Membre -  
philae83 Messages postés 12854 Statut Contributeur sécurité -
Bonjour a tous !
Je me suis apperçu il y a quelque jours qu'un compte "adminestrator" avec mot de passe s'était créé dans les comptes d'utilisateurs. Malgré mes tentatives pour le virer en le supprimant dans ce même compte il revient sans cesse.
Je suis également infesté par trojans et rootkits.
Norton bloque l'intrusion du trojan Infostealer BHTTP activity et supprime Hacktool. rootkit.
J'ai fait un scan avc Kaspersky et il a détecté 2 généric Rootkit.a
Je ne sais pas quoi faire, quelqu'un pourrait-il m'aider a me débarrasser de tout ça.
Merci d'avance
Configuration: Windows XP
Internet Explorer 7.0

10 réponses

  1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    * Télécharge HijackThis et poste le rapport stp

    http://pchelpbordeaux.free.fr/logiciels.html
    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html
    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
    1. warrior35 Messages postés 8 Statut Membre
       
      bonsoir Philae83,
      Je te remercie par avance pour l'aide que tu voudras m'apporter.
      Voici le rapport
      Logfile of HijackThis v1.99.1
      Scan saved at 20:50:12, on 03/04/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16414)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
      C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
      C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      C:\WINDOWS\system32\spoolsv.exe
      c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
      C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
      C:\WINDOWS\eHome\ehRecvr.exe
      C:\WINDOWS\eHome\ehSched.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\dllhost.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Acer\Empowering Technology\eNet\eNMTray.exe
      C:\WINDOWS\9129837.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
      C:\WINDOWS\system32\wbem\unsecapp.exe
      C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
      C:\WINDOWS\system32\igfxsrvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
      O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
      O2 - BHO: IEHlprObj Class - {F62A47A7-4CA3-9D00-95A3-6724d43a9E8C} - LineAudio.dll (file missing)
      O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [ImageItEncrypt] C:\WINDOWS\system32\ImageItEncrypt.exe
      O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [eNMTray.exe] C:\Acer\Empowering Technology\eNet\eNMTray.exe
      O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O11 - Options group: [INTERNATIONAL] International*
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
      O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4997/mcfscan.cab
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
      O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
      O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
      O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
      O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
      O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
      O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
      O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
      O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
      O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
      O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      0
  2. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir,

    y une petite bête qui traîne

    * Télécharge CCleaner.

    https://www.pcastuces.com/logitheque/ccleaner.htm

    Installe le dans un répertoire dédié.

    Décoche pendant l'installation

    --- les deux cases "Ajouter l'option ... "

    --- Contrôler les mises à jour

    --- Ajouter la Barre d'Outils Yahoo! CCleaner

    * Lance Ccleaner pour un nettoyage complet.

    ------

    * télécharge AVG Anti-Spyware (ewido)

    https://www.avg.com/en-ww/free-antivirus-download

    * tu l'installes

    * lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

    puis

    Lance AVG Anti-Spyware

    Clique sur le bouton Analyse (de la barre d'outils)

    puis fait dans l'ordre stp. Tu sauvegardes le rapport APRES avoir mis les actions.

    Puis sur l'onglet Paramètres,
    sous : "Comment réagir "clique sur Actions recommandées. Sélectionne Quarantaine.

    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

    A la fin du scan, choisis l'option 3

    "Appliquer toutes les actions " en bas.

    Clique sur "Enregistrer le rapport".

    Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    Poste le.

    reposte ensuite un nouveau rapport hijackthis stp

    0
  3. warrior35 Messages postés 8 Statut Membre
     
    bonjour Philae83

    Voici les rapports

    rapport enegistré avant la quarantaine

    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 16:04:39 04/04/2007

    + Résultat de l'analyse:

    HKLM\SOFTWARE\Classes\CLSID\{F62A47A7-4CA3-9D00-95A3-6724d43a9E8C} -> Adware.Generic : Ignoré.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F62A47A7-4CA3-9D00-95A3-6724d43a9E8C} -> Adware.Generic : Ignoré.
    HKU\S-1-5-21-1806843097-582315926-2977064259-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F62A47A7-4CA3-9D00-95A3-6724D43A9E8C} -> Adware.Generic : Ignoré.
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP4\A0001195.sys -> Rootkit.Agent.ef : Ignoré.
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP4\A0001208.sys -> Rootkit.Agent.ef : Ignoré.

    Fin du rapport

    Rapport après la mise en quarantaine

    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 16:25:03 04/04/2007

    + Résultat de l'analyse:

    HKLM\SOFTWARE\Classes\CLSID\{F62A47A7-4CA3-9D00-95A3-6724d43a9E8C} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F62A47A7-4CA3-9D00-95A3-6724d43a9E8C} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
    HKU\S-1-5-21-1806843097-582315926-2977064259-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F62A47A7-4CA3-9D00-95A3-6724D43A9E8C} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP4\A0001195.sys -> Rootkit.Agent.ef : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP4\A0001208.sys -> Rootkit.Agent.ef : Nettoyé et sauvegardé (mise en quarantaine).

    Fin du rapport

    Et voici le rapport hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 16:27:53, on 04/04/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Acer\Empowering Technology\eNet\eNMTray.exe
    C:\WINDOWS\9129837.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
    C:\WINDOWS\system32\wbem\unsecapp.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [ImageItEncrypt] C:\WINDOWS\system32\ImageItEncrypt.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [eNMTray.exe] C:\Acer\Empowering Technology\eNet\eNMTray.exe
    O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4997/mcfscan.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    0
  4. warrior35 Messages postés 8 Statut Membre
     
    encore moi.

    je viens de redémarrer 2 fois le pc et malheureusement le compte "adminestrator" est toujours présent a l'ouverture de la session.
    De plus Norton antivirus m'indique dès l'ouverture de windows qu'il a détecté et supprimé un virus dans l'ordinateur.
    Nom de l'objet : C:/WINDOWS/new_drv.sys
    Nom du virus : Hacktool.rootkit

    j'ai besoin de ton aide
    Help me, please
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir,

    avec un peu de retard on continue

    * lance hijackthis pour un "scan seulement" puis coche ces lignes :

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4997/mcfscan.cab
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

    * ferme toutes les applications ouvertes y compris Internet Explorer et clique sur "fixer objet"

    puis

    * Assure toi d'avoir accès à tous les fichiers

    -démarrer

    -poste de travail ou autre dossier

    -menu outils

    -options de dossier

    -onglet affichage

    puis

    - activer la case : Afficher les fichiers et dossiers cachés

    - désactiver la case : Masquer les extensions des fichiers dont le type est connu

    - désactiver la case : Masquer les fichier protégés du système d'exploitation

    Puis - Appliquer

    * et Supprime le(s) fichier(s) ci dessous si il(s) est (sont) présent(s) :

    C:\WINDOWS\9129837.exe

    * Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir. Retourne à la fenêtre Paramètres de dossiers et sélectionne Ne pas afficher les fichiers cachés ou les fichiers système

    reposte un nouveau rapport hijackthis stp

    0
    1. warrior35 Messages postés 8 Statut Membre
       
      Bonjour;

      J'ai fait ce que tu as demandé et supprimé

      C:\WINDOWS\9129837.exe

      il y a une autre application semblable dans le dossier
      c:/windows/preftech
      9129837.exe-096BDC96.pf


      merci encore pour ton aide précieuse

      Voici le rapport hijackthis

      Logfile of HijackThis v1.99.1
      Scan saved at 07:45:32, on 05/04/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16414)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
      C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
      C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      C:\WINDOWS\system32\spoolsv.exe
      c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
      C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
      C:\WINDOWS\eHome\ehRecvr.exe
      C:\WINDOWS\eHome\ehSched.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Acer\Empowering Technology\eNet\eNMTray.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
      C:\WINDOWS\system32\dllhost.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\WINDOWS\system32\wbem\unsecapp.exe
      C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\igfxsrvc.exe
      C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
      O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
      O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
      O4 - HKLM\..\Run: [ImageItEncrypt] C:\WINDOWS\system32\ImageItEncrypt.exe
      O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [eNMTray.exe] C:\Acer\Empowering Technology\eNet\eNMTray.exe
      O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
      O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
      O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
      O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
      O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
      O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
      O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
      O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
      O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
      O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      0
  7. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    il y a une autre application semblable dans le dossier
    c:/windows/preftech
    9129837.exe-096BDC96.pf 


    supprime également.

    * fait un scan antivirus en ligne stp

    https://www.bitdefender.fr/
    et copie colle le résultat ici
    * En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    * Dans la nouvelle fenêtre, clique sur I agree
    * La fenêtre change encore, clique sur Click here to scan
    * Les signatures se chargent, etc.

    tuto en image

    http://pageperso.aol.fr/rginformatique/mapage/defender.htm

    0
  8. warrior35 Messages postés 8 Statut Membre
     
    Bonsoir Philae83,
    Avant de poster le rapport bitdefender, je tiens a te remercier pour le temps que tu m'accorde. Et merci pour ton aide si precieuse.

    Le rapport :

    BitDefender Online Scanner
    Rapport d'analyse généré à: Thu, Apr 05, 2007 - 20:22:37

    Voie d'analyse: C:\;D:\;E:\;

    Statistiques
    Temps 00:29:12
    Fichiers 262045
    Directoires 4359
    Secteurs de boot 4
    Archives 7950
    Paquets programmes 25204

    Résultats
    Virus identifiés 3
    Fichiers infectés 31
    Fichiers suspects 0
    Avertissements 0
    Désinfectés 0
    Fichiers effacés 59

    Info sur les moteurs
    Définition virus 417630
    Version des moteurs AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)
    Analyse des plugins 14
    Archive des plugins 38
    Unpack des plugins 6
    E-mail plugins 6
    Système plugins 1

    Paramètres d'analyse
    Première action Désinfecté
    Seconde Action Supprimé
    Heuristique Oui
    Acceptez les avertissements Oui
    Extensions analysées *;
    Excludez les extensions
    Analyse d'emails Oui
    Analyse des Archives Oui
    Analyser paquets programmes Oui
    Analyse des fichiers Oui
    Analyse de boot Oui

    Fichier analysé Statut
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\07E15FE9.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\07E15FE9.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\07E15FE9.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\0CE12A68.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\0CE12A68.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\0CE12A68.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\10082CF1.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\10082CF1.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\10082CF1.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\517F5CE6.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\517F5CE6.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\517F5CE6.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\54461DD7.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\54461DD7.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\54461DD7.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\061A3B02.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\061A3B02.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\061A3B02.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\26CF3F04.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\26CF3F04.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\26CF3F04.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\69FB6918.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\69FB6918.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\69FB6918.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\6F434F49.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\6F434F49.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\6F434F49.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\793A6652.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\793A6652.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\793A6652.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\13EC2AF0.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\13EC2AF0.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\13EC2AF0.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\5E686E67.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\5E686E67.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\5E686E67.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\70D76C1E.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\70D76C1E.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\70D76C1E.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\528261C7.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\528261C7.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\528261C7.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\32451666.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\32451666.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\32451666.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3FFE4E26.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3FFE4E26.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3FFE4E26.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\528F6049.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\528F6049.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\528F6049.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\170270F6.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\170270F6.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\170270F6.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1E3005EA.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1E3005EA.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1E3005EA.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\343B6DA8.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\343B6DA8.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\343B6DA8.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\365D5150.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\365D5150.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\365D5150.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\66537C88.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\66537C88.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\66537C88.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\198A7A2C.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\198A7A2C.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\198A7A2C.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1EC96267.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1EC96267.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1EC96267.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\232C4D92.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\232C4D92.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\232C4D92.sys=>(Quarantine-2) Supprimé
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\2AFB2CFB.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\2AFB2CFB.sys=>(Quarantine-2) Echec de la désinfection
    C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\2AFB2CFB.sys=>(Quarantine-2) Supprimé
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP4\A0001214.exe Infecté par: Trojan.Ransom.A
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP4\A0001214.exe Echec de la désinfection
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP4\A0001214.exe Supprimé
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP5\A0001694.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP5\A0001694.sys=>(Quarantine-2) Echec de la désinfection
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP5\A0001694.sys=>(Quarantine-2) Supprimé
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP5\A0001709.sys=>(Quarantine-2) Infecté par: Trojan.Rootkit.AP
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP5\A0001709.sys=>(Quarantine-2) Echec de la désinfection
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP5\A0001709.sys=>(Quarantine-2) Supprimé
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP5\A0001739.EXE Infecté par: Trojan.PWS.Pinch.A
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP5\A0001739.EXE Echec de la désinfection
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP5\A0001739.EXE Supprimé
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP5\A0001740.exe Infecté par: Trojan.PWS.Pinch.A
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP5\A0001740.exe Echec de la désinfection
    C:\System Volume Information\_restore{7D0A09CF-FCEC-40B1-949D-E158943906CC}\RP5\A0001740.exe Supprimé
    0
  9. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    Avant de poster le rapport bitdefender, je tiens a te remercier pour le temps que tu m'accorde. Et merci pour ton aide si precieuse. 


    de rien c'est avec plaisir

    pour le rapport, tout est dans la quarantaine de norton-------vide la
    et dans ta restauration système.
    Avant de s'en occuper, j'aimerai savoir où tu en es de tes soucis initiaux. Le pc comment se comporte t il ?

    0
    1. warrior35 Messages postés 8 Statut Membre
       
      Bonjour,
      Merci pour ta patience

      Le compte adminestrator ne reapparait pas.Son compte a l'air réglé.
      Quand au comportement du PC, tout me semble normal.
      0
  10. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    donc maintenant on peut conclure

    pour repartir sur une restauration propre, il faut :

    * démarrer-----------panneau de configuration------------système----------
    onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------
    redémarre l'ordinateur
    réactive la ensuite

    * Pour améliorer la sécurité de ton PC prend quelques instants pour lire

    CECI

    * Dénonce ton infection pour faire condamner les auteurs.
    Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :

    - Voir les règles du forum : https://malwarecomplaints.info/
    - Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
    Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
    Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

    Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
    La tienne = ******

    ---> https://malwarecomplaints.info/

    Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
    conforme au règle du forum (age, ville, département etc..)

    Indique aussi le nom du Forum qui t'a aidé, <grad>CommentCaMarche</gras>

    * met ton sujet en RESOLU stp, merci.
    0
    1. warrior35 Messages postés 8 Statut Membre
       
      Bonsoir Philae83,
      Je veux par ce dernier post te remercier pour l'aide que tu m'as apporté. Sinceres remerciements.
      0
  11. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    merci et bon we de Pâques
    0