Sujet Précédent Sujet Suivant

Pc infecté : Win32:RootKit-gen[RTK]

Résolu
nicolaski Messages postés 6 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Avast m'a détecté un fichier corrompu
C:\Windows\system32\ftp34.dll
virus : win32 : rootkit-gen[rtk]

j'ai lu les différeznts forum mais je ne comprends pas grand chose, pouvez m'aider?
Merci

ps :
j'ai essayé d'utiliser ccleaner mais le pc me dit que ce n'est pas une application win32 valide

au secours!
A voir également:

24 réponses

  • 1
  • 2
Réponse 1 / 24
Utilisateur anonyme
 
re :

t as une infection bagle = c pas bien de telecharger des cracks !!

Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le Bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler

Redémarre en mode sans échec,

Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

relance 2 fois elibagla

redémarre en mode normal

>poste le rapport final qui sera dans c:\infosat.txt
1
Réponse 2 / 24
Utilisateur anonyme
 
oui monsieur c est le signe particulier de l infection baggle
1
Réponse 3 / 24
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Salut !!

Télécharge sur le bureau hijackthis : http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

-une fois installé sur le bureau, le renommer scan.exe
-Double-clic dessus
- Clic sur "Do a system scan and save the log"
- copier le rapport, le coller dans la réponse
0
nicolaski Messages postés 6 Statut Membre
 
merci pour la rapidité de la réponse.
le problème c'est qu'il me met aussi que ce n'est pas une application Win32 valide!
ça pu...
0
Réponse 4 / 24
Utilisateur anonyme
 
Salut,

Télécharge HijackThis ici :

-> https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Post le rapport généré ici stp...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 24
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
une petite recherche sur google :

Avast depuis très peu de temps voit une infection de type rootkit sur le fichier svchost.exe de windows. Il s'agit d'une erreur de détection (un faux positif), et si vous effacez ce fichier, votre OS va avoir du mal à s'en remettre.

Avast affiche ces informations :
Sign of "Win32:Rootkit-gen[Rtk]" has been found in "C:\windows\system32\svchost.exe" file.

N'effacez pas le fichier. Faites ignorer et mettez à jour Avast régulièrement jusqu'à ce qu'il ne détecte plus rien de nocif dans ce fichier.
0
Réponse 6 / 24
nicolaski Messages postés 6 Statut Membre
 
pour l'utilistion de hijack this il me met que ce n'est pas une application win32 valide
0
nicolaski Messages postés 6 Statut Membre
 
en fait qque soit le logiciel que j'utilise il me met toujours la même chose "...n'est pas une application win32 valide"
0
Réponse 7 / 24
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
je ne vois pas qu est ce qui pourrait faire faire ca...

Essais en faisant des analyses en ligne à cette adresse :

http://www.zebulon.fr/outils/antivirus/antivirus-en-ligne.php

Les deux premiers savent désinfecter.
0
Réponse 8 / 24
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Waouw chiquitine!! Comment tu sais qu il a une infection bagle?? A cause de l application win32 non-valide ??
0
Réponse 9 / 24
nicolaski
 
et ça continue...impossible de télécharger...je ne vois + qu'1 solution le formatage!
0
Réponse 10 / 24
Utilisateur anonyme
 
ok ça se complique :

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

ensuite renomme le

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

0
Réponse 11 / 24
nicolaski Messages postés 6 Statut Membre
 
je peux de nouveau utiliser mes logiciels!
merci et respect!
faut-il que je fasse autre chose?

ComboFix 08-06-07.1 - noah et eline 2008-06-08 0:03:21.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.635 [GMT 2:00]
Endroit: J:\logiciels téléchargés\antivirus\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\LocalService\cftmon.exe
C:\Documents and Settings\noah et eline\cftmon.exe
C:\Documents and Settings\pc ok\cftmon.exe
C:\Documents and Settings\pc ok\Local Settings\Temporary Internet Files\menu[1].jpg
C:\WINDOWS\pack.epk
C:\WINDOWS\system32\{0A21D727-CCB3-4A32-AC1B-88CE4560B872}.exe
C:\WINDOWS\system32\{0C1CC98B-A8EE-411B-A2DA-E3D649CFB7F1}.exe
C:\WINDOWS\system32\{C2A48F2D-D2B4-43AA-95E8-DC19DB4C711D}.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\system32\LDRC.tmp
C:\WINDOWS\system32\LDRE.tmp
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\syhewziatu.dat
C:\WINDOWS\system32\syhewziatu_nav.dat
C:\WINDOWS\system32\syhewziatu_navps.dat
C:\WINDOWS\system32\twsznqssg.dat
C:\WINDOWS\system32\twsznqssg_nav.dat
C:\WINDOWS\system32\twsznqssg_navps.dat
C:\WINDOWS\system32\winupdate.exe

----- BITS: Possible sites infect‚s -----

hxxp://supertds.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_WINDOWS_LOG

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-07 to 2008-06-07 ))))))))))))))))))))))))))))))))))))
.

2008-06-07 23:34 . 2008-06-07 23:34 <REP> d-------- C:\Program Files\Panda Security
2008-06-07 22:56 . 2008-06-08 00:03 5,120 --a------ C:\Documents and Settings\noah et eline\ftp34.dll
2008-06-07 22:52 . 2008-06-07 23:54 5,120 --a------ C:\WINDOWS\system32\ftp34.dll
2008-06-07 22:46 . 2008-06-07 22:46 <REP> d-------- C:\Documents and Settings\noah et eline\Application Data\Malwarebytes
2008-06-07 22:35 . 2007-01-18 14:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-06-07 22:25 . 2008-06-07 22:52 5,120 --a------ C:\Documents and Settings\pc ok\ftp34.dll
2008-06-07 22:03 . 2008-06-07 22:33 <REP> d-------- C:\Documents and Settings\pc ok\Pavark
2008-06-07 21:34 . 2008-06-07 22:16 <REP> d-------- C:\Program Files\Spyware Doctor
2008-06-07 21:34 . 2008-06-07 21:34 <REP> d-------- C:\Documents and Settings\pc ok\Application Data\PC Tools
2008-06-07 21:34 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-06-07 21:34 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-06-07 21:34 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-06-07 21:34 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-06-07 21:19 . 2008-06-07 23:54 5,120 --a------ C:\Documents and Settings\LocalService\ftp34.dll
2008-06-07 20:06 . 2006-09-07 03:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-06-07 20:06 . 2006-09-07 03:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-06-07 20:06 . 2006-09-06 19:21 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-06-07 20:06 . 2006-09-07 03:06 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-06-07 20:06 . 2006-09-07 03:06 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-06-07 20:06 . 2006-09-07 03:06 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-06-07 20:06 . 2006-09-07 03:06 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-06-07 20:06 . 2008-06-07 20:06 <REP> d-------- C:\Documents and Settings\Administrateur
2008-06-07 18:39 . 2008-06-07 18:39 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-07 18:39 . 2008-06-07 18:39 <REP> d-------- C:\Documents and Settings\pc ok\Application Data\Malwarebytes
2008-06-07 18:39 . 2008-06-07 18:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-07 18:39 . 2008-06-05 16:04 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-07 18:39 . 2008-06-05 16:04 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-06 23:32 . 2008-06-07 09:06 <REP> d-------- C:\Documents and Settings\pc ok\.housecall6.6
2008-06-06 22:55 . 2008-06-06 22:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-06-06 22:35 . 2008-06-06 22:35 <REP> d-------- C:\Program Files\Yahoo!
2008-06-06 20:50 . 2008-06-08 00:07 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-06 20:50 . 2008-06-06 20:50 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-06 13:02 . 2008-06-06 13:02 40,960 --a------ C:\h2tpre.exe
2008-06-06 13:02 . 2008-06-06 13:02 21,504 --a------ C:\g6vd.exe
2008-05-29 20:46 . 2008-05-29 20:46 <REP> d-------- C:\Documents and Settings\pc ok\Application Data\Nokia Multimedia Player
2008-05-21 14:51 . 2008-05-21 14:51 <REP> d-------- C:\Documents and Settings\noah et eline\Application Data\PC Suite
2008-05-21 14:50 . 2008-05-21 14:50 <REP> d-------- C:\Documents and Settings\papa\Application Data\PC Suite
2008-05-21 14:50 . 2008-05-21 14:50 <REP> d-------- C:\Documents and Settings\papa\Application Data\HotSync
2008-05-19 21:13 . 2008-05-19 21:13 <REP> d-------- C:\Program Files\Livrephoto

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-07 22:07 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-07 07:17 --------- d-----w C:\Documents and Settings\pc ok\Application Data\Roxio
2008-06-06 20:48 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-06-06 20:46 --------- d-----w C:\Documents and Settings\pc ok\Application Data\Ahead
2008-06-06 20:31 --------- d-----w C:\Program Files\ExtraFilm FotoFacil
2008-06-03 21:10 --------- d-----w C:\Program Files\eMule
2008-05-30 07:26 412,838 ----a-w C:\Documents and Settings\pc ok\Application Data\mdbu.bin
2008-04-25 18:30 --------- d-----w C:\Documents and Settings\pc ok\Application Data\PC Suite
2008-04-25 18:29 --------- d-----w C:\Documents and Settings\pc ok\Application Data\Nokia
2008-04-25 18:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\PC Suite
2008-04-25 18:26 --------- d-----w C:\Program Files\PC Connectivity Solution
2008-04-25 18:26 --------- d-----w C:\Program Files\Nokia
2008-04-25 18:26 --------- d-----w C:\Program Files\Fichiers communs\PCSuite
2008-04-25 18:26 --------- d-----w C:\Program Files\Fichiers communs\Nokia
2008-04-25 18:26 --------- d-----w C:\Program Files\DIFX
2008-04-25 18:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\Installations
2008-04-19 17:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-19 17:16 --------- d-----w C:\Program Files\Mindscape
2008-03-28 20:28 68 ----a-w C:\scandata.dat
2004-10-01 13:00 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe
2007-05-18 06:38 53 --sha-w C:\WINDOWS\system32\1028l.exe3975860293.dat
2007-10-12 07:22 144 --sha-w C:\WINDOWS\system32\3975860293.dat
2006-10-03 16:00 10,856 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

------- Sigcheck -------

2004-08-04 05:14 359040 1745b00fc1141404b28f4b94f69a8871 C:\WINDOWS\system32\dllcache\tcpip.sys
2004-08-04 05:14 359040 1745b00fc1141404b28f4b94f69a8871 C:\WINDOWS\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 06:54 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 06:55 33792 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2006-06-01 11:22 1519616 C:\WINDOWS\system32\nwiz.exe]
"SW20"="C:\WINDOWS\system32\sw20.exe" [2006-05-18 03:15 208896]
"SW24"="C:\WINDOWS\system32\sw24.exe" [2006-05-17 04:37 69632]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 11:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-04 11:44 16120832 C:\WINDOWS\RTHDCPL.exe]
"RemoteControl"="C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"PCMService"="C:\Program Files\CyberLink\PowerCinema\PCMService.exe" [2004-11-03 16:53 81920]
"QuickTime Task"="C:\PROGRA~1\QUICKT~1\QTTask.exe" [2007-06-29 06:24 286720]
"adiras"="adiras.exe" []
"PinnacleDriverCheck"="C:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-11 00:26 406016]
"TomTomHOME.exe"="C:\Program Files\TomTom HOME\TomTomHOME.exe" [2007-03-14 17:52 3770024]
"RoxioEngineUtility"="C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe" [2003-05-01 18:44 65536]
"RoxioDragToDisc"="C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" [2004-01-09 16:01 868352]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-07-10 09:18 270648]
"AdobeVersionCue"="C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe" [2003-10-22 16:33 1732608]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-10-04 23:22 185632]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 15:10 271360]
"NWEReboot"="" []
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-04-10 15:14 1107848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:54 15360]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 10:17 1241088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll
"vidc.yv12"= yv12vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"C:\\Program Files\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"C:\\Program Files\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"C:\\Program Files\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\WINDOWS\\system32\\svchost.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;C:\WINDOWS\system32\drivers\hcw88aud.sys [2006-03-31 20:05]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 BENDER;Pinnacle DV/AV Capture;C:\WINDOWS\system32\drivers\bender.sys [2005-08-22 23:11]
R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;C:\WINDOWS\system32\drivers\hcw88bda.sys [2006-03-31 20:05]
R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;C:\WINDOWS\system32\Drivers\hcw88rc5.sys [2006-03-31 20:06]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;C:\WINDOWS\system32\drivers\hcw88tse.sys [2006-03-31 20:14]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;C:\WINDOWS\system32\drivers\hcw88tun.sys [2006-03-31 20:03]
R3 hcw88vid;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2006-03-31 20:14]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2006-03-31 20:05]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2006-03-21 17:28]
R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 05:08]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-06-05 16:04]
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 03:13]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ac00c67c-4246-11db-b0f8-001617755ca0}]
\Shell\AutoRun\command - ntde1ect.com
\Shell\explore\Command - ntde1ect.com
\Shell\open\Command - ntde1ect.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b2e15cd4-cf56-11db-b23a-000138858104}]
\Shell\Auto\command - AdobeR.exe e
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-08 00:07:49
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IrmonShellHWDetection]
"ImagePath"="*&€|\14û\[u]0[/u]6 srv"
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\palmOne\Hotsync.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-08 0:10:05 - machine was rebooted [pc ok]
ComboFix-quarantined-files.txt 2008-06-07 22:10:01

Pre-Run: 25,541,754,880 octets libres
Post-Run: 26,930,831,360 octets libres

219
0
Réponse 12 / 24
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

Télécharge le http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe sur ton Bureau.
* Double-clique sur ToolsCleaner2.bat et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)
0
Réponse 13 / 24
Utilisateur anonyme
 
attend c pas fini

fais nous un scan hijackthis stp
0
nicolaski
 
ok je fais ça ce soir
0
Réponse 14 / 24
nicolaski Messages postés 6 Statut Membre
 
Merci pour tout
efficacité + rapidité
0
Réponse 15 / 24
nicolaski
 
voilà, voilà

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:33, on 2008-06-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\PROGRA~1\QUICKT~1\QTTask.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\palmOne\Hotsync.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
J:\logiciels téléchargés\antivirus\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\PROGRA~1\QUICKT~1\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: palmOne Registration.lnk = C:\Program Files\palmOne\register.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.girafoto.fr/uploaders/aurigma_4_7/ImageUploader4.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Moniteur infrarouge IrmonShellHWDetection (IrmonShellHWDetection) - Unknown owner - *&€|û.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
0
Réponse 16 / 24
Utilisateur anonyme
 
Telecharge malwarebytes

-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

ps : les rapport sont aussi rangé dans l onglet rapport/log
0
Réponse 17 / 24
nicolaski
 
Malwarebytes' Anti-Malware 1.15
Version de la base de données: 838

23:11:05 2008-06-11
mbam-log-6-11-2008 (23-11-05).txt

Type de recherche: Examen complet (C:\|J:\|)
Eléments examinés: 154236
Temps écoulé: 31 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 17

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{f9fa603d-697c-4900-a950-e54f08324a24} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\nmwegbsf.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\LocalService\ftp34.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\Documents and Settings\noah et eline\ftp34.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\Documents and Settings\pc ok\ftp34.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9D845154-A2A9-4367-8934-96692971C9BB}\RP311\A0089446.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9D845154-A2A9-4367-8934-96692971C9BB}\RP311\A0089447.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9D845154-A2A9-4367-8934-96692971C9BB}\RP311\A0089448.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9D845154-A2A9-4367-8934-96692971C9BB}\RP311\A0089449.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9D845154-A2A9-4367-8934-96692971C9BB}\RP311\A0089467.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9D845154-A2A9-4367-8934-96692971C9BB}\RP311\A0089492.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9D845154-A2A9-4367-8934-96692971C9BB}\RP311\A0089588.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9D845154-A2A9-4367-8934-96692971C9BB}\RP311\A0089595.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9D845154-A2A9-4367-8934-96692971C9BB}\RP311\A0089610.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9D845154-A2A9-4367-8934-96692971C9BB}\RP311\A0090596.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9D845154-A2A9-4367-8934-96692971C9BB}\RP311\A0090626.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9D845154-A2A9-4367-8934-96692971C9BB}\RP311\A0090627.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9D845154-A2A9-4367-8934-96692971C9BB}\RP312\A0090634.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ftp34.dll (Trojan.DownLoader) -> Quarantined and deleted successfully.
0
Réponse 18 / 24
Utilisateur anonyme
 
réouvre malewraebyte
va sur quarantaine
supprime tout

Télécharge clean.zip, de Malekal
http://www.malekal.com/download/clean.zip

(1) Dézippe-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

(2) Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd

une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

(3) Choisis l'option 1 puis patiente
Poste le rapport obtenu

pour retrouver le rapport : double clique sur > C > double clique sur " rapport_clean txt.
et copie/colle le sur ta prochaine réponse .

Ne passe pas à l'option 2 sans notre avis !
0
Réponse 19 / 24
nicolaski
 
2008-06-13 a 8:12:12.82

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
0
Réponse 20 / 24
Utilisateur anonyme
 
ok refais un scan hijackthis et post le rapport stp
0