Virus Win32:Rootkit-gen [Rtk]

PasTaGa · le 16 Avr 2008 17:37

Salut !
Depuis quelques temps un virus se balade entre mon ordi celui de ma copine, de mes parents, des ces parents .... via les clés usb que nous utilisons fréquemment.
Avast le détecte mais apparemment n'arrive pas à l'éradiquer.
Le nom donné par avast est : Win32:Rootkit-gen [Rtk]
Pouvez vous m'aider ?

r@in | b0w · le 16 Avr 2008 17:43

Bonjour.

Il semblerait que, dans quelques cas, ce soit une fausse alerte qu'Avast détecterait.

Toutes tes machines sont sous Avast?

Pour la suite:

_1 Suis ce tutorial puis postes le rapport généré par l'utilitaire;

2_ Fais une analyse on-line via TrendMicro et tu verras s'il est détecté.

3_ Si tu connais l'emplacement exact, vas sur Jotti, cliques en haut sur le bouton Parcourir, sélectionnes ton fichier puis valides la sélection et cliques finalement sur Submit.
Laisses-lui un peu de temps, il va te dire ce qu'il en est.
Fais une impression écran du résultat avec ce tutorial d'AtOM.

Skynet · le 16 Avr 2008 17:47

Salut,

Version 4.7 ou 4.8 d'Avast ?

PasTaGa · le 16 Avr 2008 17:48

V4.8 d'avast, pourquoi ?

Skynet · le 16 Avr 2008 17:50

Parce que le 4.8 a un Anti-Rootkit d'intégré, bizarre qu'il n'arrive pas
à l'éradiquer. :-?

PasTaGa · le 16 Avr 2008 17:51

avast le situe ici : C:Documents and SettingsadelineApplication Datadxdllsimapdb.exe

PasTaGa · le 16 Avr 2008 17:54

j'arrive pas à trouver application data c'est bizarre

r@in | b0w · le 16 Avr 2008 17:56

Bonjour.

1_ Application Data est un fichier caché, il faut activer la visibilité de ces fichiers.
Dans l'explorateur de dossier, cliques sur Outils puis Options des dossiers. Tu vas sur l'onglet Affichage et descends un peu la liste.
Il y aura une ligne: Afficher les dossiers et fichiers cachés;
Tu la coches.

2_ Tentes une analyse antivirus en Mode sans échec (F8 au démarrage).

3_ Quelques informations sur ton imapdb.exe.

PasTaGa · le 16 Avr 2008 17:57

justement je savais que c'est un dossier caché mais il n'apparait pas une fois les fichiers cachés affichés...

voici le rapport hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 18:46:10, on 16/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesLavasoftAd-Aware 2007aawservice.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32wscript.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSexplorer.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsLogiShrdLVMVFMLVPrcSrv.exe
C:Program Filesa-squared Freea2service.exe
C:Program FilesBonjourmDNSResponder.exe
C:Program FilesFichiers communsLogiShrdLVCOMSERLVComSer.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesFichiers communsLogiShrdLVCOMSERLVComSer.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:Program FilesHpHP Software UpdateHPWuSchd2.exe
C:Program FilesJavajre1.6.0_05injusched.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSosd.exe
C:WINDOWSResourcesThemesVistaXPvtVisualToolTip.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:WINDOWSSystem32WScript.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:Program FilesWindows LiveMessengerusnsvc.exe
C:Documents and SettingsadelineBureauHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://www.hp.com/
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe wproxp.exe
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32wscript.exe C:WINDOWSsystem32oot.vbs
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_05inssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [ATIPTA] "C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe"
O4 - HKLM..Run: [Cpqset] C:Program FilesHPQDefault Settingscpqset.exe
O4 - HKLM..Run: [HP Software Update] C:Program FilesHpHP Software UpdateHPWuSchd2.exe
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_05injusched.exe"
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [OSD] C:WINDOWSosd.exe
O4 - HKLM..Run: [VisualTooltip] C:WINDOWSResourcesThemesVistaXPvtVisualToolTip.exe
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [\MAURICEEPSON Stylus DX5000 Series] C:WINDOWSSystem32spoolDRIVERSW32X863E_FATIBVE.EXE /FU "C:DOCUME~1adelineLOCALS~1TempE_S11.tmp" /EF "HKLM"
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_05inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_05inssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%doscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%doscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O10 - Unknown file in Winsock LSP: c:program filesonjourmdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1WINDOW~4MESSEN~1MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:Program FilesFichiers communsMicrosoft SharedHelphxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1WINDOW~4MESSEN~1MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:PROGRA~1FICHIE~1MICROS~1OFFICE12MSOXMLMF.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:Program Filesa-squared Freea2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:Program FilesLavasoftAd-Aware 2007aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:Program FilesBonjourmDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:Program FilesFichiers communsMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:Program FilesHPQsharedhpqwmi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:Program FilesFichiers communsLogiShrdLVCOMSERLVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:Program FilesFichiers communsLogiShrdLVMVFMLVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:Program FilesFichiers communsLogiShrdSrvLnchSrvLnch.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:Program FilesSpyware DoctorpctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:Program FilesSpyware DoctorpctsSvc.exe

PasTaGa · le 16 Avr 2008 18:01

c'est quoi l'interet de l'analyse en sans echec ?

r@in | b0w · le 16 Avr 2008 18:02

Pas normal.

Assures-toi de regarder au bon endroit.

PasTaGa a écrit:justement je savais que c'est un dossier caché mais il n'apparait pas une fois les fichiers cachés affichés...

Pour le log, une ligne à effacer:

F2 - REG:system.ini: Shell=explorer.exe wproxp.exe

Si tu n'y arrives pas, tu pars en Mode sans échec pour l'avoir.

Edit: grillé par Skynet.

Pour la R1, ok. Pour la 02 - BHO, il semble qu'elle ne soit pas enlevable.

Skynet · le 16 Avr 2008 18:02

A effacer :

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local

F2 - REG:system.ini: Shell=explorer.exe wproxp.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

EDIT : en même temps R@in | b0w :lol:

.

r@in | b0w · le 16 Avr 2008 18:05

PasTaGa a écrit:c'est quoi l'interet de l'analyse en sans echec ?

Tu peux faire plus de choses car il n'y a que le minimum vital pour l'ordinateur de chargé.

Cela permet d'éliminer de la vermine se lançant normalement avec Windows.

En gros, le Mode sans échec ne permet pas d'erreurs, cad de refus pour les suppressions par exemple.

@ Skynet:

pininfaraina · le 13 Avr 2009 17:12

salut a tous,
g le mém prob sur mon pc
voila le rappoet de hijackthis
plz,help :(

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:02:09, on 13/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSehomeehtray.exe
C:WINDOWSRTHDCPL.EXE
C:Program FilesIntelIntel Matrix Storage ManagerIaanotif.exe
C:Program FilesHP DigitalMedia ArchiveDMAScheduler.exe
C:Program FilesHPHP Software UpdateHPwuSchd2.exe
C:Program FilesMessengerPlus! 3MsgPlus.exe
C:WINDOWSsystem32 undll32.exe
C:PROGRA~1NokiaNOKIAP~1LAUNCH~1.EXE
C:Program FilesFichiers communsRealUpdate_OB ealsched.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSeHomeehRecvr.exe
C:WINDOWSeHomeehSched.exe
C:Program FilesIntelIntel Matrix Storage ManagerIaantmon.exe
C:Program FilesFichiers communsLightScribeLSSrvc.exe
C:WINDOWSsystem32
vsvc32.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:Program FilesIntelIntelDHIntel(R) Quick Resume Technology DriversElservice.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:WINDOWSeHomeehmsas.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:Program FilesFichiers communsPCSuiteServicesServiceLayer.exe
C:WINDOWSsystem32dllhost.exe
C:WINDOWSSystem32svchost.exe
C:HPKBDKBD.EXE
c:windowssystemhpsysdrv.exe
C:Program FilesJavajre1.5.0_06injusched.exe
C:Program FilesiTunesiTunesHelper.exe
C:Program FilesiPodiniPodService.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://badoo.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:Program FilesSearch Settingskb127SearchSettings.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:Program FilesRealRealPlayer pbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06inssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:Program FilesSearch Settingskb127SearchSettings.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [ehTray] C:WINDOWSehomeehtray.exe
O4 - HKLM..Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM..Run: [IAAnotif] C:Program FilesIntelIntel Matrix Storage ManagerIaanotif.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM..Run: [DMAScheduler] "c:Program FilesHP DigitalMedia ArchiveDMAScheduler.exe"
O4 - HKLM..Run: [Recguard] C:WINDOWSSMINSTRECGUARD.EXE
O4 - HKLM..Run: [HPBootOp] "C:Program FilesHewlett-PackardHP Boot OptimizerHPBootOp.exe" /run
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software UpdateHPwuSchd2.exe
O4 - HKLM..Run: [MessengerPlus3] "C:Program FilesMessengerPlus! 3MsgPlus.exe"
O4 - HKLM..Run: [PCSuiteTrayApplication] C:PROGRA~1NokiaNOKIAP~1LAUNCH~1.EXE -startup
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [SearchSettings] C:Program FilesSearch SettingsSearchSettings.exe
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKCU..Run: [MessengerPlus3] "C:Program FilesMessengerPlus! 3MsgPlus.exe" /WinStart
O4 - HKCU..Run: [cdoosoft] C:WINDOWSsystem32olhrwef.exe
O4 - HKCU..Run: [msnmsgr] "C:Program FilesWindows LiveMessengermsnmsgr.exe" /background
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - S-1-5-18 Startup: Pin.lnk = C:hpinCLOAKER.EXE (User 'SYSTEM')
O4 - S-1-5-18 Startup: PinMcLnk.lnk = C:hpincloaker.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Pin.lnk = C:hpinCLOAKER.EXE (User 'Default user')
O4 - .DEFAULT Startup: PinMcLnk.lnk = C:hpincloaker.exe (User 'Default user')
O4 - .DEFAULT User Startup: Pin.lnk = C:hpinCLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:hpincloaker.exe (User 'Default user')
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:Program FilesGoogleGoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:Program FilesGoogleGoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:Program FilesGoogleGoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:Program FilesGoogleGoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:Program FilesGoogleGoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06inssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:WINDOWSPCHEALTHHELPCTRVendorsCN=Hewlett-Packard,L=Cupertino,S=Ca,C=USIEButtonsupport.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:WINDOWSPCHEALTHHELPCTRVendorsCN=Hewlett-Packard,L=Cupertino,S=Ca,C=USIEButtonsupport.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:PROGRA~1FICHIE~1SkypeSKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:Program FilesIntelIntelDHIntel(R) Quick Resume Technology DriversElservice.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:Program FilesIntelIntel Matrix Storage ManagerIaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver1050Intel 32IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:Program FilesFichiers communsLightScribeLSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:Program FilesWinPcap pcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:Program FilesFichiers communsPCSuiteServicesServiceLayer.exe

--
End of file - 9210 bytes

r@in | b0w · le 13 Avr 2009 17:52

Bonjour.

_ Via HiJackThis, tu supprimes les lignes suivantes:

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://badoo.com/
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:Program FilesSearch Settingskb127SearchSettings.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:Program FilesSearch Settingskb127SearchSettings.dll
O4 - HKLM..Run: [MessengerPlus3] "C:Program FilesMessengerPlus! 3MsgPlus.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [SearchSettings] C:Program FilesSearch SettingsSearchSettings.exe
O4 - HKCU..Run: [MessengerPlus3] "C:Program FilesMessengerPlus! 3MsgPlus.exe" /WinStart
O4 - HKCU..Run: [cdoosoft] C:WINDOWSsystem32olhrwef.exe
O4 - HKCU..Run: [msnmsgr] "C:Program FilesWindows LiveMessengermsnmsgr.exe" /background

_ Tu as une barre d'outils vérolée & un trojan.

Tu vas télécharger Toolbar S&D.

Tu double cliques ensuite sur l'icône Toolbar S&D pour lancer l'application.

Tu tapes sur la touche [F] pour sélectionner la langue française.

Tu appuies ensuite sur la touche [1] puis sur la touche [Entrée] pour lancer l'analyse.

Quand tu verras indiqué:

Code: Tout sélectionner: Fin du rapport à --:--:--,--

L'analyse sera finie.

Normalement, le rapport d'analyse s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.

Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.

Virus Win32:Rootkit-gen [Rtk]

Virus Win32:Rootkit-gen [Rtk]

Sujets similaires

Qui est en ligne