Sujet Précédent Sujet Suivant

Rootkit gen avec avast

Fermé
moi - 4 juin 2008 à 01:22
 Utilisateur anonyme - 6 juin 2008 à 19:45
Bonjour,

J'ai un énorme problème.
Voila j'ai eu un message toute l'après-midi me disant que j'avais un virus malveillant, je tiens à préciser que j'ai (enfin j'avais) avast!. Lors d'un scan et d'un mise en quarantaine j'ai redémarré mon pc et depuis je suis sous une sorte de window 98, je n'ai plus de barre des taches en bas, je ne peux pas restaurer le système ou ouvrir quoique ce soit.
Je suis très légèrement beaucoup en crise car j'ai l'impression que rien ne marche.
Avec hijackthis j'ai fait un scan, le voici:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:15:28, on 04/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels8.exe
O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-21-3002113227-822628463-3629581750-1006\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe" (User '?')
O4 - HKUS\S-1-5-21-3002113227-822628463-3629581750-1006\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-21-3002113227-822628463-3629581750-1006\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User '?')
O4 - HKUS\S-1-5-21-3002113227-822628463-3629581750-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-3002113227-822628463-3629581750-1006 Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe (User '?')
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap/jsp/composer/player/mmsPlayer.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - http://asp07.photoprintit.de/microsite/1156/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BB25282-DCA1-4E1B-9B08-59F5A6B0F371}: NameServer = 212.27.39.1,212.27.32.177
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NetIme - Unknown owner - \\?\C:\Program Files\Fichiers communs\Services\com3.exe (file missing)
O23 - Service: NetXuv - Unknown owner - \\?\C:\Program Files\Fichiers communs\Microsoft Shared\con.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A voir également:

21 réponses

  • 1
  • 2
Réponse 1 / 21
vin100h
4 juin 2008 à 01:55
Hello,

J'ai constaté le même problème sur 2 pc d'amis/familles

Il semblerait que ce soit du à un virus de type rootkit qui s'attaque (d'après le peu d'info que j'ai pu trouver) au svchost.

Je n'ai aps encore de solution ....

ni mode sans echec, ni restauration derniere bonne config, msconfig et désactiver tout ce qui se lance au démarrage....

Je cherches bienentendu une solution autre que le format ou la réparation windows.
0
Réponse 2 / 21
moi
4 juin 2008 à 02:02
Je te remercie énormément vin100h.
J'espère que le formatage ne sera pas la seule solution car j'ai beaucoup de choses importantes sur mon pc et je suis en pleine crise à l'idée de les perdre.
0
Réponse 3 / 21
Redbart Messages postés 21069 Date d'inscription dimanche 16 décembre 2007 Statut Membre Dernière intervention 30 avril 2024 3 219
4 juin 2008 à 02:11
Nota :
ton Xp n'est pas à jour
IE n'est pas à jour
Java n'est pas à jour
www.secunia.com

regarde ici:
www.malekal.com

Trojans :
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels8.exe
a nettoyer comme ceci (1ere solution):
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware


File missing/no file : à fixer avec HJT (pas urgent)
O23 - Service: NetIme - Unknown owner - \\?\C:\Program Files\Fichiers communs\Services\com3.exe (file missing)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)
O23 - Service: NetXuv - Unknown owner - \\?\C:\Program Files\Fichiers communs\Microsoft Shared\con.exe (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

protections à installer asap :
avast est nul, mets avira antivir personal free
pare feu : armor online ou comodo free
anti spyware : spybot 1.5.2 free
-
Soyez précis et complet dans vos questions, les lecteurs ne sont pas devins.
Les moteurs de recherche sont là pour vous aider.
0
Réponse 4 / 21
moi
4 juin 2008 à 02:15
Je te remercie Redbart mais en temps normal je n'utilise pas IE comme navigateur mais Firefox or, je ne peux plus l'utiliser. De même que, comme je l'ai dit, je ne peux plus faire grand chose.
Je vais m'atteler à mettre à jour ce qu'il faut grâce à tes liens. Je t'en remercie.
Et pour ce qui concerne le rootkit ?

Merci d'avance pour votre réactivité.
0
Redbart Messages postés 21069 Date d'inscription dimanche 16 décembre 2007 Statut Membre Dernière intervention 30 avril 2024 3 219
4 juin 2008 à 02:28
antivir recherche les rootkits
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
lulu
4 juin 2008 à 02:15
Bonjour
Ca ressemble un peu au ver blaster qui s' attaque au pc pas à jour et l' empêche de se mettre à jour
0
Réponse 6 / 21
vin100h
4 juin 2008 à 02:18
Mouai .... J'ai plustôt le sentiment que c'est un truc assez récent, car j'ai rencontrer ce soucis sur 2 PC, le 3 juin 2008 ... et j'ai trouvé sur d'autres forum (je sais plus lesquels) une description identique de ce même problème ce 3 juin 2008 aussi.
0
Réponse 7 / 21
moi
4 juin 2008 à 02:28
en effet vin100h, c'est survenu le 3 juin.
J'ai téléchargé malware mais au moment de l'installation ou plutôt du lancement il me dit que je n'utilise pas la bonne version.
J'ai XP pack 1 mais depuis 3h maintenant je suis sous une forme de windows 98 ( ou 95) je ne sais pas, je n'ai plus de barre des taches, je ne peux plus ouvrir de photos, ni même de faire copier/coller sur mon bureau ou déplacer quoique ce soit:bref je rame comme une dingue.
J'ai voulu faire une restauration mais ça ne marche pas, j'ai voulu passer par executer faire regedir puis avast car lors du scan avast en avait découvert un dans un de ses propres fichiers mais là non plus je ne peux pas virer les fichiers d'avast (alors que j'ai désinstallé avast il y a de cela 2h environ).Je suis aussi passée par le mode sans echec mais rien n'y fait !

Merci.
0
Réponse 8 / 21
lulu
4 juin 2008 à 02:30
XP SP1 (WinNT 5.01.2600) : Ca date grave et le ver traine toujours il scanne au hasard depuis des milliers d' autres pc pas à jour
0
Réponse 9 / 21
moi
4 juin 2008 à 02:35
Et je dois faire quoi pour remedier à ça ?
C'est un ver ou un virus rootkit ?
0
Réponse 10 / 21
moi
4 juin 2008 à 02:41
J'ai réussi à installer avg anti-rootkit que vin100h m'a recommandé dans un des liens. Je l'ai ouvert, il a analysé mon pc et m'a dit qu'il n'y a pas de rootkit.
0
Réponse 11 / 21
moi
4 juin 2008 à 09:07
Bonjour,

Depuis chier soir mon pc est toujours bloqué au même point. Quelqu'un aurait-il une solution à me proposer?
Merci d'avance
0
Réponse 12 / 21
broom Messages postés 11 Date d'inscription lundi 5 mai 2008 Statut Membre Dernière intervention 6 juin 2008 2
4 juin 2008 à 15:23
PAs de solution, mais d'après ce que j'ai pu glaner sur le net, ce n'est pas un rootkit !!! C'est avast qui s'est gouré : comme plein d'autres à la même date (donc avec la même mise à jour d'avast), j'ai supprimé le fichier et maintenant j'ai les mêmes problèmes (là je suis sur le portable car je n'ai plus accès à internet sur l'autre ordi) : en fait avast a détecté un fichier utile au système windows - le supprimer a foutu windows en vrac !
Si vous êtes dans la même situation (même jour de détection, même antivirus), ne supprimez pas le fichier détecté !!
0
Réponse 13 / 21
moi
4 juin 2008 à 16:53
Merci broom pour ton explication, mais je ne l'ai pas supprimé, je l'ai juste mis en quarantaine. Ca revient au même ?
Moi j'ai encore la chance d'avoir internet. Après j'ai désinstallé avast, cela veut-il dire que j'ai supprimé le fichier ?
0
Réponse 14 / 21
SnowbmX Messages postés 10 Date d'inscription dimanche 15 juillet 2007 Statut Membre Dernière intervention 4 juin 2008 1
4 juin 2008 à 20:02
voila bonjour

j'ai exactement le même probleme que toi hier avast à detecté un rootkit-gen rtk et je l'ai mit en quarantaine puis aujourd'hui j'ai allumé mon portable et surprise... barre d'etat et volets sont devenus comme ceux de windows 98 ou 2000 :( le pire c'est que mes connexions reseau et imprimantes ont disparus et pas moyen de creer de noiuvelles connexions. Aussi d'autres problemes avec le serveur RPC et les connexions dial-up et telephoniques.
donc sa rame et je rame car j'ai pas trouve de solution :/

j'espere que quelqu'un pourra nous aider.

En plus c'est vraiment etrange que les infections ont eu le 3 juin 2008...
0
Réponse 15 / 21
lulu
4 juin 2008 à 20:16
Bonjour
Une méthode semble possible indiquée sur ce post:

http://www.commentcamarche.net/forum/affich 6731162 avast trouve un rootkit svchost exe a lire#11
0
Réponse 16 / 21
broom Messages postés 11 Date d'inscription lundi 5 mai 2008 Statut Membre Dernière intervention 6 juin 2008 2
4 juin 2008 à 20:33
L'embêtant dans tout ça c'est que j'ai acheté mon ordi avec xp déjà dessus et pas de cd d'installation... Je vais voir si j'arrive à le récupérer quelque part...
0
Réponse 17 / 21
bil
4 juin 2008 à 21:00
Slt
Si tu veux essayer ça
https://www.cjoint.com/?geu4krcUOf
0
Réponse 18 / 21
bil
4 juin 2008 à 21:09
Ps testé par avast, avg, asquared, malwarebytes
0
Réponse 19 / 21
moi
4 juin 2008 à 22:11
Je vous remercie pour toutes vos solutions.
Ca me rassure dans un certain sens de voir que je ne suis pas la seule à avoir ce genre de problèmes.
Merci beaucoup.
0
Réponse 20 / 21
bil
6 juin 2008 à 19:17
http://public.avast.com/~trs/fix_svchost_fr.zip
0

Discussions similaires

Hameçonnage ce soir 499 euros pour abonnement Avast
Colette34 -
Gerper -

2 réponses
message intempestifs d'avast : une menace a été détectée
ed62945077 -
Malekal_morte- -

3 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
DRI Avast software
Franoise -
bazfile -

18 réponses
arnaque de avast prelevement sans autorisation
petit -
Brijoue -

14 réponses