Alerte Avast "Win32 : Rootkit-gen[Rtk]"

[Priviet]

Bonjour à tous , voilà sur le pc d'entreprise de ma mère, hier, Avast! s'est mis à donner beaucoup d'alertes concernant un nombre de fichiers incalculable étant infectés par le trojan "Rootkit-gen[Rtk]" , au bout d'un moment on a donc redémarré le pc, depuis il n'y a plus d'alertes mais la barre des tâches en bas ne s'active pas toujours, le pc rame, le ventilateur tourne beaucoup.

Voilà donc le rapport HiJackThis fait hier soir :

"C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll (file missing)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\WINDOWS\TEMP\E_S105.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SmsDiscount] "C:\Program Files\SmsDiscount.com\SmsDiscount\SmsDiscount.exe" -nosplash -minimized
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: winesm32.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (file missing)
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (file missing)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Agnes\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Windows Live Contrôle parental (fsssvc) - Unknown owner - C:\Program Files\Windows Live\Family Safety\fsssvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Program Files\TightVNC\WinVNC.exe

--
End of file - 6103 bytes"



Pourriez vous m'aider s'il vous plait ? Merci beaucoup =)
Je tiens à préciser que Malware Bytes a trouvé quelques problèmes la premère fois qu'on l'a lancé, puis on a effacé ce qui etait infecté et depuis Malware Bytes ne trouve plus rien alors que le problème est toujours présent. J'aimerais éviter de formater le pc car il contient des données très importantes (pc d'entreprise)

Au revoir

[bernard53]

Bonjour

Télécharge CCLEANER

TUTO

Fait un nettoyage comme cela :

**Décoche la case dans Options –avancé- Effacer uniquement les fichiers, du dossier temp de Windows : plus vieux que 24 Heures

Recocher cette case une fois le premier nettoyage effectué

1-Élimine les fichiers temporaires et les traces ( onglet nettoyeur ) que vous laissez en naviguant sur Internet ou bien en ouvrant simplement des fichiers avec n'importe quel logiciel sous Windows : le Lecteur Windows Media, Emule, Office, Nero, Adobe Reader, etc.


Puis ::

Installe Malewarebytes' Antimalware,
Téléchargement et tuto

*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.
*** il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.

Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) → cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.

[Priviet]

Bon le scan de MalwareBytes A.M est en cours y'a plus qu'à attendre quelques heures merci

Par contre fait nouveau : l'ordinateur ne reconnait plus le scanner :

EDIT : ni l'imprimante

[bernard53]

Faisons les choses dans l'ordre, voyons le scan et on va régler la suite après.

[Priviet]

Bon alors voila le résultat du scan :

Code: Tout sélectionner

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3799
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

27/02/2010 16:07:10
mbam-log-2010-02-27 (16-07-10).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 249919
Temps écoulé: 2 hour(s), 9 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Agnes\Menu Démarrer\Programmes\Démarrage\winesm32.exe (Worm.KoobFace) -> Delete on reboot.

Mais j'avais fait un scan hier soir aussi en fait alors je poste le résultat aussi parce que je suppose qu'il est aussi pertinant :

Code: Tout sélectionner

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.13

26/02/2010 14:31:34
mbam-log-2010-02-26 (14-31-34).txt

Type de recherche: Examen rapide
Eléments examinés: 129411
Temps écoulé: 6 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbdiag (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Mozilla Firefox\plugins\npclntax_HotbarSA.dll (Adware.Seekmo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\lgusbdiag.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Agnes\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully

.


Voili voilou merci encore de vouloir m'aider à régler mon problème
Je tiens à dire que pour une raison x, l'ordinateur ne fait plus de "sons" par les enceintes, il ne fait que les sons par l'interieur de la machine (comme les seuls sons qu'il fait lorsqu'on est en mode sans échec quoi) et toujours point de barre de tâches ni d'imprimante/scanner, je sais pas si c'est lié mais je suppose qu'il fallait le préciser =) je sais j'explique un peu comme une brêle ^^

[bernard53]

tu as quoi comme OS! Xp ou autre!

Tu as regarder le contrôleur de volume.

[Priviet]

Le controleur du volûme est bien en marche et à fond, et j'ai XP Service Pack 2 me semble-t-il

[bernard53]

Vérifies ceci.

double clique sur le controleur de volume et vérifies dans la feêtre qui saffiche que les baffes ne sont pas validées comme muettes.

Ensuite valide en même temps : la touche Windows +Pause
Ensuite onglet matériels--Gestionnaire de périphérique. As tu un indice jaune d'anomalie!

Ensuite :

Démarrer --panneau de configuration--Sons, voix et périphériques audio--son te périphérique audio--vérifies que tout est bien valider.

[Priviet]

Voilà le résultat de l'onglet "materiel" :



http://s2.noelshack.com/upload/20441523373227_capt01.bmp (au cas ou l'image ne s'affiche pas)

Aussi, dans la page "Son et périphériques audio" (c'est à peu près ça le nom) windows me dit qu'il n'y a aucun périphérique audio de connecté ! J'ai essayé de débrancher/rebrancher les enceintes mais rien.

[bernard53]

fait clique droit sur tous les icônes jaunes puis "mettre a jour le pilote"

Sinon fait une detection ici pour mettre à jour tout cela.

http://www.touslesdrivers.com/index.php?v_page=29

[Priviet]

Rebonjour

J'ai tenté de mettre à jour les pilotes via le gestionnaire de périphériques mais pour chaque périphérique Windows m'indiquait que le périphérique n'avait pas pu être mis à jour, j'ai aussi mis à jours mes pilotes via le lien que vous m'avez donné mais il n'y a rien de changé, la barre de tâches reste inactive pendant plus d'une demi heure après le démarrage de l'ordi', aucun son ne sort du pc et ni l'imprimante ni le scanner ne sont reconnus par le pc.

[bernard53]

teste ceci.

débranche imprimante--scanner et baffes puis

Arrête ton pc, puis débranche-le du secteur.
Appui pendant 20 secondes sur la bouton "Power".
Rebranche le pc puis redémarre.

En suite rebranche tout avec pc allumé.