Win32/RpcDcom.gen pid 2084 AU SECOURS Fermé

Question

Bonjour, 

J'ai récupéré une saleté sur mon ordi qui bien sur ne s'en va pas par simple  formatage. J'ai des messages qui s'affiche en permanence, de faux messages de faille critique à réparer en téléchargeant un truc louche sur un site encore plus louche !

Lorsque j'utilise le scan de microsoft en ligne, il me détecte un problème grave impossible à supprimer : 
Exploit : Win32/RpcDcom.gen
pid: 2084

J'ai fait un scan avec stinger, qui ne détecte rien du tout...

Le résultat du scan HIJACKTHIS est le suivant : 

Logfile of HijackThis v1.99.1
Scan saved at 03:49:44, on 24/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Support.com\bin	gcmd.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\Eset
od32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svcchosst.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\Support.com\bin	gcmd.exe" /server
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [StorageGuard] "c:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [Service Update] C:\WINDOWS\System32\alggg.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [msvccc66] svcchosst.exe
O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [Service Update] C:\WINDOWS\System32\alggg.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE

Ca fait des heures que j'essaye de supprimer ce truc, qui a l'air d'etre un reboot en plus, impossible d'avoir sa peau ni avec microsoft scan, ni avec l'antivirus nod 32, j'en suis à 2 formatages consécutifs, et 3 autres problèmes suprimés par le scan de windows !!!!!! 

En résumé : je suis dépassée, et j'ai vraiment besoin d'aide !!

Merci d'avance pour vos conseils !

Elo

foxgir · Answer

bonjour tu as pensé aux rootkit? va sur ce site: http://foxspm.ifrance.com page programme et telecharge avg  anti rootkit . rogue  remover peu t aider aussi.salut

Elolilipop · Answer

Par acquis de conscience j'ai pris connaissance de la méthode préliminaire de desinfection en ligne avec tout ce qu'il faut faire et poster : j'ai fait tourner CCleaner jusqu'à ce qu'il ne trouve plus du tout d'erreurs. 

Je ne peux pas utiliser AVG parce que le logiciel ne supporte pas XP pro 64bit (ma version xp quoi). Donc impossible de poster un rapport...

j'ai fait un scan Bitdefender, voici le rapport :

BitDefender Online Scanner
  
  
 
Scan report generated at: Thu, May 24, 2007 - 05:22:57
 
 
  
  
 
Scan path: C:\;D:\;E:\;
  
  
 
 
  
  
 
Statistics
 
Time
 00:27:14
 
Files
 238290
 
Folders
 1665
 
Boot Sectors
 3
 
Archives
 8738
 
Packed Files
 16929
 
  
  
 
Results
 
Identified Viruses 
 1
 
Infected Files 
 5
 
Suspect Files 
 0
 
Warnings
 0
 
Disinfected
 0
 
Deleted Files
 5
 
  
  
 
Engines Info
 
Virus Definitions
 508126
 
Engine build
 AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)
 
Scan plugins
 14
 
Archive plugins
 38
 
Unpack plugins
 6
 
E-mail plugins
 6
 
System plugins
 1
 
  
  
 
Scan Settings
 
First Action
 Disinfect
 
Second Action
 Delete
 
Heuristics
 Yes
 
Enable Warnings
 Yes
 
Scanned Extensions
 *;
 
Exclude Extensions
  
 
Scan Emails
 Yes
 
Scan Archives
 Yes
 
Scan Packed
 Yes
 
Scan Files
 Yes
 
Scan Boot
 Yes
 
  
  
 
  Scanned File
  Status
 
C:\System Volume Information\_restore{885FCFDA-B4A3-4CC2-B355-E8F0CDB1EF7E}\RP1\A0002488.exe
 Infected with: Backdoor.Rbot.XBO
 
C:\System Volume Information\_restore{885FCFDA-B4A3-4CC2-B355-E8F0CDB1EF7E}\RP1\A0002488.exe
 Disinfection failed
 
C:\System Volume Information\_restore{885FCFDA-B4A3-4CC2-B355-E8F0CDB1EF7E}\RP1\A0002488.exe
 Deleted
 
C:\System Volume Information\_restore{885FCFDA-B4A3-4CC2-B355-E8F0CDB1EF7E}\RP1\A0003510.exe
 Infected with: Backdoor.Rbot.XBO
 
C:\System Volume Information\_restore{885FCFDA-B4A3-4CC2-B355-E8F0CDB1EF7E}\RP1\A0003510.exe
 Disinfection failed
 
C:\System Volume Information\_restore{885FCFDA-B4A3-4CC2-B355-E8F0CDB1EF7E}\RP1\A0003510.exe
 Deleted
 
C:\WINDOWS\system32\alggg.exe
 Infected with: Backdoor.Rbot.XBO
 
C:\WINDOWS\system32\alggg.exe
 Disinfection failed
 
C:\WINDOWS\system32\alggg.exe
 Deleted
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RYNP2WLM\amcik[1].exe
 Infected with: Backdoor.Rbot.XBO
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RYNP2WLM\amcik[1].exe
 Disinfection failed
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RYNP2WLM\amcik[1].exe
 Deleted
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RYNP2WLM\amcik[2].exe
 Infected with: Backdoor.Rbot.XBO
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RYNP2WLM\amcik[2].exe
 Disinfection failed
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RYNP2WLM\amcik[2].exe
 Deleted
 
 
et enfin le rapport hijack this

Logfile of HijackThis v1.99.1
Scan saved at 05:26:30, on 24/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Support.com\bin	gcmd.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\Eset
od32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svcchosst.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\Support.com\bin	gcmd.exe" /server
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [StorageGuard] "c:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [Service Update] C:\WINDOWS\System32\alggg.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [msvccc66] svcchosst.exe
O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [Service Update] C:\WINDOWS\System32\alggg.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE

Voila, merci d'avance pour votre aide !

Elo

Lyonnais92 · Answer

Bonjour,

pour suivre.
@+

foxgir · Answer

tu peu faire confiance a ncleanerpour en le ver des dosssiers inutiles(si ça bug pas lol) . a tu essayer d enlever manuellement tes problemes puisque tu connais le  oul les  nom de prog qui t embettent?:demarrer ,rechercher,tous les fichiers et dossiers.....
sinon la commande scannow?

Elolilipop · Answer

Ouh là, je m'y connait un peu en informatique mais seulement un peu... 
Je ne sais pas exactement quels sont les fichiers/programmes qui m'embetent en fait, sinon j'aurais déjà essayé de les supprimer manuellement... Si jamais tu sais, je veux bien la liste (j'ai trouvé un fichier piggen, mais NOD32 me dit qu'il est pas infecté)... Et le souci aussi c'est que je n'arrive plus à supprimer les programmes ni manuellement ni par le panneau de configuration (j'ai deux antivirus en ce moment, NOD32 et AVAST et impossible d'en enlever un...)

Je vais faire la manip avec ncleaner et supprimer les fichiers du registre qu'il liste (je suppose que j'enregistre le registre après ça?). Et voir si ca fonctionne mais j'ai des doutes, cette saleté est coriace...

Elolilipop · Answer

Bon alors, les entrées registres sont supprimés, mais j'ai du mal à nettoyer le système : il y a 6 fichiers que le logiciel ncleaner ne peut pas supprimer et que je n'arrive pas a supprimer manuellement non plus... Y'a-t-il un moyen de supprimer ces 6 fichiers récalcitrant manuellement? Si oui lequel et comment on fait dans la pratique? 

Ensuite à chaque fois que j'essaye d'ouvrir deux programmes en même temps mon ordinateur s'éteint d'un coup avant de redémarrer... Et a chaque redémarrage, ncleaner trouve de nouveaux fichiers à supprimer, alors qu'ils auraient du être supprimés déjà par le précédent... (Je suis sure que cette m.... est un reboot...)

Et je connais pas non plus la commande "scannow"... 

Donc j'ai besoin d'une aide step by step à ce stade, c'est vraiment au delà de mes capacités !!!!

foxgir · Answer

Backdoor.Rbot.XBO c est un virus chinois....pas de chance.bon pour enpecher  ton ordi de rebooter quant il y a un probleme fait: demarrer,clique droit sur poste de travail,proprieté,avancé,parametre de demarrage et recuperation et decoche redemarrer automatiquement.
ensuite redemarre ton pc et quant il boot appuye sur  f8 et choisie mode sans echec;essaye de suprimer tes 2 antivirus . qui ne te servent a rien avec ce genre de virus .tu en mettra un autre gratuit a l essa

Lyonnais92 · Answer

Bonsoir,

tu n'as pas de parefeu. Ouvre ce lien et télécharge et configure kerio (gratuit même après la période d'essai)
http://kerio.probb.fr/Systemesd-exploitation-c1/Logiciels-et-tutoriels-gratuits-tries-par-categorie-f6/Tutoriel-pour-Kerio-4-version-gratuite-t201.htm

relance Hijackthis, choisis do a scan only.

Coche la case devant les lignes :
O4 - HKLM\..\Run: [msvccc66] svcchosst.exe
  
 O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe 

Ferme toutes les autres fenêtres actives (en particulier ton navigateur).

Clique sur Fix checked. ferme Hijackthis.

Démarre en mode sans échec et supprime (via l'explorateur Windows) C:\WINDOWS\System32\svcchosst.exe.

vide aussi le dossier C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RYNP2WLM

Si tu ne peux pas démarrer en mode sans échec, essaye en mode normal.

redémarre en mode normal.

essaye de nouveau de supprimer un des 2 anti virus.

Reposte un log Hijackthis.
@+

Elolilipop · Answer

ok, merci pour tout

J'ai fait tout qui est écrit, j'ai installé un pare feu, par contre impossible de supprimer C:\WINDOWS\System32\svcchosst.exe. 
L'application n'apparait pas (c'est svchost) et elle ne peut etre supprimée en mode sans échec ou normal.

Pour le dossier C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\RYNP2WLM , il est déjà vide (j'ai affiché les dossiers et fichier cachés).

Voici le dernier log hijack this : 

Logfile of HijackThis v1.99.1
Scan saved at 18:31:36, on 25/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32undll32.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Support.com\bin	gcmd.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\Program Files\VERITAS Software\Update Manager\sgtray.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\WINDOWS\System32\Tilecomgm.com
C:\Program Files\Eset
od32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\Support.com\bin	gcmd.exe" /server
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [StorageGuard] "c:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [PC Tilecomgm] Tilecomgm.com
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [PC Tilecomgm] Tilecomgm.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

J'attend la suite... 
Elo

Lyonnais92 · Answer

Bonjour,

c'est toi qui a installé ça 
[PC Tilecomgm] Tilecomgm.com  ?

si la réponse est non, fait ça :

recherche le nom complet par la fonction rechercher de windows
puis, Rends toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html

Clique sur parcourir et cherche le fichier  xxxxx\Tilecomgm.com  

Clique sur send.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

=====================
Où en sont tes soucis ?
@+

foxgir · Answer

as tu reussis a enlever tes anti virus en mode sans echec?

foxgir · Answer

as tu reussis a enlever tes anti virus ?

foxgir · Answer

as  tu toujours ton probleme?

nod 32 et un tres bon antivirus

conseil: ne desinstal pas svshost.exe c une connerie.

Elolilipop · Answer

bon alors reprenons :j'ai réussi a désinstaller les deux anti virus, mais j'ai remis nod 32 parce que ce virus téléchargeais des trojans régulierement et que nod32 les detectait... 
pour svchost, de toute facon, meme si je voulais  je pourrais pas l'enlever

Sinon pour l'instant je n'ai plus de fenetres pop up mais des fois j'en ai pas pendant longtemps avant que ça revienne. 

Et je n'arrive pas a trouver ce truc : pc tilecomgm.com, j'ai cherché les fichiers et dossiers cachés, et meme a l'interieur des fichiers... Le seul truc que l'ordi me sort c'est le rapport hijack this posté plus haut!

Lyonnais92 · Answer

Bonsoir,

je travaille comme un saligaud. La réponse est dans le log Hijackthis, au début : C:\WINDOWS\System32\Tilecomgm.com

Conserve l'affichage des fichiers et dossiers cachés.

Fais la maneuvre avec Virustotal sur ce fichier.

Poste le rapport.
@+

foxgir · Answer

nod 32 les detectais mais ne l enlevais pas n est ce pas ? au lieu de t avanturer dans des experimentations hazardeuses je te conseille de telecharger le meilleur antivirus au monde gratuit pendant un mois . il y a de forte chance pour qu il regle ton blem...
https://www.01net.com/telecharger/ 
reinstal nod 32 par la suite si tu veut

Elolilipop · Answer

en effet nod 32 detectait les trojans mais ne pouvait pas enlever le virus a la racine, mais le garder me permetait d'empecher que ça empire (c'est deja assez moche comme ça !)

Donc tu me conseil de télécharger ton antivirus et de le faire tourner pour qu'il détecte le pb???

En tout cas, toujours pas de fenetres pop up ! je croise les doigts !!!

Elolilipop · Answer

par contre je trouve ma connexion lente, et mon ordi met bien 5 minutes entieres à s'éteindre... c bizarre

foxgir · Answer

c est probablement parce que tu as installé un firewall
mais chaque chose en sont temps .
d abord le spyware.

Elolilipop · Answer

OK MERCI pour l'astuce !!!

Visiblement l'antivirus a trouve ce tilecomgm que je ne vois pas dans l'explorateur... Infecté par trojan.downloader.2791 !!!

J'ai cliqué sur désinfecté, et là je fais tourner une analyse appronfondie, je donne les résultats quand c'est fini !! 

Est-ce que je refais un scan hijack this a la fin???

Elolilipop · Answer

Bon alors l'antivirus a desinfecté un autre fichier infecté par le meme trojan et en a detecté un peut etre infecté mais il ne m'a pas proposer d'action, et du coup je sais pas ce qu'il en a fait... 

Sinon au redemarrage, apres l'installation de l'antivirus, le pare feu a bloqué des applications bizarres... 

Voici le dernier log : 
Logfile of HijackThis v1.99.1
Scan saved at 23:33:56, on 25/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\PROGRA~1\DrWeb\SpiderNT.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32undll32.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Support.com\bin	gcmd.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\Program Files\VERITAS Software\Update Manager\sgtray.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\Program Files\DrWeb\spiderml.exe
C:\Program Files\DrWeb\DRWEBSCD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\Support.com\bin	gcmd.exe" /server
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [StorageGuard] "c:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [DrWebScheduler] C:\Program Files\DrWeb\DRWEBSCD.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe

Je fais quoi maintenant?

Elolilipop · Answer

bon ben en fait ça va pas ! 

J'ai essayé de mettre a jour mon ordi... Tout se passait bien jusqu'à la deuxième mise à jour, au rédemarrage mon ordi m'affichait un vieil ecran bleu, j'ai du redémarrer en mode sans échec et faire une restauration du système pour que ça "s'arrange"

Et là j'en ai MARRE !!!! 

Je fais quoi? Je formate une troisième fois?

Elolilipop · Answer

ah oui et pour info : l'antivirus a détecté quatre autre fichiers infectés, que j'ai supprimés parce qu'impossible a nettoyer...

Lyonnais92 · Answer

Bonjour,

1) Tu télécharges AVG anti-spyware (gratuit même après la période d'essai) ici :

http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw

Tu enregistres le fichier dans un dossier.

A la fin du téléchargement, tu ouvres le dossier et tu doubles click sur avgas-setup-7.5.0.47.exe Tu suis les instructions.

Si on te demande de redémarrer ton ordinateur, tu le fais.

Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.

La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état", tu choisis inactif pour le bouclier résident.

Sur la page "mise à jour", tu coches les cases sur les mises à jour automatiques et tu fais une mise à jour manuelle (commencer la mise à jour). Tu redémarres l'ordinateur si nécessaire.
Sur la page "analyse", tu choisis d'abord l'onglet "paramètres". Tu coches "générer un rapport après chaque analyse" et "uniquement en cas de menaces". Tu choisis aussi l'option "quarantaine" pour "comment réagir", 'définir l'action par défaut ...'
Tu choisis l'onglet analyser, nouvelle analyse, analyse complète du système.
Aa fin de l'analyse, tu cliques sur "action", "appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre. 
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.

2) Fais le point 3 de ce lien et poste le rapport.

3) remets un log Hijackthis.

@+

foxgir · Answer

tu doit surement devoir remettre tes fichiers en etat. 
pour cela: insert ton cd  d installation  windows .
puis tu clique sur:
  demarrer,   executer,  tape "cmd" , puis dans la fenetre noire tape     sfc  /scannow  .

foxgir · Answer

un peu moin complet  que le scannow il y a le check disk
demarrer,  executer, tape cmd,puis tape chkdsk /f    
valide  par  o 
redemarre l ordi.
a+

Lyonnais92 · Answer

Re,

à défaut, Tu télécharges Spybot search & destroy ici :spybot
Tuto ici : http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm  (merci balltrap34)

Tu le configures, tu le mets à jour, tu l'exécutes et tu détruis tout ce qu'il trouve.

Tu vaccinnes tout 

Mets le rapport de ce qu'il a trouvé si tu peux.

Fais un scan complet avec ton antivirus et poste le rapport.

@+

antipolis · Answer

Ca peut aider:

Probleme:
======
  Voir Tilecomgm.com avec Poste de Travail

Ce que l'on sait:
==========
  D'apres le log de Hijackthis, Tilecomgm.com se situe sous C:\WINDOWS\system32

Verif1: (www.virustotal.com)
====
  Chargez Tilecomgm.com sur http://www.virustotal.com/xhtml/virustotal_en.html

astuce:
 Cliquez sur "Parcourrir..." puis ecrivez le chemin complet dans le champ "Nom du fichier"
 ex: Nom du fichier:    C:\WINDOWS\system32\Tilecomgm.com

Le fichier existe donc bien!

Merci a Lyonnais9.

Verif2: (DOS)
====
  + Ouvrez une fenetre DOS
      (Demarrer -> Executer... -> cmd)
      (ou double cliquez sur C:\WINDOWS\system32\cmd.exe)

  + Tapez: cd C:\WINDOWS\system32

  + Puis tapez: dir /A:HSR
     Donne la liste des fichiers caches (Hide) sytemes (System) qui sont en lecture seule (Read only)

Vous obtenez parmi cette liste, Tilecomgm.com

cmd /? pour l'aide ;)

Solutions:
======
  + Ouvrez un Poste de travail

  + Cliquez sur Outils -> Options des dossiers...

  + Cliquez sur l'onglet "Affichage"

  + Cochez "Afficher les fichiers et dossiers cachés"

  + Décochez "Masquer les fichiers protégés du système d'exploitation (recommandé)

  + OK

Voila maintenant vous pourrez voir Tilecomgm.com avec un Poste de travail.

Autre:

Démarrer -> executer...
tape regedit
Edition -> Rechercher -> Tilecomgm.com

Cela peut donner des informations sur le chemin d'acces a Tilecomgm.com.

Bon courage pour le reste.
Merci pour vos precedentes recherches, je viens d'etre infecte aussi par Tilecomgm.com et je ne l'aurai jamais trouve sans vous.
Pensez a verifier les processus qui tournent sur votre machine avec un simple Ctrl+Alt+Supr -> Onglet processus  et vous verrez tourner Tilecomgm.com. Ensuite faite clique droit dessus et terminer le processus. Attention il se relancera au reboot du PC!

Ciao! :)

Win32/RpcDcom.gen pid 2084 AU SECOURS

28 réponses

Discussions similaires