Rootkit et gasretyw1.dll

Hal -  
 hal -
Bonjour,

depuis quelques jours j'ai remarqué quelques problemes sur mon pc, j'ai donc fait quelques scan antivirus.
le résultats est que avast me trouve en boucle un rootkit et qu'il n'arrive pas a le supprimer; et avira me trouve en boucle un fichier nommé gasretyw1.dll et n'arrive pas non plus à le supprimer.
j'ai aussi un message d'erreur à l'ouverture de windows qui me dit que c:\windows\config\csrss.exe est introuvable.

Je viens donc voir ici si quelqu'un peut m'aider.
voici un log hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37:39, on 13/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\DL\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe

--
End of file - 5417 bytes

merci à l'avance.
Configuration: Windows XP
Firefox 3.0.3

9 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt tu es effectivement infecté

    1/ vire avast car avec antivir ton ordi va planter:

    https://www.avast.com/fr-fr/uninstall-utility

    2/

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    puis remet un rapport hijakchits
    0
  2. Hal
     
    1/

    voici le rapport combo fix:

    ComboFix 08-11-12.01 - willou 2008-11-14 1:48:22.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1675 [GMT 1:00]
    Lancé depuis: c:\documents and settings\willou\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\willou\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Autorun.inf
    C:\nq0cq.cmd
    c:\windows\system32\ckvo.exe
    D:\Autorun.inf
    D:\nq0cq.cmd
    E:\Autorun.inf
    E:\nq0cq.cmd
    F:\Autorun.inf
    F:\nq0cq.cmd
    H:\Autorun.inf
    H:\nq0cq.cmd
    I:\Autorun.inf
    I:\nq0cq.cmd

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-14 au 2008-11-14 ))))))))))))))))))))))))))))))))))))
    .

    2008-11-14 01:26 . 2007-12-20 22:21 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
    2008-11-14 01:26 . 2007-12-20 22:21 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
    2008-11-14 01:26 . 2007-12-20 22:27 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
    2008-11-14 01:26 . 2007-12-20 22:21 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
    2008-11-14 01:26 . 2007-12-20 22:21 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
    2008-11-14 01:26 . 2007-12-20 22:21 <REP> d-------- c:\documents and settings\Administrateur\Favoris
    2008-11-14 01:26 . 2007-12-20 22:21 <REP> d-------- c:\documents and settings\Administrateur\Bureau
    2008-11-14 01:26 . 2008-11-14 01:26 <REP> d-------- c:\documents and settings\Administrateur
    2008-11-10 15:58 . 2008-11-13 15:32 85,504 --------- c:\windows\system32\gasretyw1.dll
    2008-11-09 19:29 . 2008-11-10 15:58 108,271 -r-hs---- C:\whi.com
    2008-11-09 15:38 . 2008-11-09 15:38 <REP> d--h----- c:\windows\PIF
    2008-11-09 15:31 . 2008-11-09 15:47 <REP> d-------- c:\windows\system32\CatRoot_bak
    2008-11-09 15:30 . 2008-06-14 18:59 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
    2008-11-09 15:30 . 2008-08-14 10:51 138,368 -----c--- c:\windows\system32\dllcache\afd.sys
    2008-11-09 15:27 . 2008-05-01 15:31 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
    2008-11-09 15:23 . 2007-07-30 19:19 271,224 --a------ c:\windows\system32\mucltui.dll
    2008-11-09 15:23 . 2007-07-30 19:19 207,736 --a------ c:\windows\system32\muweb.dll
    2008-11-09 15:23 . 2007-07-30 19:18 30,072 --a------ c:\windows\system32\mucltui.dll.mui
    2008-11-07 09:33 . 2008-11-09 15:09 110,013 -r-hs---- C:\sq.com
    2008-11-07 02:18 . 2008-11-14 01:28 <REP> d-------- c:\program files\Alwil Software
    2008-11-06 00:07 . 2008-11-06 00:07 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Blizzard
    2008-10-30 01:11 . 2008-11-02 20:55 <REP> d-------- c:\documents and settings\willou\Application Data\FileZilla
    2008-10-26 15:18 . 2008-10-26 15:18 <REP> d-------- c:\program files\Veoh Networks

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-11-09 00:31 --------- d-----w c:\documents and settings\willou\Application Data\U3
    2008-11-07 22:36 --------- d-----w c:\documents and settings\willou\Application Data\uTorrent
    2008-11-06 13:23 --------- d---a-w c:\documents and settings\All Users.WINDOWS\Application Data\TEMP
    2008-11-05 23:28 --------- d-----w c:\program files\Fichiers communs\Blizzard Entertainment
    2008-10-31 21:31 --------- d-----w c:\documents and settings\willou\Application Data\dvdcss
    2008-10-26 14:20 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-10-12 01:02 --------- d-----w c:\program files\Image-Line
    2008-10-11 23:51 --------- d-----w c:\program files\Outsim
    2008-10-09 20:53 --------- d-----w c:\documents and settings\willou\Application Data\Ableton
    2008-10-09 20:49 --------- d-----w c:\documents and settings\willou\Application Data\Thinstall
    2008-10-09 20:49 --------- d-----w c:\documents and settings\willou\Application Data\Nitro PDF
    2008-10-08 21:23 --------- d-----w c:\documents and settings\willou\Application Data\AccurateRip
    2008-10-08 21:16 --------- d-----w c:\documents and settings\willou\Application Data\AD ON Multimedia
    2008-10-08 12:21 --------- d-----w c:\program files\eMule
    2008-10-04 00:38 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\TrackMania
    2008-09-26 02:36 --------- d-----w c:\program files\Sun
    2008-09-26 02:36 --------- d-----w c:\program files\Java
    2008-09-26 02:35 --------- d-----w c:\program files\Fichiers communs\Java
    2008-09-21 13:46 --------- d-----w c:\documents and settings\willou\Application Data\Apple Computer
    2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
    2008-09-14 18:32 --------- d-----w c:\program files\QuickTime
    2008-09-14 18:32 --------- d-----w c:\program files\Apple Software Update
    2008-09-14 18:32 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Apple Computer
    2008-09-14 18:31 --------- d-----w c:\program files\Fichiers communs\Apple
    2008-09-14 18:31 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Apple
    2008-09-07 00:30 98,304 ----a-w c:\windows\system32CmdLineExt.dll
    2008-08-20 05:37 663,552 ----a-w c:\windows\system32\wininet.dll
    2008-08-14 13:44 2,138,112 ----a-w c:\windows\system32\ntoskrnl.exe
    2008-08-14 13:44 2,017,792 ----a-w c:\windows\system32\ntkrnlpa.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
    "REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
    "RTHDCPL"="RTHDCPL.EXE" [2006-10-30 c:\windows\RTHDCPL.exe]
    "SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
    "nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
    path=c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
    backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^ExifLauncher2.lnk]
    path=c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\ExifLauncher2.lnk
    backup=c:\windows\pss\ExifLauncher2.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    --a------ 2008-06-12 01:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
    --a------ 2008-07-10 08:47 116040 c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX3800 Series]
    --a------ 2005-02-08 03:00 98304 c:\windows\system32\spool\drivers\w32x86\3\E_FATIACE.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2008-05-27 09:50 413696 c:\program files\QuickTime\QTTask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    --a------ 2008-06-10 03:27 144784 c:\program files\Java\jre1.6.0_07\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
    --a------ 2008-09-26 19:14 3660848 c:\program files\Veoh Networks\Veoh\VeohClient.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
    -r------- 2005-05-03 03:43 69632 c:\windows\Alcmtr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "AVP"=2 (0x2)
    "aawservice"=2 (0x2)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=

    R0 pe3ah4nc;DiRT Environment Driver (pe3ah4nc);c:\windows\system32\drivers\pe3ah4nc.sys [2007-05-18 64880]
    R0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);c:\windows\system32\drivers\ps6ah4nc.sys [2007-05-18 55160]
    S2 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);c:\windows\system32\pr2ah4nc.exe svc [ ]

    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Tâches planifiées'

    2008-09-14 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    MSConfigStartUp-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exe
    MSConfigStartUp-ValueX - c:\docume~1\willou\LOCALS~1\Temp\services.exe

    .
    ------- Examen supplémentaire -------
    .
    FireFox -: Profile - c:\documents and settings\willou\Application Data\Mozilla\Firefox\Profiles\4izne8jy.Will\
    FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://google.fr
    FF -: plugin - c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-11-14 01:49:16
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2008-11-14 1:50:38
    ComboFix-quarantined-files.txt 2008-11-14 00:49:44

    Avant-CF: 727 310 336 octets libres
    Après-CF: 2,740,375,552 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

    167 --- E O F --- 2008-11-09 14:53:52

    2/

    et voici un nouveau rapport hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 02:50:51, on 14/11/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\WINDOWS\system32\bgsvcgen.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    D:\DL\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge OTMoveIt
    http://oldtimer.geekstogo.com/OTMoveIt3.exe

    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    :Files
    c:\windows\system32\gasretyw1.dll

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    ________________

    remets antivir et colle un rapport avec:
    https://www.malekal.com/avira-free-security-antivirus-gratuit/

    _________________

    puis scan en mode normal avec malwarebyte et colle aussi un rapport:
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
  4. hal
     
    alors voila, j'ai commencé à suivre la procédure indiquée, le rapport OtmoveIt indique qu'il a bien reussis à supprimer gasretyw1.dll.
    j'ai ensuite lancé un scan antivir en mode sans échec.
    je me suis absenté pendant le scan et à mon retour mon pc était éteint. depuis ce moment, impossible de le démarrer, il se lance mais redémarre en boucle à chaque fois, et ceci dans toutes les possibilités de lancement de windows, que ce soit en mode sans échec, mode normal, derniere bonne configuration, etc... j'ai essayé de lancé la console de récupération windows mais celle ci ce ne fonctionne pas non plus et se termine sur un écran bleu avec ce message:

    Un problème a été détecté et windows a été arrêté afin de prévenir tout dommage sur votre ordinateur.

    UNMOUNTABLE_BOOT_VOLUME

    Si vous voyez cet écran d'erreur d'arrêt pour la première fois, redémarrer votre ordinateur. Si cet écran apparait encore, suivez ces étapes:

    Assurez vous que tout nouveau matériel ou logiciel est installé correctement. S'il s'agit d'une nouvelle installation, consultez votre fabricant de matériel ou de logiciel afin d'obtenir les mises à jours windows dont vous avez besoin.
    Si les problèmes persistent, désactiver ou supprimer tout matériel ou tout logiciel nouvellement installé. Désactiver les options de mémoire du Bios telle que la mise en cache ou l'ombrage.
    Si vous êtes obligé d'utiliser le mode sans échec pour supprimer ou désactiver des composants, redémarrer votre ordinateur, appuyez sur f8 pour sélectionner les options de démarrage avancées, puis sélectionnez le mode sans échec.

    Informations Techniques:

    *** STOP:0x000000ED (0x89B5DC08, 0xC0000006, 0x00000000, 0x00000000)

    Voila, je ne sais absolument pas quoi faire, j'ai éssayé aussi de boot à partir d'un CD de windows mais au bout d'un moment il me dit que dac2w2k.sys est endommagé. je ne sais pas si cela vient du CD ou de mon PC.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    pour réparer tu peux tenter

    0/ restaurer windows avant le plantage:
    http://www.infoprat.net/astuces/windows2k_xp/astuces/divers_004.php

    1/ de réparer à partir d'un cd de Windows XP

    https://www.pcastuces.com/pratique/windows/xp/default.htm

    http://www.informatruc.com/reparer-windows-xp/

    2/ à partir d'une disquette de démarrage XP pro du coup à créer (regarde le lien suivant)

    http://www.trucs-et-astuces-windows.com/disquette_boot/disqu­ette_boot.html

    si tu ne trouve pas de cd xp pro utilise une disquette de démarrage. il faut démarrer l'ordi a partir de la disquette (si besoin configurer le bios pour qu'il démarre à partir de la disquette comme indiqué dans le lien 1 et mettre floppy ou disquette et non cd).

    attention il se peut que le clavier soit provisoirement configuré pour les langes anglaises. pour vérifier appuyer sur la touche a . si un q s'affiche c'est le cas. Efface cette lettre test avec la touche retour arrière.

    TAPEZ chkdsk/f C:/ (attention il y a un espace entre f et C:/) (C en majuscule)

    puis appuyer sur ENTREE

    si le clavier lors du test est en anglais il faut pour avoir le bon affichage TAPEZ chkdsk!f CM* ( espace entre le f et C)

    https://www.commentcamarche.net/contents/1014-disquette-boot

    3/ utiliser Antivir Rescue System pour scanner ton ordi à partir d'un cd et éradiquer les infections (il faut démarrer l'ordi à partir du cd en modifiant dans le bios l'ordre de démarrage)

    https://www.malekal.com/tutoriels-logiciels/

    4/ utiliser le cd ULTIMATE BOOT CD (pour réparer Windows, ou désinfecter l'ordi, ou rechercher un problème matériel ou....)

    http://www.kachouri.com/tuto/tuto-288-ultimate-boot-cd-34.ht­ml

    http://ubcd.sourceforge.net//

    5/ utiliser un cd de boot linux pour récupérer tes données et tenter de réparer

    http://knoppix-fr.org/

    6/
    sinon pour récupérer tes données on tenter de désinfecter:

    tu peux brancher ton disque dur sur un autre ordi en disque esclave ou en disque externe : et ainsi aller chercher tes données

    ou alors tu rajoute un nouveau disque dans ton ordi sur lequel tu installe windows ou linux pour démarrer dessus et tu récupères tes données sur ton ancien disque que tu auras bien sûr au préalable mis en disque esclave

    tu peux ensuite formater le disque infecté ou le remettre si il a été désinfecté

    7/ malheureusement si rien ne marche il faudra formater et réinstaller xp

    puis remettre les antivirus et pare-feu et seulement ensuite (après avoir été protégé) aller sur Internet pour réinstaller Windows update (dans démarrer puis Windows update)

    http://www.depannetonpc.net/­er-windows.html

    http://www.ybet.be/depanner/install_windows.php
    0
  7. hal
     
    0/
    impossible, car mon pc ne veut pas démarrer.

    1/
    le seul cd de windows que je possede semble helas corrompu, si vous savez ou je peux en télécharger un depuis cet ordinateur peut etre cette methode pourait fonctionner.

    2/
    le seul ordinateur muni d'un lecteur de disquette est celui qui ne démare plus, impossible donc d'en créer une.

    3/
    j'ai lu ceci:

    "Les mauvais côtés d'un CD Live
    Un autre côté d'un CD rescue est que l'OS tiers n'a pas accès au registre du Windows infecté, il ne peut donc pas supprimer les clefs des malwares.
    Selon la clef, cela peut se retourner contre vous et empécher le redémarrage convenable de Windows (reboot en boucle, blocage au chargement de la session etc..).

    Si des fichiers systèmes ont été patchés (winlogon.exe, tcpip.sys), le CD rescue risque de les détecter et supprimer (ou renommer), ceci peut endommager Windows et l'empécher de redémarrer convenablement.

    Il convient donc de sauvegarder ses données avant l'utilisation d'un CD rescue de désinfection."

    et j'ai bien l'impression que c'est ce qui c'est passé dans mon cas. donc je ne sais pas si cette methode serait vraiment efficace.

    4/
    est-ce que cela permettrai de réparer windows dans mon cas?
    Peut etre est-ce la meilleur solution à tester pour le moment.

    5/
    même question que precedement, est-ce que cette methode pourrait réparer mon windows, sachant que c'est un systeme linux?

    6/
    actuellement impossible à réaliser.

    7/
    impossible puisque je n'ai pas de CD windows fonctionnel.

    bon ben c'est bien l'eclate, merci pour l'aide fournise, j'espere que c'est réparable avec le peu de moyen que je dispose.
    0
  8. hal
     
    bon voila, j'ai télécharger ultimate boot cd et l'ai gravé sur cd, je le lance sur l'ordinateur defaillant et boot sur le cd, jusque l'a, aucun probleme. j'arrive donc sur le menu de ultimate boot cd v4.1.1 et là, et bien je ne sais pas quoi faire, il y a tellement d'outils disponible, j'ai bien essayé de rechercher quelques tutoriaux sur internet mais je me suis plus perdu dans toutes les explications que j'ai pu trouvé plutot que d'arriver a réparer mon systeme d'exploitation.
    donc si quelqu'un sait ce que je dois faire cela pourrait bien m'aider.

    Merci d'avance pour vos réponses.
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    personne pour te preter un cd windows?
    0
  10. hal
     
    Je vais essayé de me renseigner, peut etre pourrais-je en trouver un.
    0