rootkit et gasretyw1.dll Fermé

Question

Bonjour,

depuis quelques jours j'ai remarqué quelques problemes sur mon pc, j'ai donc fait quelques scan antivirus.
le résultats est que avast me trouve en boucle un rootkit et qu'il n'arrive pas a le supprimer; et avira me trouve en boucle un fichier nommé gasretyw1.dll et n'arrive pas non plus à le supprimer.
j'ai aussi un message d'erreur à l'ouverture de windows  qui me dit que c:\windows\config\csrss.exe est introuvable.

Je viens donc voir ici si quelqu'un peut m'aider.
voici un log hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37:39, on 13/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\DL\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe
F2 - REG:system.ini: UserInit=userinit.exe 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe

jlpjlp · Answer

slt tu es effectivement infecté

1/ vire avast car avec antivir ton ordi va planter:

https://www.avast.com/fr-fr/uninstall-utility


2/

télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 

déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 



puis remet un rapport hijakchits

Hal · Answer

1/

voici le rapport combo fix:

ComboFix 08-11-12.01 - willou 2008-11-14 1:48:22.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1675 [GMT 1:00]
Lancé depuis: c:\documents and settings\willou\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\willou\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\nq0cq.cmd
c:\windows\system32\ckvo.exe
D:\Autorun.inf
D:\nq0cq.cmd
E:\Autorun.inf
E:\nq0cq.cmd
F:\Autorun.inf
F:\nq0cq.cmd
H:\Autorun.inf
H:\nq0cq.cmd
I:\Autorun.inf
I:\nq0cq.cmd

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-14 au 2008-11-14 ))))))))))))))))))))))))))))))))))))
.

2008-11-14 01:26 . 2007-12-20 22:21 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2008-11-14 01:26 . 2007-12-20 22:21 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2008-11-14 01:26 . 2007-12-20 22:27 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2008-11-14 01:26 . 2007-12-20 22:21 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2008-11-14 01:26 . 2007-12-20 22:21 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2008-11-14 01:26 . 2007-12-20 22:21 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2008-11-14 01:26 . 2007-12-20 22:21 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2008-11-14 01:26 . 2008-11-14 01:26 <REP> d-------- c:\documents and settings\Administrateur
2008-11-10 15:58 . 2008-11-13 15:32 85,504 --------- c:\windows\system32\gasretyw1.dll
2008-11-09 19:29 . 2008-11-10 15:58 108,271 -r-hs---- C:\whi.com
2008-11-09 15:38 . 2008-11-09 15:38 <REP> d--h----- c:\windows\PIF
2008-11-09 15:31 . 2008-11-09 15:47 <REP> d-------- c:\windows\system32\CatRoot_bak
2008-11-09 15:30 . 2008-06-14 18:59 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
2008-11-09 15:30 . 2008-08-14 10:51 138,368 -----c--- c:\windows\system32\dllcache\afd.sys
2008-11-09 15:27 . 2008-05-01 15:31 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2008-11-09 15:23 . 2007-07-30 19:19 271,224 --a------ c:\windows\system32\mucltui.dll
2008-11-09 15:23 . 2007-07-30 19:19 207,736 --a------ c:\windows\system32\muweb.dll
2008-11-09 15:23 . 2007-07-30 19:18 30,072 --a------ c:\windows\system32\mucltui.dll.mui
2008-11-07 09:33 . 2008-11-09 15:09 110,013 -r-hs---- C:\sq.com
2008-11-07 02:18 . 2008-11-14 01:28 <REP> d-------- c:\program files\Alwil Software
2008-11-06 00:07 . 2008-11-06 00:07 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Blizzard
2008-10-30 01:11 . 2008-11-02 20:55 <REP> d-------- c:\documents and settings\willou\Application Data\FileZilla
2008-10-26 15:18 . 2008-10-26 15:18 <REP> d-------- c:\program files\Veoh Networks

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-09 00:31 --------- d-----w c:\documents and settings\willou\Application Data\U3
2008-11-07 22:36 --------- d-----w c:\documents and settings\willou\Application Data\uTorrent
2008-11-06 13:23 --------- d---a-w c:\documents and settings\All Users.WINDOWS\Application Data\TEMP
2008-11-05 23:28 --------- d-----w c:\program files\Fichiers communs\Blizzard Entertainment
2008-10-31 21:31 --------- d-----w c:\documents and settings\willou\Application Data\dvdcss
2008-10-26 14:20 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-12 01:02 --------- d-----w c:\program files\Image-Line
2008-10-11 23:51 --------- d-----w c:\program files\Outsim
2008-10-09 20:53 --------- d-----w c:\documents and settings\willou\Application Data\Ableton
2008-10-09 20:49 --------- d-----w c:\documents and settings\willou\Application Data\Thinstall
2008-10-09 20:49 --------- d-----w c:\documents and settings\willou\Application Data\Nitro PDF
2008-10-08 21:23 --------- d-----w c:\documents and settings\willou\Application Data\AccurateRip
2008-10-08 21:16 --------- d-----w c:\documents and settings\willou\Application Data\AD ON Multimedia
2008-10-08 12:21 --------- d-----w c:\program files\eMule
2008-10-04 00:38 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\TrackMania
2008-09-26 02:36 --------- d-----w c:\program files\Sun
2008-09-26 02:36 --------- d-----w c:\program files\Java
2008-09-26 02:35 --------- d-----w c:\program files\Fichiers communs\Java
2008-09-21 13:46 --------- d-----w c:\documents and settings\willou\Application Data\Apple Computer
2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-14 18:32 --------- d-----w c:\program files\QuickTime
2008-09-14 18:32 --------- d-----w c:\program files\Apple Software Update
2008-09-14 18:32 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Apple Computer
2008-09-14 18:31 --------- d-----w c:\program files\Fichiers communs\Apple
2008-09-14 18:31 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Apple
2008-09-07 00:30 98,304 ----a-w c:\windows\system32CmdLineExt.dll
2008-08-20 05:37 663,552 ----a-w c:\windows\system32\wininet.dll
2008-08-14 13:44 2,138,112 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:44 2,017,792 ----a-w c:\windows\system32\ntkrnlpa.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^ExifLauncher2.lnk]
path=c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\ExifLauncher2.lnk
backup=c:\windows\pss\ExifLauncher2.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 01:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
--a------ 2008-07-10 08:47 116040 c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX3800 Series]
--a------ 2005-02-08 03:00 98304 c:\windows\system32\spool\drivers\w32x86\3\E_FATIACE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 09:50 413696 c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 03:27 144784 c:\program files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-09-26 19:14 3660848 c:\program files\Veoh Networks\Veoh\VeohClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-r------- 2005-05-03 03:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVP"=2 (0x2)
"aawservice"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

R0 pe3ah4nc;DiRT Environment Driver (pe3ah4nc);c:\windows\system32\drivers\pe3ah4nc.sys [2007-05-18 64880]
R0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);c:\windows\system32\drivers\ps6ah4nc.sys [2007-05-18 55160]
S2 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);c:\windows\system32\pr2ah4nc.exe svc [ ]

*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Tâches planifiées'

2008-09-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-ValueX - c:\docume~1\willou\LOCALS~1\Temp\services.exe

.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\willou\Application Data\Mozilla\Firefox\Profiles\4izne8jy.Will\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://google.fr
FF -: plugin - c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-14 01:49:16
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-14 1:50:38
ComboFix-quarantined-files.txt 2008-11-14 00:49:44

Avant-CF: 727 310 336 octets libres
Après-CF: 2,740,375,552 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

167 --- E O F --- 2008-11-09 14:53:52

2/

et voici un nouveau rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:50:51, on 14/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
D:\DL\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe

jlpjlp · Answer

télécharge OTMoveIt
http://oldtimer.geekstogo.com/OTMoveIt3.exe

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

:Files 
c:\windows\system32\gasretyw1.dll 



clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

________________


remets antivir et colle un rapport avec:
https://www.malekal.com/avira-free-security-antivirus-gratuit/

_________________

puis scan en mode normal avec malwarebyte et colle aussi un rapport:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

hal · Answer

alors voila, j'ai commencé à suivre la procédure indiquée, le rapport OtmoveIt indique qu'il a bien reussis à supprimer gasretyw1.dll.
j'ai ensuite lancé un scan antivir en mode sans échec. 
je me suis absenté pendant le scan et à  mon retour mon pc était éteint. depuis ce moment, impossible de le démarrer,  il se lance mais redémarre en boucle à chaque fois, et ceci dans toutes les possibilités de lancement de windows, que ce soit en mode sans échec, mode normal, derniere bonne configuration, etc... j'ai essayé de lancé la console de récupération windows mais celle ci ce ne fonctionne pas non plus et se termine sur un écran bleu avec ce message:

Un problème a été détecté et windows a été arrêté afin de prévenir tout dommage sur votre ordinateur.

UNMOUNTABLE_BOOT_VOLUME


Si vous voyez cet écran d'erreur d'arrêt  pour la première fois, redémarrer votre ordinateur. Si cet écran apparait encore, suivez ces étapes:

Assurez vous que tout nouveau matériel ou logiciel est installé correctement. S'il s'agit d'une nouvelle installation, consultez votre fabricant de matériel ou de logiciel afin d'obtenir les mises à jours windows dont vous avez besoin.
Si les problèmes persistent, désactiver ou supprimer tout matériel ou tout logiciel nouvellement installé. Désactiver les options de mémoire du Bios telle que la mise en cache ou l'ombrage.
Si vous êtes obligé d'utiliser le mode sans échec pour supprimer ou désactiver des composants, redémarrer votre ordinateur, appuyez sur f8 pour sélectionner les options de démarrage avancées, puis sélectionnez le mode sans échec.

Informations Techniques:

*** STOP:0x000000ED (0x89B5DC08, 0xC0000006, 0x00000000, 0x00000000)


Voila, je ne sais absolument pas quoi faire, j'ai éssayé aussi de boot à partir d'un CD de windows mais au bout d'un moment il me dit que dac2w2k.sys est endommagé. je ne sais pas si cela vient du CD ou de mon PC.

jlpjlp · Answer

pour réparer tu peux tenter 

0/ restaurer windows avant le plantage:
http://www.infoprat.net/astuces/windows2k_xp/astuces/divers_004.php


1/ de réparer à partir d'un cd de Windows XP 

https://www.pcastuces.com/pratique/windows/xp/default.htm 

http://www.informatruc.com/reparer-windows-xp/ 


2/ à partir d'une disquette de démarrage XP pro du coup à créer (regarde le lien suivant) 

http://www.trucs-et-astuces-windows.com/disquette_boot/disqu­ette_boot.html 


si tu ne trouve pas de cd xp pro utilise une disquette de démarrage. il faut démarrer l'ordi a partir de la disquette (si besoin configurer le bios pour qu'il démarre à partir de la disquette comme indiqué dans le lien 1 et mettre floppy ou disquette et non cd). 

attention il se peut que le clavier soit provisoirement configuré pour les langes anglaises. pour vérifier appuyer sur la touche a . si un q s'affiche c'est le cas. Efface cette lettre test avec la touche retour arrière. 


TAPEZ chkdsk/f C:/ (attention il y a un espace entre f et C:/) (C en majuscule) 

puis appuyer sur ENTREE 

si le clavier lors du test est en anglais il faut pour avoir le bon affichage TAPEZ chkdsk!f CM* ( espace entre le f et C) 


https://www.commentcamarche.net/contents/1014-disquette-boot 



3/ utiliser Antivir Rescue System pour scanner ton ordi à partir d'un cd et éradiquer les infections (il faut démarrer l'ordi à partir du cd en modifiant dans le bios l'ordre de démarrage) 

https://www.malekal.com/tutoriels-logiciels/ 


4/ utiliser le cd ULTIMATE BOOT CD (pour réparer Windows, ou désinfecter l'ordi, ou rechercher un problème matériel ou....) 

http://www.kachouri.com/tuto/tuto-288-ultimate-boot-cd-34.ht­ml 

http://ubcd.sourceforge.net// 




5/ utiliser un cd de boot linux pour récupérer tes données et tenter de réparer 

http://knoppix-fr.org/ 

6/ 
sinon pour récupérer tes données on tenter de désinfecter: 

tu peux brancher ton disque dur sur un autre ordi en disque esclave ou en disque externe : et ainsi aller chercher tes données 

ou alors tu rajoute un nouveau disque dans ton ordi sur lequel tu installe windows ou linux pour démarrer dessus et tu récupères tes données sur ton ancien disque que tu auras bien sûr au préalable mis en disque esclave 

tu peux ensuite formater le disque infecté ou le remettre si il a été désinfecté 

7/ malheureusement si rien ne marche il faudra formater et réinstaller xp 

puis remettre les antivirus et pare-feu et seulement ensuite (après avoir été protégé) aller sur Internet pour réinstaller Windows update (dans démarrer puis Windows update) 

http://www.depannetonpc.net/­er-windows.html 

http://www.ybet.be/depanner/install_windows.php

hal · Answer

0/
impossible, car mon pc ne veut pas démarrer.

1/
le seul cd de windows que je possede semble helas corrompu, si vous savez ou je peux en télécharger un depuis cet ordinateur peut etre cette methode pourait fonctionner.

2/
le seul ordinateur muni d'un lecteur de disquette est celui qui ne démare plus, impossible donc d'en créer une.

3/
j'ai lu ceci:

"Les mauvais côtés d'un CD Live
Un autre côté d'un CD rescue est que l'OS tiers n'a pas accès au registre du Windows infecté, il ne peut donc pas supprimer les clefs des malwares.
Selon la clef, cela peut se retourner contre vous et empécher le redémarrage convenable de Windows (reboot en boucle, blocage au chargement de la session etc..).

Si des fichiers systèmes ont été patchés (winlogon.exe, tcpip.sys), le CD rescue risque de les détecter et supprimer (ou renommer), ceci peut endommager Windows et l'empécher de redémarrer convenablement.

Il convient donc de sauvegarder ses données avant l'utilisation d'un CD rescue de désinfection."

et j'ai bien l'impression que  c'est ce qui c'est passé dans mon cas. donc je ne sais pas si cette methode serait vraiment efficace.

4/
est-ce que cela permettrai de réparer windows dans mon cas?
Peut etre est-ce la meilleur solution à tester pour le moment.

5/
même question que precedement, est-ce que cette methode pourrait réparer mon windows, sachant que c'est un systeme linux?

6/
actuellement impossible à réaliser.

7/
impossible puisque je n'ai pas de CD windows fonctionnel.

bon ben c'est bien l'eclate, merci pour l'aide fournise, j'espere que c'est réparable avec le peu de moyen que je dispose.

hal · Answer

bon voila, j'ai télécharger ultimate boot cd et l'ai gravé sur cd, je le lance sur l'ordinateur defaillant et boot sur le cd, jusque l'a, aucun probleme. j'arrive donc sur le menu de ultimate boot cd v4.1.1 et là, et bien je ne sais pas quoi faire, il y a tellement d'outils disponible, j'ai bien essayé de rechercher quelques tutoriaux sur internet mais je me suis plus perdu dans toutes les explications que j'ai pu trouvé plutot que d'arriver a réparer mon systeme d'exploitation.
donc si quelqu'un sait ce que je dois faire cela pourrait bien m'aider.

Merci d'avance pour vos réponses.

jlpjlp · Answer

personne pour te preter un cd windows?

hal · Answer

Je vais essayé de me renseigner, peut etre pourrais-je en trouver un.

Rootkit et gasretyw1.dll

9 réponses

Discussions similaires