Rootkit, comme c'est original...

Question

Bonsoir.

Comme vous l'avez lu dans le titre, je suis bien malheureusement, et comme j'ai pu le lire, c'est assez courant ces temps ci, par un beau rootkit (c'est avast qui le dit pas moi).

Avast donc me dit ceci, que je suis infectée par un rootkit et me précise cela :  "C:\WINDOWS\system32\drivers\ATWPKT2.SYS"

J'ai tenté deux trucs, c'est à dire avg anti rootkit, et il ne m'a rien trouvé. Ah et Toolscleaner2 m'a semblé bien long à s'exécuter, donc je ne l'ai pas laissé terminer... 

Enfin, depuis, déjà que mon ordinateur était réticent à me connecter via wifi, cette fameuse connexion ne trouve rien de mieux que de sauter... et quand je la rétablis, elle ne s'affiche pas comme "connecté".

Un peu d'aide me serait fort utile... s'il vous plaît ?

Merci d'avance...

Gulrick · Answer

Bonsoir,
télécharge et installe spybot S&D et fais un scan c'est un peu long mais je pense qu'il devrait te le détecter
fais comme m^me attention a c e que tu supprime après car des fois il détecte des trucs sains!
_______________________________________________________________
Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif.

Lethalya · Answer

Euh certes mais... je sais comment moi s'il supprime le rootkit ou un truc sain ? Enfin j'veux bien, j'vais l'chercher sbybot S&D et j'colle le scan...

Et euh... hum... sans vouloir critiquer... on dit "fais quand même" x)

Vala, je supprime quoi ?

--- Search result list ---
Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Réglages (Modification du registre, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

BlueStreak: Cookie traceur (Internet Explorer: MJ) (Cookie, nothing done)
  

MediaPlex: Cookie traceur (Internet Explorer: MJ) (Cookie, nothing done)
  

DoubleClick: Cookie traceur (Internet Explorer: MJ) (Cookie, nothing done)
  

Adviva: Cookie traceur (Firefox: default) (Cookie, nothing done)
  

DoubleClick: Cookie traceur (Firefox: default) (Cookie, nothing done)
  

MediaPlex: Cookie traceur (Firefox: default) (Cookie, nothing done)
  

MediaPlex: Cookie traceur (Firefox: default) (Cookie, nothing done)
  

MediaPlex: Cookie traceur (Firefox: default) (Cookie, nothing done)
  

Tradedoubler: Cookie traceur (Firefox: default) (Cookie, nothing done)
  

Tradedoubler: Cookie traceur (Firefox: default) (Cookie, nothing done)
  

WebTrends live: Cookie traceur (Firefox: default) (Cookie, nothing done)

Lethalya · Answer

D'ailleurs, le rootkit est toujours là et rien n'a été arrangé x)

Lethalya · Answer

Bien, voilà : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35, on 2008-05-01
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\AOL\1165683036\ee\AOLSoftware.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Digital Imaging\bin\hposol08.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Safari\Safari.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\DOCUME~1\MJ\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1165683036\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [E07FDXRC_1745760] "C:\Program Files\Microsoft Encarta\Microsoft Encarta 2007 - Collection\EDICT.EXE" -m
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Lethalya · Answer

Ah bah, si tu n'as pas trop d'idées, merci quand même, y a t il des gens qui en auraient ?
Non parce qu'avast continue à m'avertir de sa présence, et ma connexion saute toujours autant...

Lethalya · Answer

Ils ont dit ça sur le site que tu m'as donné : 

Actions
Inscription
Genre
Cotation des visiteurs
Information
 
Logfile of Trend Micro HijackThis v2.0.2


Votre version semble être actuelle.
 
Platform: Windows XP SP2 (WinNT 5.01.2600)


 
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Votre version semble être actuelle.
  
Boot mode: Normal


Très sûr
Cet élément a été classé comme bonne par nos visiteurs.
  
C:\WINDOWS\System32\smss.exe


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\WINDOWS\system32\winlogon.exe


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\WINDOWS\system32\services.exe


Sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\WINDOWS\system32\lsass.exe


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\WINDOWS\system32\Ati2evxx.exe


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\WINDOWS\system32\svchost.exe


Sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\WINDOWS\System32\svchost.exe


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe


Très sûr

Part of Lavasoft Ad-Aware
  
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\Program Files\Alwil Software\Avast4\ashServ.exe


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\WINDOWS\system32\Ati2evxx.exe


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\WINDOWS\Explorer.EXE


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe


Très sûr

  
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe


Sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\WINDOWS\SOUNDMAN.EXE


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe


Très sûr

ATI Desktop Control Panel from ATI Technologies
  
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe


Très sûr

Java Runtime
  
C:\Apps\Powercinema\PCMService.exe


Sûr

Eventuellement méchant! Selon notre base de données, ce processus s’exécute normalement dans c:\programme\.*\! Vérifiez si vous connaissez ce processus et arrangez un contrôle antivirus si nécessaire. PowerCinema
  
C:\Program Files\Real\RealPlayer\RealPlay.exe


Neutral

  
C:\Program Files\HP Share-to-Web\hpgs2wnd.exe



Eventuellement méchant! Selon notre base de données, ce processus s’exécute normalement dans c:\programme\hewlett-packard\hp share-to-web\! Vérifiez si vous connaissez ce processus et arrangez un contrôle antivirus si nécessaire.
  
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe


Sûr

Eventuellement méchant! Selon notre base de données, ce processus s’exécute normalement dans c:\programme\alcatel\speedtouch usb\! Vérifiez si vous connaissez ce processus et arrangez un contrôle antivirus si nécessaire. Cet élément a été classé comme bonne par nos visiteurs.
  
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe


Sûr

AOL Agent
  
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\Program Files\Fichiers communs\AOL\1165683036\ee\AOLSoftware.exe



Comes with ICQ 6
  
C:\Program Files\QuickTime\QTTask.exe


Très sûr

Part of QuickTime
  
C:\Program Files\HP Share-to-Web\hpgs2wnf.exe



Eventuellement méchant! Selon notre base de données, ce processus s’exécute normalement dans c:\programme\hewlett-packard\hp share-to-web\! Vérifiez si vous connaissez ce processus et arrangez un contrôle antivirus si nécessaire.
  
C:\Program Files\iTunes\iTunesHelper.exe


Sûr
Non dangereux, mais tout de même superflu.
Apple iTunes
  
C:\WINDOWS\system32\ctfmon.exe


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe


Très sûr
Non dangereux, mais tout de même superflu.
Cet élément a été classé comme bonne par nos visiteurs.
  
C:\WINDOWS\system32\spoolsv.exe


Sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\Program Files\Digital Imaging\bin\hpobnz08.exe



Eventuellement méchant! Selon notre base de données, ce processus s’exécute normalement dans c:\programme\hewlett-packard\digital imaging\bin\! Vérifiez si vous connaissez ce processus et arrangez un contrôle antivirus si nécessaire.
  
C:\Program Files\Digital Imaging\bin\hposol08.exe



Eventuellement méchant! Selon notre base de données, ce processus s’exécute normalement dans c:\programme\hewlett-packard\digital imaging\bin\! Vérifiez si vous connaissez ce processus et arrangez un contrôle antivirus si nécessaire.
  
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe


Sûr

Eventuellement méchant! Selon notre base de données, ce processus s’exécute normalement dans c:\programme\gemeinsame dateien\aol\acs\! Vérifiez si vous connaissez ce processus et arrangez un contrôle antivirus si nécessaire. Part of AOL
  
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe


Sûr

Apple Mobile Device Support
  
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe


Très sûr

Machine Debug Manager. Used by developers.
  
C:\Program Files\Digital Imaging\bin\hpoevm08.exe



Eventuellement méchant! Selon notre base de données, ce processus s’exécute normalement dans c:\programme\hewlett-packard\digital imaging\bin\! Vérifiez si vous connaissez ce processus et arrangez un contrôle antivirus si nécessaire.
  
C:\WINDOWS\system32\slserv.exe


Sûr

User-Level Modem Service
  
C:\WINDOWS\system32\svchost.exe


Sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\WINDOWS\wanmpsvc.exe


Sûr

  
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe


Très sûr

Cet élément a été classé comme bonne par nos visiteurs.
  
C:\Program Files\Digital Imaging\Bin\hpoSTS08.exe



Eventuellement méchant! Selon notre base de données, ce processus s’exécute normalement dans c:\programme\hewlett-packard\digital imaging\bin\! Vérifiez si vous connaissez ce processus et arrangez un contrôle antivirus si nécessaire.
  
C:\Program Files\iPod\bin\iPodService.exe


Très sûr

  
C:\Program Files\Safari\Safari.exe


Très sûr
Fuzzy Algorithmcheck (4.33 / 5.00), Sûr
  
C:\Program Files\Windows Live\Messenger\usnsvc.exe


Sûr

Windows Live Messenger
  
C:\DOCUME~1\MJ\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe


Souvenez-vous que Hijackthis doit être exécuté dans son propre dossier. C'est seulement s'il est exécuté dans un dossier réservé, qu'il créera des sauvegardes! Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe
  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/


Ce site a été identifié comme étant non dangereux
  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl


Très sûr
Ce site a été identifié comme étant non dangereux
  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens


Très sûr
Ce site a été identifié comme étant non dangereux
  
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll


Très sûr
AcroIEhelper.ocx, AcroIEhelper.dll - Adobe Acrobat reader, http://www.adobe.com/products/acrobat/re adstep2.html
  
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll


SDhelper.dll - Spybot - Search & Destroy, http://spybot.eon.net.au/
  
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll


Sûr
SUN Java
  
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


Sûr

Inscription superflue (car sans effet) qui peut donc être effacée ! Cet élément a été classé comme bonne par nos visiteurs.
  
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll


Neutral
WindowsLiveLogin.dll - Microsoft Windows_Live, https://support.microsoft.com/en-us/windows/windows-essentials-2707b879-5004-4349-c4a4-e5900945f2a9
  
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll


toolbar.dll - AOL toolbar
  
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32


Sûr
Non dangereux, mais tout de même superflu. Cet élément a été classé comme bonne par nos visiteurs.
  
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC


Très sûr
Non dangereux, mais tout de même superflu. Part of Microsoft's Input Message Editor (IME) for translating Japanese/Chinese text in IE
  
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName


Sûr
Non dangereux, mais tout de même superflu. Part of Microsoft's Input Message Editor (IME) for translating Japanese/Chinese text in IE
  
O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe


Extremely nasty
Effacer à tout prix ! Variant of the RapidBlaster parasite (in an "Icon" folder in Program Files). It is not recommended you manually uninstall RapidBlaster but use RapidBlaster Killer - see here
  
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe


Très sûr
Synaptics touchpad driver helper. Required for touchpad features to work
  
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe


Sûr
  
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE


Sûr
Non dangereux, mais tout de même superflu. Cet élément a été classé comme bonne par nos visiteurs.
  
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"


Très sûr
Control panel for the ATI series of video cards allowing access to such features as display resolution, colour depth, etc. Available via Start -> Settings -> Control Panel -> Display. Some users may need it if they have optimised their settings
  
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"


Très sûr
Java von Sun
  
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"


Sûr
In a Dell\Media Experience sub-directory
  
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER


Non dangereux, mais tout de même superflu. System Tray icon for RealPlayer. If you subsequently start RealPlayer manually it adds itself back to the start-up list. You can stop this from happening by right-clicking on the tray icon and disabling StartCenter via Preferences
  
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\HP Share-to-Web\hpgs2wnd.exe


Non dangereux, mais tout de même superflu. "HPs exclusive Share-to-Web software makes it easy to share content with others through our affiliate Internet websites." In other words an application that allows users to upload scanned images to their personal webpages if desired. Available via Start -> Programs
  
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon


Très sûr
For an external Alcatel ADSL high-speed modem. A diagnostic tool and can be run from the Start menu when required. The only reason it might be useful on startup is if you like seeing an \'at-a-glance\' status indicator on the taskbar (the icon is a different colour depending on the status of the device/line)
  
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe


Sûr
Programme inconnu. Cet élément a été classé comme bonne par nos visiteurs.
  
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe


  
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe


Très sûr
Cet élément a été classé comme bonne par nos visiteurs.
  
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1165683036\ee\AOLSoftware.exe


Non dangereux, mais tout de même superflu. Quoted from AOL Beta Team
  
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime


Sûr
Non dangereux, mais tout de même superflu. QuickTime
  
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"


Sûr
Non dangereux, mais tout de même superflu.
  
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k


Sûr
Non dangereux, mais tout de même superflu. Cet élément a été classé comme bonne par nos visiteurs.
  
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe


Sûr
Cet élément a été classé comme bonne par nos visiteurs.
  
O4 - HKCU\..\Run: [E07FDXRC_1745760] "C:\Program Files\Microsoft Encarta\Microsoft Encarta 2007 - Collection\EDICT.EXE" -m


Fuzzy Algorithmcheck (4.16 / 5.00), Sûr
  
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe


Très sûr
Cet élément a été classé comme bonne par nos visiteurs.
  
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')


Très sûr
Office related
  
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')


Office related
  
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')


Très sûr
Office related
  
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')


Sûr
Office related
  
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Digital Imaging\bin\hpobnz08.exe


System Tray icon indicating when the printer is ready. Can be started manually with HP Director but takes time to start
  
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe


Sûr
Cet élément a été classé comme bonne par nos visiteurs.
  
O4 - Global Startup: officejet 6100.lnk = ?


Très sûr

Cette inscription est superflue est peut être effacée !
  
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML


Très sûr
Cet élément a été classé comme bonne par nos visiteurs.
  
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll


Très sûr
Cette inscription a été identifiée comme étant non dangereuse.
  
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll


Neutral
Cette inscription Console Java a été identifiée comme étant non dangereuse.
  
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll


Cette inscription AOL Toolbar a été identifiée comme étant non dangereuse.
  
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll


Cette inscription AOL Toolbar a été identifiée comme étant non dangereuse.
  
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll


Sûr
Cette inscription Real.com a été identifiée comme étant non dangereuse.
  
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll


Fuzzy Algorithmcheck (4.67 / 5.00), Sûr
  
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll


Fuzzy Algorithmcheck (4.67 / 5.00), Sûr
  
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


Très sûr
Cette inscription Messenger a été identifiée comme étant non dangereuse.
  
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


Sûr
Cet élément a été classé comme bonne par nos visiteurs.
  
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe


Très sûr
Ce service (aawservice.exe) a été identifié comme étant légitime.
  
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe


Ce service (AOLacsd.exe) a été identifié comme étant légitime.
  
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe


Ce service (AppleMobileDeviceService.exe) a été identifié comme étant légitime.
  
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe


Très sûr
Ce service (aswUpdSv.exe) a été identifié comme étant légitime.
  
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe


Sûr
Ce service (Ati2evxx.exe) a été identifié comme étant légitime. Cet élément a été classé comme bonne par nos visiteurs.
  
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe


Très sûr
Ce service (ashServ.exe) a été identifié comme étant légitime.
  
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe


Très sûr
Ce service (ashMaiSv.exe) a été identifié comme étant légitime.
  
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe


Très sûr
Ce service (ashWebSv.exe) a été identifié comme étant légitime. Cet élément a été classé comme bonne par nos visiteurs.
  
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe


Ce service (iPodService.exe) a été identifié comme étant légitime.
  
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe


Ce service (mysqld-max-nt.exe) a été identifié comme étant légitime.
  
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


Sûr
Ce service (HPZipm12.exe) a été identifié comme étant légitime. Cet élément a été classé comme bonne par nos visiteurs.
  
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)


Service inconnu. (PSEXESVC.EXE)
  
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


Ce service (slserv.exe) a été identifié comme étant légitime.
  
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe


Sûr
Ce service (wanmpsvc.exe) a été identifié comme étant légitime.

Lethalya · Answer

C'est fait... ça ne change rien... j'tente de virer aussi les "éventuellement méchant"

Lethalya · Answer

D'acc, mais pour le reste ? Parce que le rootkit est toujours là...

Gulrick · Answer

Tu peux essayer ceci c'est avg anti rootkit peut être t'aidera t-il! https://www.clubic.com/telecharger-fiche34515-avg-anti-rootkit.html
_______________________________________________________________
Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif.

Lethalya · Answer

J'ai déjà essayé avg anti rootkit, ça n'a rien détecté...

Gulrick · Answer

Bah j'ai trouvé celui ci apparemment plus efficace https://www.clubic.com/telecharger-fiche24143-sophos-anti-rootkit.html

Après j'y pense tu peux faire une analyse sur secuser.com il est plutot efficace!Mais après tes problème ne viennent peut-être pas du rootkit!
_______________________________________________________________
Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif.

Lethalya · Answer

Je vais voir, mais j'en doute, parce que tout fonctionnait jusque là...

Lethalya · Answer

Vala, ça n'a pas fonctionné.

Lethalya · Answer

Ben... si il me propose de le virer. Je le fais chaque fois. Et ça ne change absolument rien. Quant à le virer, des trucs localisés dans le system 32 j'évite d'y toucher...

Lethalya · Answer

Oui j'essayerai... merci de ton aide x)

Lethalya · Answer

Fait, ça n'a servi à rien, de plus, avast m'a fait une alerte Trojan hier soir... Enfin, j'ai déjà plus d'alertes rootkit, mais ma connexion saute toujours.

Lethalya · Answer

Ma connexion est du wi fi.
Ensuite, si j'ai essayé de le virer lorsqu'il y a eu l'alerte, mais je ne sais si cela a fonctionné... Après un scan d'avast au démarrage... j'en ai jamais vu un seul être efficace... Mais bref... Après un problème de ma box ou de mon routeur j'en doute, ça fait quelques temps que je m'en sers, et je n'ai jamais eu ces problèmes là, du moins avant le rootkit. C'est à partir de ce moment là que cela a commencé à me faire ça. Les coïncidences, je n'y crois pas.

Gulrick · Answer

Ah d'accord sinon tu peut essayer de restaurer encore antérieurement mais fais attention à tes fichiers importants la restauration est à utiliser avec précaution!
_______________________________________________________________
Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif.

Lethalya · Answer

Mh... en plus je viens d'apprendre de ma mère qui utilise l'ordi qu'il y avait eu un virus qu'elle a tenté d'extraire... sans succès je suppose. Bref, incapable de me dire lequel, je ne suis pas sûre qu'une restauration change quoi que ce soit... je crains même que ce soit inutile. Mais je vais tenter. On verra bien, je n'avais rien d'important là dessus de toutes façons.

Lethalya · Answer

Tentative de restauration faite et échouée : elle n'a fait que remettre certains trucs d'où provenait le rootkit qui a refait son apparition (j'ai de nouveau ôté ce fichier). Donc voilà.

Gulrick · Answer

Mince désolé!!! En ffait si je comprend bien il te rest "simplement" certains fichiers du rootkit non?Si c'est le cas n'est(il pas plus simple de trouver un logiciel de suppression de fichiers ou de démarrer en mode sans échec et de les supprimer manuellement? As tu essayer de vérifier les programmes au démarrages?si cela se trouve il en fait partis, pour cela soit tu utilise MSconfig, sinon tu peut aussi télécharger Ccleaner et dans outil voir les entrées du démarrage!
_______________________________________________________________
Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif.

Lethalya · Answer

Ben à vrai dire je ne sais pas trop. Après la restauration échouée (en partie), j'ai juste retrouvé les mauvais fichiers, ceux qui étaient apparemment infectés. Là ça ne me refait rien... sinon, ben j'ai juste ma connexion qui saute... et ce depuis le rootkit.

Lethalya · Answer

Je ne peux te faire de copié collé aussi voici un screen : http://img128.imageshack.us/img128/1182/ccleanerfe1.jpg

Gulrick · Answer

Aie, je connais des entrées que tu peux supprimer (dis le moi si sa t'intéresses!) mais aucune qui puisse sure être un rootkit a part une ou deux bizarres!mais va sur https://www.processlibrary.com/en/ et rentre dans les chemins d'accès les *.exe et voit ce que te dit le site! et dis moi ensuite stp

_______________________________________________________________
Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif.

Lethalya · Answer

Les entrées qu'on peut supprimer ? Ben oui je veux bien x)
Après, y'a certains caractères que je n'ai pas sur mon clavier, donc impossible de retaper les trucs. De plus, je ne peux pas faire de copié collé... donc ça m'oblige à tout taper un par un... Et pour le moment je n'ai que du "not found"

Gulrick · Answer

Ah :S ! Alors tu peux supprimer: lancement rapide d'adobe..., iTuneshelper, realtray, ctfmon, et Ccleaner, peut être que ton pc démarrera un peu plus rapidement mais je te garantis rien du tout c'est assez aléatoire!
_______________________________________________________________
Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif.

Lethalya · Answer

D'accord, c'est fait... mais pour le reste ? Parce que certes je n'ai plus d'alertes pour le moment mais j'aimerai bien que ma connexion cesse ses sautes d'humeurs...

Gulrick · Answer

Alors bah il faut que tu supprimes ls fichiers détécté kom mauvais en les localisant et si jamais il ne veut pas les supprimer je ne vois que le mode sans échec et si vraiment sa marche pa un soft pour!

_______________________________________________________________
Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif.

Lethalya · Answer

Euh... j'veux bien moi... mais un soft c'est quoi exactement ? ^^'
Ah je viens de faire une analyse avec ad aware, il ne m'a rien trouvé comme virus ni rien.. sauf que ma connexion fait toujours autant des siennes...

Gulrick · Answer

un soft c'est un logiciel en fait c'est la même chose mais en anglais quoi! :D! c'est bizarre que sa te trouve rien et tu peux les localiser garce à avast?

_______________________________________________________________
Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif.

Lethalya · Answer

Ben avast m'en signale de temps à autre. Enfin m'en signalait. Après les analyses avast, ça me prend un temps infini (dans le vrai sens du mot) et ça ne trouve rien.

Gulrick · Answer

Oaui je comprend! essaye de noté quand il ten remet une et dis moi!Il ne t'en signale plus?c'est comme même paradoxale qui te les signale et pas en analyse!
_______________________________________________________________
Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif.

Lethalya · Answer

Vive les mystères de l'informatique... je ne cherche plus à comprendre. Si jamais j'en ai de nouveau, je le mettrai, évidemment. Sauf que là je n'en ai pas, et ma connexion internet n'en est en rien arrangée. Et je ne sais pas quoi faire pour cela.

Lethalya · Answer

Eh bien je crois que je tiens ma solution pour mes déconnexions intempestives : il se trouve que j'ai une neuf box. J'ai lu sur quelques forums que pas mal de gens en avaient également... Donc il semblerait que tout virus ou rootkit soit bien parti, seul reste les problèmes de... neuf box. Merci de ta patience et ton aide...

Rootkit, comme c'est original...

34 réponses

Votre réponse

Discussions similaires

Newsletters