Virus Rootkit-gen Fermé

Question

Bonjour, 

J'ai un PC qui est équipé XP et qui vient de se prendre un virus. 

Depuis, au lieu de l'affichage XP, c'est du style 98, Plus de possibilité de copier, déplacer..., Exel ne marche plus, et il met longtemps à démarrer. 

Mon père a de la comptabilité dessus et donc je ne veut pas tout formater... 

Je n'ai plus de connection internet non plus. (seulement sur mon portable)

Bref, il merde totalement. 

J'ai une analyse à vous montrer: 




Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 19:42:36, on 17/06/2008 
Platform: Windows XP (WinNT 5.01.2600) 
MSIE: Internet Explorer v6.00 (6.00.2600.0000) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 
C:\WINDOWS\System32\Ati2evxx.exe 
C:\WINDOWS\Explorer.EXE 
C:\WINDOWS\System32\RunDll32.exe 
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe 
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe 
C:\WINDOWS\System32\ctfmon.exe 
C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe 
C:\Program Files\Trend Micro\HijackThis\monjack.exe 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll 
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx 
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll 
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll 
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx 
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll 
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll 
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd 
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe 
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" 
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe 
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 
O4 - HKUS\S-1-5-21-1202660629-448539723-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?') 
O4 - HKUS\S-1-5-21-1202660629-448539723-725345543-1003\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll 
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll 
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm 
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm 
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll 
O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll 
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe 
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe 
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe 
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe 
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe 
End of file - 4767 bytes

Brydjy · Answer

On va attendre la réponse des pros... mais dans ton log je ne remarque pas de gros anomalie, c'est étrange d'ailleurs avec tous les problèmes que tu évoques, ça m'étonne qu'il n'y ai pas plus de m**** !
Donc attend encore un peu l'avis d'un autre internaute.

Cdlt

ginto5 · Answer

Bonjour,
Je ne suis pas expert en Hijackthis.
Mais ton truc : mannequi.redoute\activeX est très douteux.
C'est connu que la Redoute ont eu des merdes sur leur site et ont propagé cela chez leurs client(e)s.
Ca tu peux deja virer.

momonj · Answer

je vois que tu a avast comme antivirus,
j'ai eu ce probleme ce n'est pas un virus il y a des topics la dessus
regarde ca
http://www.commentcamarche.net/forum/affich 6249276 virus win32 rootkit gen rtk

totobetourne · Answer

un rootkit est un programme ou plusieurs qui essayent d en cacher d autres.

essaye celui ci il fait une recherche antirootkit:

http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware

fais une mise a jour,lance un scan complet, si il te trouvew quelquechose fait supprimer , tu obtiens un 2 eme rapport que tu colles.

sinon tu pourrais desinstaller avast et mettre antivir a la place, en ce moment antivir est plus efficace que avast dans la detection, il a egalement un detecteur de rootkit.

http://www.commentcamarche.net/telecharger/telecharger 55 antivir personal

voila essaye deja avec le premier, si tu as des questions n hesite pas.

jbx50 · Answer

Merci!

L'anti rootkit ne trouve rien.

En fait, ce serai bien Avast parceque je venais de l'installer la veille. Je me suis dit "heureusement que je l'ai installé..." mais en fait c'est lui qui fait tout foirer.

J'ai demandé à mon père, il m'a dit que ne sachant pas quoi faire, il a fait supprimer lors de l'alerte d'avast. 

Il me reste plus qu'à réinstaller XP.

Je vous tiens au courant.


Par contre sur mon Vista, AVG a trouvé deux rootkits:

C:/Windows/system32/Drivers/atpu3zv4.sys
C:/Windows/system32/dllhost.exe


Dois-je les supprimer?

Merci!

jbx50 · Answer

Merci !!

Je vous tiens au courant...

totobetourne · Answer

attend il y a des outils plus specifique qui te permette de ne pas formater.

jbx50 · Answer

Merci beaucoup tout le monde!!

L'affaire est résolue!!

N I C K E L !!

Tout est là!  

Merci encore!

Virus Rootkit-gen

8 réponses

Discussions similaires