Un rootkit bloque le pad de mon ordi portable

Résolu
papseudo Messages postés 85 Date d'inscription   Statut Membre -  
 Utilisateur anonyme -
Bonjour à tous
J'ai récemment attrapé le virus diffusé par msn "lol quelqu'un a mis ta photo ici" (et oui comme un gentil benet j'ai cliqué sur le lien). J'ai réussi à m'en débarasser avec force avast mais il y a un rootkit également attrapé à cette occasion nommé quelque chose du genre ^^^^^^.exe. Je n'ai pas réussi à l'enlever malgré AVG anti rootkit.
Pour l'instant il n'avait aucun effet mais depuis quelques jours il bloque le pad faisant office de souris, ce qui entraine évidemment quelques désagréments ^^.
Lorsque mon ordi démarre, le pad marche parfaitement mais lorsque mon bureau apparait, une fenetre cmd s'ouvre avec le nom du rootkit, le programme s'éxecute et mon pad se désactive. Je peux aller le réactiver en allant dans le panneau de configuration, ceci dit j'aimerais bien avoir à éviter de faire cette manipulation à chaque démarrage.
Avez vous une solution qui permettrait de me débarrasser de cette saleté?
Merci d'avance
Configuration: Windows XP
Opera 9.25

9 réponses

  1. Utilisateur anonyme
     
    coche ca

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\^^^^^.exe

    O2 - BHO: (no name) - {374493E6-7470-0DA0-0210-2900B8C8889F} - C:\WINDOWS\system32\gewwd.dll (file missing)

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd

    O4 - HKCU\..\Run: [nvcoi] C:\Program Files\nvcoi\nvcoi.exe

    O4 - HKCU..Run: [JavaCore] C:Program Files\JavaCore\JavaCore.exe

    O4 - HKCU\..\Run: [WinTouch] C:\Documents and Settings\Andy\Application Data\WinTouch\WinTouch.exe

    O4 - HKCU\..\Run: [SfKg6w] C:\Documents and Settings\Andy\Application Data\Microsoft\Windows\tidqers.exe

    O4 - HKCU\..\Run: [Acmw] "C:\WINDOWS\system32\ICROSO~1.NET\csrss.exe" -vt yazb

    O4 - HKCU\..\Run: [Eyucnkk] C:\WINDOWS\F?nts\w?nword.exe

    Puis clique FIX en bas

    redémarre et dis moi si cest bon
    1
  2. Utilisateur anonyme
     
    lu

    GOOGLe -> NAVILOG

    A+
    0
  3. papseudo
     
    Bonjour,
    merci bien, mon pad arrête de bloquer du coup.
    Mais par contre la fenetre cmd s'ouvre toujours, c'est possible de s'en débarasser?
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. papseudo
     
    Logfile of HijackThis v1.99.1
    Scan saved at 19:47:58, on 02/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ATK0100\HControl.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ASUS\ASUS Live Update\ALU.exe
    C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
    C:\Program Files\ASUS\NB Probe\NBProbe.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
    C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
    C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\Opera\Opera.exe
    C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\Andy\LOCALS~1\Temp\Rar$EX00.875\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.asus.com/fr/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-cache.ujf-grenoble.fr:3128
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\^^^^^.exe
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\YETISP~1\IEBUTT~1.DLL
    O2 - BHO: (no name) - {374493E6-7470-0DA0-0210-2900B8C8889F} - C:\WINDOWS\system32\gewwd.dll (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
    O4 - HKLM\..\Run: [NB Probe] C:\Program Files\ASUS\NB Probe\NBProbe.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd
    O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Flash Media] C:\WINDOWS\system32\^^^^^.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [nvcoi] C:\Program Files\nvcoi\nvcoi.exe
    O4 - HKCU\..\Run: [JavaCore] C:\Program Files\\JavaCore\\JavaCore.exe
    O4 - HKCU\..\Run: [WinTouch] C:\Documents and Settings\Andy\Application Data\WinTouch\WinTouch.exe
    O4 - HKCU\..\Run: [SfKg6w] C:\Documents and Settings\Andy\Application Data\Microsoft\Windows\tidqers.exe
    O4 - HKCU\..\Run: [Acmw] "C:\WINDOWS\system32\ICROSO~1.NET\csrss.exe" -vt yazb
    O4 - HKCU\..\Run: [Eyucnkk] C:\WINDOWS\F?nts\w?nword.exe
    O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
    O4 - Global Startup: ASUS ChkMail.lnk = C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
    O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
    O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7DEC1914-8197-4F25-AFC7-9793242AB7BD}: Domain = u-grenoble3.fr
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7DEC1914-8197-4F25-AFC7-9793242AB7BD}: NameServer = 195.220.241.1,195.220.242.1
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = u-grenoble3.fr
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = u-grenoble3.fr
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
    0
  6. papseudo
     
    Ah en lisant le message j'ai trouvé le nom de cette saleté : ^^^^^.exe
    Comment je peux faire?
    0
  7. papseudo
     
    Heu je me demande un truc
    Hijackthis le principe c'est que ça dégage les logiciels sélectionnés de mon boot?
    0
    1. Utilisateur anonyme
       
      oui c'est cela.

      ce que je t'ai cité son des programmes plus que louche
      0
  8. papseudo
     
    Hé bien ça m'a tout l'air d'avoir marché ya plus de fenetre cmd qui s'ouvre.
    Merci beaucoup!!!
    0
  9. Utilisateur anonyme
     
    Ok,

    tu devrais scanner ton pc avec AVG antispyware

    Mais sinon c'est bon . Met la discution en résolu stp, en haut

    A+
    0