C:WindowsSystem32ToolsLostRun.exe

[Pigozzi Fabio]

Bonsoir à tous,

Il y a une semaine, lorsque j'ai allumé mon PC les message suivant est apparu: le système ne trouve pas le fichier NTLDR.

les actions suivantes ont été menées:

a) Redémarage à l'aide du CD Windows XP et tentative de réparation
b) Réinstalation du Windows XP + Pack 2

Dans les deux cas, le message suivant est apparu: fichier exts.dll introuvable, voulez-vous continuer ? J'ai répondu par l'affirmative.

Aujourd'hui, je suis confronté au problème suivant:
A chaque redémarage de Windows le message suivant apparaît:
C:WindowsSystem32ToolsLostRun.exe introuvable.

Les fonctionalités de mon PC ne sont pas altérées et mon anti-virus ne détecte aucune anomalie.

Mes questions sont les suivantes:
a) suis-je infecté par un virus ou toutes autres sources malvaillantes ?
b) quelles sont les mesures curratives afin d'éradiquer le problème ?
c) Quel sont les risques encourus à cout,moyen et long termes si aucunes
actions curratives et préventives ne sont clairement définies ?

Merci de pépondre de manière explicite, mon PC est mon outil te travail.

Dans l'attente d' une réponce, à tous une exellente soirée.

Fabio

[Ask to Old Man]

Bonjour & bienvenue,

A chaque redémarrage de Windows le message suivant apparaît:
C:WindowsSystem32ToolsLostRun.exe introuvable.

Apparament cet .exe n'est pas légitime. Probabilité de Spyware/malware.

Dans l'ordre, exécuter l'intégralité de notre dossier Nettoyage du PC,
Y rajouter un passage de AntiRootKit.

Dans le dossier nettoyage, un paragraphe te spécifie l'utilisation de Hijackthis
tu envoie le log généré en copier/collé à cette adresse qui te donnera un résultat avec lequel
tu pourra "exécuter" les objets perturbateurs. En cas de doutes, poste-le ici.

Mes questions sont les suivantes:
a) suis-je infecté par un virus ou toutes autres sources malvaillantes ?

Probablement!!

b) quelles sont les mesures curratives afin d'éradiquer le problème ?

Décrites ci-dessus.

c) Quel sont les risques encourus à cout,moyen et long termes si aucunesactions curratives et préventives ne sont clairement définies ?

Ne connaissant pas exactement les actions pouvant être générées par le problème actuel,
tout est possible.Ralentissement machine progressif, pertes de données, vol de fichiers,
machine servant de "zombie" pour que le créateur de l'infection se trouve avec un réseau
de plus en plus grand de robots pollueurs, infecter tous tes contacts etc.

En clair: Te pourrir ton temps, ta machine, ton outil de travail.

...et mon anti-virus ne détecte aucune anomalie.

C'est la seule protection dont tu dispose, l'antivirus?? Si tel est le cas, c'est bien faible.

[Pigozzi Fabio]

Merci pour ton aide,

J'ai executé la prmière phase (Sophos Anti-Rootkit), voici les résultats:

Deux dossiers apparaissent et on me donne la possibilité d'executer
CLEAN UP CHECK ITEMS

Que dois-je faire ?

[Ask to Old Man]

D'abord cliquer sur chaque ligne ou dans la fenêtre du bas seront données des infos,
Trois cas possibles:
_ Removable : No
_ Removable : Yes & d'ailleurs doivent apparaitre avec la coche verte
Donc clic sur le bouton "Clean up checked items."
_ Removable : Yes (but clean up not recommended for this file) Il faut dans ce cas les communiquer ==> www.sophos.com/support.

PS: C'est parfaitement expliqué ( en Anglais ) dans C:ProgramFilesSophosSophos anti-RootkitSarman.pdf.

[Ask to Old Man]

Bonjour,

A la suite d'une très probable erreur de bouton, au lieu de
Nous allons continuer ici. Pas de dépannage sur messagerie perso ce qui est contraire au fonctionnement
communautaire de notre Forum ou tout doit profiter à tous les lecteurs "publics".

J'ai executé les 2 premières phases

a) la première phase (Sophos Anti-Rootkit) n'a rien trouvée.

b) Voici les résultats de HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:24:16, on 30.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32
vsvc32.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsBitDefenderBitDefender Communicatorxcommsvr.exe
C:Program FilesFichiers communsBitDefenderBitDefender Update Servicelivesrv.exe
C:Program FilesBitDefenderBitDefender 2008vsserv.exe
C:WINDOWSsystem32SearchIndexer.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesBitDefenderBitDefender 2008dagent.exe
C:Program FilesScanSoftPaperPortpptd40nt.exe
C:Program FilesBrotherControlCenter2rctrcen.exe
C:Program FilesMicrosoft OfficeOffice12GrooveMonitor.exe
C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesWindows Desktop SearchWindowsSearch.exe
C:WINDOWSsystem32wpabaln.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:Program FilesCopernic AgentCopernicAgentExt.dll/INTEGRATION_BAND_SEARCHBAR_HTML
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:PROGRA~1COPERN~1COPERN~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:Program FilesMicrosoft OfficeOffice12GrooveShellExtensions.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:Program FilesBitDefenderBitDefender 2008IEToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar2.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:Program FilesCopernic AgentCopernicAgentExt.dll
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [BitDefender Antiphishing Helper] "C:Program FilesBitDefenderBitDefender 2008IEShow.exe"
O4 - HKLM..Run: [BDAgent] "C:Program FilesBitDefenderBitDefender 2008dagent.exe"
O4 - HKLM..Run: [SSBkgdUpdate] "C:Program FilesFichiers communsScansoft SharedSSBkgdUpdateSSBkgdupdate.exe" -Embedding -boot
O4 - HKLM..Run: [PaperPort PTD] C:Program FilesScanSoftPaperPortpptd40nt.exe
O4 - HKLM..Run: [IndexSearch] C:Program FilesScanSoftPaperPortIndexSearch.exe
O4 - HKLM..Run: [SetDefPrt] C:Program FilesBrotherBrmfl04gBrStDvPt.exe
O4 - HKLM..Run: [ControlCenter2.0] C:Program FilesBrotherControlCenter2rctrcen.exe /autorun
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [GrooveMonitor] "C:Program FilesMicrosoft OfficeOffice12GrooveMonitor.exe"
O4 - HKLM..RunOnce: [Execute] C:WINDOWSSystem32ToolsLostRun.exe
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user')
O4 - Startup: Reboot.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:Program FilesWindows Desktop SearchWindowsSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 - Extra context menu item: Search Using Copernic Agent - res://C:Program FilesCopernic AgentCopernicAgentExt.dll/INTEGRATION_MENU_SEARCHEXT
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:PROGRA~1COPERN~1COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Launch Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:PROGRA~1COPERN~1COPERN~1.EXE
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:PROGRA~1COPERN~1COPERN~1.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O15 - Trusted Zone: http://*.mcafee.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:Program FilesMicrosoft OfficeOffice12GrooveSystemServices.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:Program FilesFichiers communsBitDefenderBitDefender Update Servicelivesrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32
vsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:Program FilesFichiers communsSymantec SharedSNDSrvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:Program FilesBitDefenderBitDefender 2008vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:Program FilesFichiers communsBitDefenderBitDefender Communicatorxcommsvr.exe

--
End of file - 7757 bytes


Quelle est la prochaine étape ?
Merci pour ton aide

2 lignes inutiles à supprimer en les cochant puis cliquant sur FixChecked:
_ O4 - HKLM..RunOnce: [Execute] C:WINDOWSSystem32ToolsLostRun.exe
_ O4 - Startup: Reboot.exe

A noter, qu'il serait nettement préférable d'executer ces opérations en mode sans échecs,
& machine déconnectée du Net. Ensuite, deux questions:
_ Tu utilises "Messenger" ??
_ Et cette machine aurait-elle eu un logiciel de protection d'origine "Symantec/Norton"
avant de passer à "BitDefender"??

[r@in | b0w]

Bonjour.

+1 avec le scan HiJackThis en mode sans échec ainsi que les analyses antivirus ou Spybot (cf mon 1_). Sophos est le seul à ne pas fonctionner dans ce mode.

+1 aussi pour la limitation du surf (Msn déconseillé par exemple) afin de prévenir une éventuelle surinfection.

Je me permets de rajouter cependant quelques petites choses.

1_ Ton ordinateur est ta machine de travail. Pour mieux la parer contre les infections, tu peux, et cela est fortement conseillé, installer Spybot, un must contre les spywares.
Je te conseille également d'activer toutes ses options, dont TeaTimer qui empêche les manipulations de la base de registre sans ton accord.

2_ Je ne sais pas si cela a déjà été fait mais il vaut mieux, dans les phases de désinfection, désactiver la Restauration automatique du système qui pourrait permettre à ta vermine de revenir au prochain démarrage.