Il y a actuellement 204 visiteurs
Mercredi 24 Avril 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

Win32:Rootkit-gen [Rtk]

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel
Répondre

Win32:Rootkit-gen [Rtk]

Message le 07 Avr 2010 01:54

Slt , je suis desservis par Avast 4.8 , ces dernier jour le lecteur de disque dure refuse de s’ouvrir , et juste après avast signale la présence de (Win32:Rootkit-gen [Rtk]) dans (C:\Documents and Settings\hamza\Local Settings\Temporary Internet Files\Content.IE5\MLBKFG2H\boum[1].jpg) et après un autre (Win32:Rootkit-gen [Rtk]) mais cette fois dans (C:\WINDOWS\system32\winxp.exe), ni la suppression ni la mis en quarantaine et le téléchargement des mises a jour n’a m’aider a résoudre ce problème , en plus quand je veux intégrer quelque choses dans le registre (pour cracker un logiciel) il n’ya aucune réponse,
J’ai télécharger hijackthis , j’ai fais l’analyse et voici la résultat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:02:32, on 07/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Acer\Acer VCM\RS_Service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\PLFSetL.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxext.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Software Informer\softinfo.exe
C:\Program Files\Acer\Acer VCM\AcerVCM.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\mdm.exe
C:\HaspEmulPE.XP\HaspEmulPE.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\WINDOWS\system32\wscript.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\Program Files\HSDPA USB MODEM\USB Modem.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\Wscript.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\Wscript.exe
C:\Documents and Settings\hamza\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACA ... 5w88k24500
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACA ... 5w88k24500
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACA ... 5w88k24500
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe" //mailurl:mailto:ziko_cooperation@hotmail.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files\Hotspot_Shield\tbHots.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files\Hotspot_Shield\tbHots.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files\Hotspot_Shield\tbHots.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\Audio\Drivers\AzMixerSel.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PLFSetL] C:\WINDOWS\PLFSetL.exe
O4 - HKLM\..\Run: [snp2uvc] rundll32.exe C:\WINDOWS\system32\csnp2uvc.dll,ResetCIDS
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\imwin.jpg
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\winxp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Software Informer\softinfo.exe" -autorun
O4 - HKCU\..\Run: [explo] C:\Documents and Settings\hamza\Application Data\msn.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O4 - Global Startup: Acer VCM.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {FB16B8A8-67A6-11D5-B1F6-0000E8329061} (GrINetStandardProfile Class) - http://www.graitec.com/Common/Downloads ... Engine.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2484E82-8BF4-4E5A-A206-77C94BA15F76}: NameServer = 212.217.0.1 212.217.0.12
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Acer\Acer VCM\Skype4COM.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\HssTrayService.EXE (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Program Files\Acer\Acer VCM\RS_Service.exe

--
End of file - 13118 bytes

Je vous empris de m’aider, très vite car je suis dans la période de PFE, et je crains sincèrement d’avoir des problèmes ; et perdre le travail [/b]
ayouelkafi
Visiteur
Visiteur
 
Messages: 8
Inscription: 07 Avr 2010 01:21
 
Haut

Re: Win32:Rootkit-gen [Rtk]

Message le 07 Avr 2010 11:04

Bonjour & bienvenue,

Dans l'attente du passage de nos helpers, une remarque importante... ...deux même!!
ayouelkafi a écrit:Slt , je suis desservis par Avast 4.8 ,...
Bien évidemment, il faudrait peut-être penser à mettre à jour ton antivirus. Sinon, tu vis dans l'illusion de protection...
Mais ce n'est pas tout, il y a une habitude qu'il va falloir que tu perdes, sinon tu sera un sociétaire permanent
de notre rubrique " Sécurité & virus" avec le risque de lasser nos helpers. De quoi je parles:
ayouelkafi a écrit:...en plus quand je veux intégrer quelque choses dans le registre (pour cracker un logiciel)...
Tu mets le feu tout seul, mais après il y aurgence pour que les pompiers arrivent...
Continue les sites de crack, tu es sur la voie de posséder une merveilleuse machine (zombie)
dont tu ne seras plus le "Maitre".

Bon, je dis ça, je ne dis rien...Patientes un peu, nos helpers passerons traiter ton sujet, mais comme tout
bénévoles qui se respectent, ils ont une vie extérieure.
Avatar de l'utilisateur
Ask to Old Man
Moderateur
Moderateur
 
Messages: 19970
Inscription: 14 Mar 2004 10:06
Localisation: Argenteuil,Val d'Oise
 
Haut

Re: Win32:Rootkit-gen [Rtk]

Message le 07 Avr 2010 11:51

bonjour a tous

ayouelkafi: En premier n'oublies les recommandations de "Ask to Old Man" :wink:


Ensuite ceci.

Relance HijackThis >puis : Do a system scan only > coche ces lignes: ensuite valides sur Fix checked

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe" //mailurl:mailto:ziko_cooperation@hotmail.com
R3 - URLSearchHook: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files\Hotspot_Shield\tbHots.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files\Hotspot_Shield\tbHots.dll
O3 - Toolbar: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files\Hotspot_Shield\tbHots.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\Audio\Drivers\AzMixerSel.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\imwin.jpg
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\winxp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Software Informer\softinfo.exe" -autorun
O4 - HKCU\..\Run: [explo] C:\Documents and Settings\hamza\Application Data\msn.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O16 - DPF: {FB16B8A8-67A6-11D5-B1F6-0000E8329061} (GrINetStandardProfile Class) - http://www.graitec.com/Common/Downloads ... Engine.cab
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\HssTrayService.EXE (file missing)


Ensuite::

Télécharges >>> Rkill.com<<< de Grinler

Fais un clic-droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil si tu es sous Vista sinon lance le normalement


Ensuite:

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.


>> Pour VISTA : Clic-droit et choisis "Exécuter en tant qu'administrateur".

>> AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

Double-clique sur OTM pour le lancer. Image

Copie la liste qui se trouve en citation ci-dessous:
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"regdiit"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"explo"=-

:Files
c:\windows\system32\winxp.exe
c:\documents and settings\hamza\application data\msn.exe
:Commands
[purity]
[emptytemp]
[Reboot]


et colle-la dans le cadre de gauche de OTM sous ceci:

Image

Clique sur Image pour lancer la suppression.
attendre la fin du travail de l'outil puis fermer OTM

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.


Ensuite ceci:


Installe Malewarebytes' Antimalware,
Téléchargement et tuto

*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.
*** il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.
Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) → cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 
Haut

Re: Win32:Rootkit-gen [Rtk]

Message le 07 Avr 2010 17:00

Merci bernard53 de valider mon propos. :wink:
Avatar de l'utilisateur
Ask to Old Man
Moderateur
Moderateur
 
Messages: 19970
Inscription: 14 Mar 2004 10:06
Localisation: Argenteuil,Val d'Oise
 
Haut

Re: Win32:Rootkit-gen [Rtk]

Message le 07 Avr 2010 17:09

Ask to Old Man a écrit:Merci bernard53 de valider mon propos. :wink:


De rien c'est tout a fait normal.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 
Haut

Re: Win32:Rootkit-gen [Rtk]

Message le 08 Avr 2010 04:22

Je tiens a vous remercier M "Ask to Old Man" pour tes recommandations que je vais essayer de les appliquer
Pour vous M’bernard53’ merci pour votre aides et pour le temps que vous m’avez accordé
Pour les rapports
de OTM
All processes killed
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\regdiit deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\explo not found.
========== FILES ==========
c:\windows\system32\winxp.exe moved successfully.
File/Folder c:\documents and settings\hamza\application data\msn.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 56329299 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 75 bytes

User: hamza
->Temp folder emptied: 361914541 bytes
->Temporary Internet Files folder emptied: 1317837100 bytes
->Java cache emptied: 109208 bytes
->Google Chrome cache emptied: 6099312 bytes
->Flash cache emptied: 8079 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 824891 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 9333760 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 20636658 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 80291335 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 440248 bytes
RecycleBin emptied: 2825468624 bytes

Total Files Cleaned = 4 463,00 mb


OTM by OldTimer - Version 3.1.10.1 log created on 04072010_234855

Files moved on Reboot...
C:\Documents and Settings\hamza\Local Settings\Temporary Internet Files\Content.IE5\S37I1JJS\viewtopic[1].htm moved successfully.
C:\Documents and Settings\hamza\Local Settings\Temporary Internet Files\Content.IE5\MLBKFG2H\adsCAWAE3GB.htm moved successfully.
C:\Documents and Settings\hamza\Local Settings\Temporary Internet Files\Content.IE5\FE9H4QX2\adsCAZL7QGW.htm moved successfully.
C:\WINDOWS\temp\Perflib_Perfdata_698.dat moved successfully.

Registry entries deleted on Reboot...

celui de mbam

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3967

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/04/2010 02:45:52
mbam-log-2010-04-08 (02-45-52).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 263227
Temps écoulé: 2 heure(s), 31 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.Exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regdiit (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\hamza\Bureau\robo\Robobat21\KEYGEN Robot\KEYGEN\x64\xf-a2010.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Documents and Settings\hamza\Bureau\robo\Robobat21\KEYGEN Robot\KEYGEN\x86\xf-a2010.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\hamza\Bureau\projet a rendre\Cracks IDM v5.12.7\Patch\Patch.5.xx.retail.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\_OTM\MovedFiles\04072010_234855\c_windows\system32\winxp.exe (Malware.Mod) -> Delete on reboot.



Je vous informe que le problème n’est pas encore résolut et la détection de ce maudite virus me suit
Merci pour vos aides
ayouelkafi
Visiteur
Visiteur
 
Messages: 8
Inscription: 07 Avr 2010 01:21
 
Haut

Re: Win32:Rootkit-gen [Rtk]

Message le 08 Avr 2010 11:57

Continu ceci ayouelkafi



Télécharge ComboFix <ICI>>

Pour les Utilisateurs de VISTA: Clic-droit et choisis "Exécuter en tant qu'administrateur".
Pour VISTA : pas d'installation de la console de récupération.

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir préinstallée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.
>> Une fois sur ton bureau double clique dessus pour le lancer.
Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

>>Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 
Haut

Re: Win32:Rootkit-gen [Rtk]

Message le 08 Avr 2010 15:04

merci
le rpport de combofix est :

ComboFix 10-04-07.04 - hamza 08/04/2010 13:44:03.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.451 [GMT 0:00]
Lancé depuis: c:\documents and settings\hamza\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100408-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\_000007_.tmp.dll
c:\windows\system32\_000008_.tmp.dll
c:\windows\system32\_000009_.tmp.dll
c:\windows\system32\_000023_.tmp.dll
c:\windows\system32\_000024_.tmp.dll
c:\windows\system32\_000025_.tmp.dll
c:\windows\system32\_000026_.tmp.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-08 au 2010-04-08 ))))))))))))))))))))))))))))))))))))
.

2010-04-08 00:09 . 2010-04-08 00:09 -------- d-----w- c:\documents and settings\hamza\Application Data\Malwarebytes
2010-04-08 00:09 . 2010-03-30 00:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-08 00:09 . 2010-04-08 00:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-08 00:09 . 2010-04-08 00:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-08 00:09 . 2010-03-30 00:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-07 23:48 . 2010-04-07 23:48 -------- d-----w- C:\_OTM
2010-04-06 23:18 . 2003-12-18 18:53 6656 ----a-w- c:\windows\system32\haspvdd.dll
2010-04-06 23:18 . 2003-12-18 18:53 383 ----a-w- c:\windows\system32\haspdos.sys
2010-04-06 23:18 . 2003-12-18 18:53 304640 ----a-w- c:\windows\system32\hlvdd.dll
2010-04-06 23:18 . 2004-01-31 20:14 420000 ----a-w- c:\windows\system32\drivers\hardlock.sys
2010-04-06 23:18 . 2003-12-18 18:53 47616 ----a-w- c:\windows\system32\drivers\haspnt.sys
2010-04-06 23:03 . 2010-04-06 23:04 -------- d-----w- C:\HaspEmulPE.XP
2010-04-06 22:48 . 2010-04-06 22:48 -------- d-----w- c:\documents and settings\All Users\Application Data\Graitec
2010-04-06 22:44 . 2006-05-16 19:56 172032 ----a-w- c:\windows\Sdec3Exec.exe
2010-04-06 22:42 . 2003-07-25 11:20 331776 ----a-w- c:\windows\system32\HASPVB32.DLL
2010-04-06 22:42 . 2010-04-06 22:48 -------- d-----w- c:\program files\Fichiers communs\Graitec
2010-04-06 22:41 . 2010-04-06 23:01 -------- d-----w- C:\Graitec
2010-04-02 23:30 . 2010-04-02 23:30 -------- d-----w- c:\documents and settings\hamza\Local Settings\Application Data\Conduit
2010-04-02 23:30 . 2010-04-02 23:31 -------- d-----w- c:\documents and settings\hamza\Local Settings\Application Data\Hotspot_Shield
2010-04-02 23:28 . 2010-04-02 23:28 -------- d-----w- c:\program files\Conduit
2010-04-02 23:27 . 2010-04-02 23:28 -------- d-----w- c:\program files\Hotspot_Shield
2010-04-02 23:16 . 2010-04-02 23:41 -------- d-----w- c:\program files\Hotspot Shield
2010-04-02 22:48 . 2010-04-05 09:31 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2010-04-02 22:26 . 2010-04-02 23:05 -------- d-----w- C:\Autodesk Robot Structural Analysis Users
2010-04-02 22:11 . 2010-04-02 22:11 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared
2010-03-30 18:04 . 2008-04-13 19:33 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll
2010-03-30 18:04 . 2008-04-13 19:33 21504 ----a-w- c:\windows\system32\hidserv.dll
2010-03-30 18:04 . 2008-04-14 12:00 14720 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys
2010-03-30 18:04 . 2008-04-14 12:00 14720 ----a-w- c:\windows\system32\drivers\kbdhid.sys
2010-03-26 17:50 . 2010-04-04 00:28 -------- d-----w- C:\Downloads
2010-03-26 17:49 . 2010-04-07 09:17 -------- d-----w- c:\documents and settings\hamza\Application Data\Software Informer
2010-03-26 17:49 . 2010-03-26 17:49 -------- d-----w- c:\program files\Software Informer
2010-03-26 17:49 . 2010-04-08 13:51 -------- d-----w- c:\documents and settings\hamza\Application Data\Free Download Manager
2010-03-26 17:49 . 2010-03-26 17:49 -------- d-----w- c:\documents and settings\All Users\Application Data\FreeDownloadManager.ORG
2010-03-26 17:49 . 2010-03-26 17:49 -------- d-----w- c:\program files\Free Download Manager
2010-03-26 17:42 . 2010-03-26 17:42 -------- d-----w- c:\documents and settings\hamza\Application Data\IDM
2010-03-26 10:58 . 2010-03-26 10:58 -------- d-----w- c:\documents and settings\hamza\Application Data\Macrovision
2010-03-26 10:53 . 2010-03-26 10:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Macrovision
2010-03-26 10:30 . 2010-03-26 10:30 -------- d-----w- C:\Autodesk
2010-03-25 15:45 . 2002-12-23 01:01 110592 ----a-w- c:\windows\system32\tsccvid.dll
2010-03-17 20:34 . 2010-03-17 20:34 -------- d-----w- c:\program files\Fichiers communs\xing shared

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-08 09:58 . 2010-02-15 23:19 -------- d-----w- c:\documents and settings\hamza\Application Data\vlc
2010-04-08 01:55 . 2010-02-09 13:27 -------- d-----w- c:\documents and settings\hamza\Application Data\Move Networks
2010-04-06 23:24 . 2010-02-05 22:09 129704 ----a-w- c:\documents and settings\hamza\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-06 22:41 . 2009-08-01 17:40 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-06 22:41 . 2009-08-01 17:46 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2010-04-06 22:11 . 2010-02-15 23:44 -------- d-----w- c:\documents and settings\hamza\Application Data\dvdcss
2010-04-06 10:16 . 2010-02-05 22:02 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared
2010-04-06 10:06 . 2010-02-05 22:02 -------- d-----w- c:\program files\Autodesk
2010-04-04 01:37 . 2010-02-05 22:05 -------- d-----w- c:\documents and settings\hamza\Application Data\Autodesk
2010-04-04 00:32 . 2009-08-02 01:35 82990 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-04 00:32 . 2009-08-02 01:35 506200 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-30 13:17 . 2010-02-09 13:27 143973 ----a-w- c:\documents and settings\hamza\Application Data\Move Networks\uninstall.exe
2010-03-30 13:17 . 2009-09-24 21:45 5644224 ----a-w- c:\documents and settings\hamza\Application Data\Move Networks\plugins\npqmp071700000016.dll
2010-03-26 17:45 . 2010-02-10 22:05 -------- d-----w- c:\documents and settings\hamza\Application Data\DMCache
2010-03-26 10:54 . 2010-02-05 22:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk
2010-03-20 12:30 . 2009-08-01 17:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-03-17 20:35 . 2010-03-17 20:35 49152 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\Components\nprpffbrowserrecordext.dll
2010-03-17 20:35 . 2010-03-17 20:35 45056 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimwmp.dll
2010-03-17 20:35 . 2010-03-17 20:35 45056 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimswf.dll
2010-03-17 20:35 . 2010-03-17 20:35 45056 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimrp.dll
2010-03-17 20:35 . 2010-03-17 20:35 45056 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\ThinShims\rpnpshimqt.dll
2010-03-17 20:35 . 2010-03-17 20:35 40960 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll
2010-03-17 20:35 . 2010-03-17 20:35 308808 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Common\rpmainbrowserrecordplugin.dll
2010-03-17 20:35 . 2010-03-17 20:35 14848 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
2010-03-17 20:35 . 2010-03-17 20:35 341600 ----a-w- c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
2010-03-17 20:35 . 2010-02-14 14:06 -------- d-----w- c:\program files\Fichiers communs\Real
2010-03-17 20:34 . 2010-02-14 14:06 -------- d-----w- c:\program files\Real
2010-03-10 01:44 . 2009-08-01 15:54 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-03-07 10:36 . 2010-02-22 20:46 1 ----a-w- c:\documents and settings\hamza\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-03 13:48 . 2010-03-03 13:48 -------- d-----w- c:\program files\Publication Web
2010-03-03 13:40 . 2010-03-03 13:40 2678 ----a-w- c:\windows\java\Packages\Data\LB7NFN1R.DAT
2010-03-03 13:40 . 2010-03-03 13:40 2678 ----a-w- c:\windows\java\Packages\Data\QHVDJX3J.DAT
2010-03-03 13:40 . 2010-03-03 13:40 2678 ----a-w- c:\windows\java\Packages\Data\P75JLV7X.DAT
2010-03-03 13:40 . 2010-03-03 13:40 2678 ----a-w- c:\windows\java\Packages\Data\73DRDJFR.DAT
2010-02-25 06:17 . 2009-08-02 01:35 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-22 20:46 . 2010-02-22 20:46 -------- d-----w- c:\documents and settings\hamza\Application Data\OpenOffice.org
2010-02-21 17:19 . 2010-02-21 17:17 -------- d-----w- c:\program files\Internet Mobile
2010-02-19 15:04 . 2010-02-19 15:04 -------- d-----w- c:\program files\JRE
2010-02-19 15:04 . 2010-02-19 15:03 -------- d-----w- c:\program files\OpenOffice.org 3
2010-02-18 00:51 . 2010-02-18 00:51 -------- d-----w- c:\program files\QuickTime
2010-02-18 00:51 . 2010-02-18 00:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-02-18 00:50 . 2010-02-18 00:50 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-02-18 00:50 . 2010-02-18 00:50 -------- d-----w- c:\program files\Apple Software Update
2010-02-18 00:50 . 2010-02-18 00:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-02-15 10:39 . 2010-02-15 10:30 -------- d-----w- c:\program files\EPANET2
2010-02-15 10:30 . 2010-02-15 10:30 796672 ----a-w- c:\windows\GPInstall.exe
2010-02-15 08:51 . 2010-02-15 08:50 -------- d-----w- c:\program files\PDFCreator
2010-02-15 04:11 . 2010-02-15 04:11 -------- d-----w- c:\program files\VideoLAN
2010-02-15 03:53 . 2010-02-15 03:53 -------- d-----w- c:\program files\Fichiers communs\Java
2010-02-15 03:53 . 2010-02-15 03:53 348160 ----a-w- c:\documents and settings\hamza\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1f6f0529-n\msvcr71.dll
2010-02-15 03:53 . 2010-02-15 03:53 503808 ----a-w- c:\documents and settings\hamza\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1f6f0529-n\msvcp71.dll
2010-02-15 03:53 . 2010-02-15 03:53 499712 ----a-w- c:\documents and settings\hamza\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1f6f0529-n\jmc.dll
2010-02-15 03:53 . 2010-02-15 03:53 61440 ----a-w- c:\documents and settings\hamza\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-6ccd85c5-n\decora-sse.dll
2010-02-15 03:53 . 2010-02-15 03:53 12800 ----a-w- c:\documents and settings\hamza\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-6ccd85c5-n\decora-d3d.dll
2010-02-15 03:52 . 2010-02-15 03:53 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-02-15 03:52 . 2010-02-15 03:52 -------- d-----w- c:\program files\Java
2010-02-14 14:04 . 2009-08-01 17:47 -------- d-----w- c:\program files\Google
2010-02-13 23:37 . 2009-08-01 18:29 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-02-13 14:02 . 2010-02-07 19:34 -------- d-----w- c:\program files\MSBuild
2010-02-13 13:57 . 2010-02-13 13:57 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2010-02-12 00:54 . 2010-02-12 00:53 168 ----a-w- c:\documents and settings\hamza\Application Data\wklnhst.dat
2010-02-12 00:53 . 2010-02-12 00:53 -------- d-----w- c:\documents and settings\hamza\Application Data\Template
2010-02-11 11:31 . 2009-08-01 18:10 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee
2010-02-11 01:36 . 2010-02-11 01:30 -------- d-----w- c:\documents and settings\hamza\Application Data\Dev-Cpp
2010-02-10 20:48 . 2010-02-10 20:48 -------- d-----w- c:\program files\Alwil Software
2010-02-07 19:34 . 2010-02-07 19:34 -------- d-----w- c:\program files\Reference Assemblies
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-02-05 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-02-09 30192]
"PLFSetL"="c:\windows\PLFSetL.exe" [2008-07-03 94208]
"snp2uvc"="c:\windows\system32\csnp2uvc.dll" [2009-02-16 196608]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"RTHDCPL"="RTHDCPL.EXE" [2009-08-24 18702336]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acc‚l‚rateur de d‚marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart17.exe [2008-7-4 11000]
Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2009-8-1 565248]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [10/02/2010 20:49 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10/02/2010 20:49 20560]
R2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [01/08/2009 18:32 237568]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [02/08/2009 01:36 38912]
R3 qcusbser;Mobile Connector USB Device for Legacy Serial Communication;c:\windows\system32\drivers\cmusbser.sys [06/02/2010 02:33 97408]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [05/02/2010 22:35 135664]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [01/08/2009 17:46 1684736]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [01/08/2009 17:47 30192]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [01/08/2009 17:40 162816]
S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-03-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2010-04-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 22:35]

2010-04-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 22:35]

2010-04-08 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-914090876-1260927497-516276246-1005.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 22:09]

2010-04-08 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-914090876-1260927497-516276246-1005.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 22:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACA ... 5w88k24500
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
.
.
------- Associations de fichier -------
.
.scr=AutoCADScriptFile
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{C95A4E8E-816D-4655-8C79-D736DA1ADB6D} - (no file)
HKCU-Run-fsm - (no file)
HKLM-Run-regdiit - c:\windows\system32\winxp.exe
SafeBoot-mcmscsvc
SafeBoot-MCODS



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-08 13:52
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(180)
c:\windows\system32\Audiodev.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\windows\system32\msi.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
.
**************************************************************************
.
Heure de fin: 2010-04-08 13:58:43 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-08 13:58

Avant-CF: 102 095 773 696 octets libres
Après-CF: 101 999 570 944 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 1A5190F0A65BA060BFE0FE2EB65CC959
ayouelkafi
Visiteur
Visiteur
 
Messages: 8
Inscription: 07 Avr 2010 01:21
 
Haut

Re: Win32:Rootkit-gen [Rtk]

Message le 08 Avr 2010 15:14

Je tiens à vous informer que je viens de vérifier le lecteur disque dure ainsi que le registre, et j’ai constaté touts marche bien, mais puisque je ne suis qu’un débutant en informatique je ne peux pas conformer la résolution totale du problème, c’est pourquoi que j’attends votre confirmation
Finalement merci
ayouelkafi
Visiteur
Visiteur
 
Messages: 8
Inscription: 07 Avr 2010 01:21
 
Haut

Re: Win32:Rootkit-gen [Rtk]

Message le 08 Avr 2010 19:07

bon cela est bien pour moi aussi.

1-Refait un passage avec MalwareBytes et après si de ton coté cela va toujours bien.

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.
>> Télécharge ToolsCleaner (de A.Rothstein & dj QUIOU) http://pc-system.fr/TC/ToolsCleaner2.exe

>> Double-clique dessus pour lancer le programme

>> Clique sur Recherche et laisse le scan se terminer (il peut durer une dizaine de minutes au maximum).

>> Une fois la recherche lancée, ne clique pas dans la fenêtre, cela provoquerait un léger bug du programme.

>> Si toutes fois la mention (ne réponds pas) apparaissait dans le titre de la fenêtre ToolsCleaner, ne t'en occupes pas et laisse quand même le programme terminer son travail

** Clique sur Suppression pour finaliser.

• Tu peux, si tu le souhaites, te servir des Options facultatives.

**Poste-moi le rapport qui apparait



Puis::

Maintenant on va mettre la restauration du système propre.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés [/g]
ou touche "Windows+Pause"
Cliquez sur l'onglet Restauration du système

Sélectionnez Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs.

Cliquez sur [b] Appliquer puis OUI dans la fenêtre suivante.

Attendre quelques instants puis :

activer la restauration du système de nouveau.


Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés
ou touche "Windows+Pause"
Cliquez sur l'onglet Restauration du système

Désélectionnez Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs»

Maintenant on crée un nouveau point de restauration.

Démarrer—Exécuter—ou touche "Windows+R" et tapes:
%SystemRoot%\System32\restore\rstrui.exe


Puis coche " Créer un point de restauration" que tu nommes PC- Clean. Valide.

Vous pouvez maintenant fermer toutes les fenêtres.


PUIS::

un peu de lecture sur la manière de protéger ton surf et ton ordi .


Un Compte Utilisateur limité accroît la sécurité de l'ordinateur.

quelques mesures préventives pour surfer couvert.

Comment éviter les imprudences d'installation.

Reconnaitre etéviter les infections Msn .
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 
Haut
Répondre

Sujets similaires

Message [Résolu] Ordinateur infecté par : Program:Win32/Uwasson.A!ml
Bonjour, Je me permet de vous contacter car je n'arrive pas à me débarrasser d'un virus sur mon ordinateur, je n'arrive pas à la supprimer ou mettre en quarantaine.Si j'ai bien compris le fichier porteur n'est plus sur l'ordinateur mais la menace est toujours là.Merci de votre aide.
Réponses: 7

Message Démarrage étrange + Win32:Evo-gen [Susp]
Bonjour ! J'ai besoin d'aide pour mon PC :/Ce matin il a fait un truc assez étrange :Quand je l'ai allumé l?écran restait noir au lieu de 'démarrer windows' ( alors que le petit voyant de l?écran était vert ).J'ai donc redémarré le PC et pareil, écran noir, pas de démarrage de windows. Par hasard j' ...
Réponses: 12

Message [Résolu] Win32/Bitrep.A
Bonjour,Tous les samedis soir, je fais une analyse de mon PC avec "MS Sécurité Essential".Ce matin il m'a trouvé "Bitrep.A" qualifié de grave. Je l'ai donc supprimer, mais la rapidité a laquelle ça se fait me fait douter de l'efficacité.Pourriez-vous me dire si il y a des manips ...
Réponses: 15

Message .EXE N EST PAS UNE COMMANDE WIN32 VALIDE
Bonsoir Boulehya,boulehya a écrit:revoila les rapports demandépar contre j ai bien essayé d obtenir windows 10 mais j ai le meme message une fois que je veut l installé exe. n est pas une commande win 32 valideOn s'occupe déjà du problème et on voit pour Windows 10 en fin de désinfection.========== ...
Réponses: 11

Message win32:evo-gen [susp]
Bonjour,Depuis quelque temps, Avast me détecte: Win32:Evo-gen[Susp]J'ai lu attentivement un post ancien: resolu-win32evo-gen-susp-vt-70523.htmlJ'ai fait l'analyse avec http://malwarebytes.org/products/malwarebytes_freeou puis-je trouver le rapport final SVP ?Je ne suis pas allée plus loin.Merci pour ...
Réponses: 1

Message win32 supprimer, No hard disk detected
Bonjour a tous, tout d'abord j'ai lu pas mal de post et de site internet a ce sujet et aucun ne répond vraiment a ma question et m'aider réellement donc j'ai décider de m'inscrire sur votre forum.Hier j'ai voulu installer un jeux sur mon autre ordinateur et celui ci ne voulais pas s'installer et il ...
Réponses: 5

Message Trojan Rootkit.Boot.Cidox.b
Bonjour,J'ai un problème de virus Trojan cité en objet que Kaspersky n'arrive pas à supprimer. Ce Trojan apparemment a infecté mon disque local C.Aussi je ne sais pas si c'est lié au Trojan mais tous mes fichiers word et excel (Office 2013) et même pdf sont devenus illisibles. Message d'erreur à l'o ...
Réponses: 12

Haut

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 10 invités

Forum Informatique aide pour le matériel sous Windows, Linux, Logiciels et Jeux Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group

.: Nous contacter :: Flux RSS :: Données personnelles :.