> Tous les forums > Forum Sécurité
 rootkit-gen me plante tout je suis desespere!!!
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
zinezine
  Posté le 04/06/2008 @ 21:54 
Aller en bas de la page 

Bonjour a vous

en rentrant du boulot, ma femme m' apprend un message d' ' avast: win32: rootkit-gen collé sur le fichier svchost.exe. apparement elle l'a mis en quarantaine et eteint l' ordinateur .

je le rallume et hyper long, plus de barre menu demarrer, plus de connection internet ni mel, plus de possibilité de restaure et je suis pas doué en informatique. je vous appelle au secours depuis mon portable encore une chance....y aurait il une ame charitable

voici le rapport hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:05:01, on 04/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\securite\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\QuickTime\qttask.exe
D:\Program Files\Winamp\winampa.exe
C:\Program Files\securite\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\securite\SpamPal\spampal.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/sphome.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.labanquepostale.fr/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [Microsoft media] winmplayers.exe
O4 - HKLM\..\Run: [msnmsg] C:\TBC.exe
O4 - HKLM\..\Run: [] hw32.exe /n /fh /r wupd32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [MsMovies] C:\Program Files\MsMovies\MsMovies.exe /auto
O4 - HKLM\..\Run: [WinampAgent] d:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\securite\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S92.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\securite\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [zzz_ImInstaller_Magentic] C:\DOCUME~1\ZIN~1.ZIN\LOCALS~1\Temp\ImInstaller\Magentic\magentic_install[1].exe -startup -product Magentic -skip_dialog language
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe /automation
O4 - HKLM\..\RunServices: [Microsoft media] winmplayers.exe
O4 - HKLM\..\RunServices: [] hw32.exe /n /fh /r wupd32.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKUS\S-1-5-21-796845957-152049171-839522115-1003\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User '?')
O4 - HKUS\S-1-5-21-796845957-152049171-839522115-1003\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c (User '?')
O4 - HKUS\S-1-5-21-796845957-152049171-839522115-1003\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [DIABLO666] Winupdsys.exe (User '?')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [*windows update] wrauclt.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [DIABLO666] Winupdsys.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [*windows update] wrauclt.exe (User 'Default user')
O4 - S-1-5-21-796845957-152049171-839522115-1003 Startup: Registration-Studio 8.lnk = D:\Program Files\Studio 8\Register\RegTool.exe (User '?')
O4 - S-1-5-21-796845957-152049171-839522115-1003 Startup: SpamPal.lnk = C:\Program Files\securite\SpamPal\spampal.exe (User '?')
O4 - Startup: Registration-Studio 8.lnk = D:\Program Files\Studio 8\Register\RegTool.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\securite\SpamPal\spampal.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\securite\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\securite\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\securite\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\securite\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10207 bytes



Modifié par zinezine le 04/06/2008 22:09
Publicité
le sioux
 Posté le 05/06/2008 à 05:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Zinezine et bienvenue sur PCAstuces

On va te débarrasser de cela

Combofix.exe de sUBs

Télécharge Combofix.exe de sUBs sur ton Bureau,

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement /!\

Clique sur Combofix.exe puis "Executer en tant qu'administrateur"
Mets le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\Combofix.txt+

@ suivre

zinezine
 Posté le 05/06/2008 à 07:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Oh une ame charitable, je me sent deja mieux, merci a vous sauveur des utilisateurs neophites

en fait depuis hier je m' appercois que je ne peut plus enregistrer des fichiers (les cours de ma femme sous wordpar exemple) et aussi un message qui dit mon lecteur de carte n' a plus assez de puissance.....

j' ai vire avast, installé antivir et suis en train de vaire un scan en mode sans echec ( j'ai lu ca dans le forum ) si ca pouvais aider

dois je recommencer apres avec combofix ?

merci @+



Modifié par zinezine le 05/06/2008 07:26
le sioux
 Posté le 05/06/2008 à 07:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Zinezine

On se sent moins seul ?

Bien joué pour le changement vers Antivir , tu y gagnes en tout .

Clique droit sur Antivir dans la barre des taches (en bas a droite) puis "Start Antivir", clique sur « Administration » puis sur "Quarantine", clique sur une des lignes des détections qui y sont présentes puis ctrl-a afin de sélectionner l'ensemble du contenu de la quarantaine puis clique sur le symbole poubelle, une fenêtre va s'ouvrir "Are you sure you want to delete the selected object(s) from quarantine". Confirme la suppression par oui.
Ferme Antivir.

Parametres le comme indiqué ici :
http://speedweb1.free.fr/frames2.php?page=tuto5
ou la : http://www.malekal.com/tutorial_antivir.php

Tuto http://www.malekal.com/tutorial_antivir.html et/ou http://www.libellules.ch/tuto_antivir.php

Vas y pour ComboFix en suivant bien les recommandations que je t'ai faite ici https://forum.pcastuces.com/rootkit_gen_me_plante_tout_je_suis_desespere-f25s40505.htm?page=1&#2837644

@ +



Modifié par le sioux le 05/06/2008 07:22
Ananda
 Posté le 05/06/2008 à 12:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour zinezine,

le sioux

Soucis

https://forum.pcastuces.com/alerte_faux_positif_avast_win32rootkit_gen-f25s40518.htm

Edit: essais ceci avant de continuer avec le sioux

Clique sur ce lien :

Avast repare svchost.exe

Tu décompresses le fichier et tu cliques sur copyfile.bat

Puis tu cliques droit sur les trois fichiers .reg et tu acceptes la fusion avec la base de registre.



Modifié par Ananda le 18/06/2008 19:02
zinezine
 Posté le 05/06/2008 à 20:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

MERCI A VOUS TOUS DE VOUS OCCUPER DE MOI

JE FAIS LE POINT

- j' ai viré avast pour mettre antivir qui m' a trouve un autre truc ( rapport ci dessous ) il est en quarantaine mais pas encore supprimé

- j' ai telechargé mais pas encore appliqué combofix du sioux

-je viens de faire la manip d' amanda

je redemarre le pc mode normal, toujour aussi lent, plus de son,ma barre de tache reapparait normalement, une fenetre " multimedia card reader resource is not enough".

je ferme la fenetre par ok , toujours pas de connexion internet " impossible de trouver le serveur ou erreur dsn dans internet explorer"; quand j' ouvre un fichier word message " impossible d'enregistrer ce document. il sera impossible d' etablir des liaisons a ce document a partir d' autres documents"; fichier exel " impossible d'utiliser des objets lies et incorporés" pas d'ouverture de fichier possible fermeture d' exel

question: le fait de passer d' un pc a l' autre avec clef usb risque t' il de contaminer le pc propre et si oui comment le proteger ?

merci de votre soutien

Avira AntiVir Personal
Report file date: mercredi 4 juin 2008 22:41

Scanning for 1165085 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 1) [5.1.2600]
Boot mode: Save mode
Username: zin
Computer name: ZIN-P57SU3ZS95Y

Version information:
BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56
AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37
LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23
LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58
ANTIVIR2.VDF : 7.0.3.62 337408 Bytes 21/03/2008 19:12:34
ANTIVIR3.VDF : 7.0.3.68 57856 Bytes 25/03/2008 08:27:50
Engineversion : 8.1.0.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AESCRIPT.DLL : 8.1.0.19 229754 Bytes 07/04/2008 15:34:44
AESCN.DLL : 8.1.0.12 115060 Bytes 07/04/2008 15:34:44
AERDL.DLL : 8.1.0.19 418164 Bytes 07/04/2008 15:34:44
AEPACK.DLL : 8.1.1.0 364918 Bytes 18/03/2008 11:20:42
AEOFFICE.DLL : 8.1.0.15 192889 Bytes 07/04/2008 15:34:44
AEHEUR.DLL : 8.1.0.15 1147253 Bytes 07/04/2008 15:34:44
AEHELP.DLL : 8.1.0.11 115061 Bytes 07/04/2008 15:34:43
AEGEN.DLL : 8.1.0.15 299379 Bytes 07/04/2008 15:34:43
AEEMU.DLL : 8.1.0.5 430450 Bytes 07/04/2008 15:34:43
AECORE.DLL : 8.1.0.25 168309 Bytes 08/04/2008 09:58:32
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53
AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47
AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

Configuration settings for the scan:
Jobname..........................: Local Hard Disks
Configuration file...............: c:\program files\avira\antivir personaledition classic\alldiscs.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, E:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 4 juin 2008 22:41

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
8 processes with 8 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
Master boot sector HD2
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!
Boot sector 'E:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '51' files ).


Starting the file scan:

Begin scan in 'C:\' <windows>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\~.exe
[DETECTION] Is the Trojan horse TR/Drop.Mandat
[WARNING] An error has occurred and the file was not deleted. ErrorID: 26004
[WARNING]
C:\WINDOWS\system32\drivers\atapi.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <programes>
Begin scan in 'E:\' <DONNEES>


End of the scan: jeudi 5 juin 2008 08:05
Used time: 9:23:57 min

The scan has been done completely.

5493 Scanning directories
182561 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
182560 Files not concerned
1541 Archives were scanned
3 Warnings
0 Notes



Modifié par zinezine le 05/06/2008 20:08
le sioux
 Posté le 05/06/2008 à 20:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

ZineZine, Ananda

Ananda, merci pour ton passage

Zinezine, fais ce que demande Ananda tout d'abord, puis tu éxécutes ce qui est demandé ici

https://forum.pcastuces.com/rootkit_gen_me_plante_tout_je_suis_desespere-f25s40505.htm?page=1&#2837644

@ suivre

zinezine
 Posté le 05/06/2008 à 20:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

salut les champions voici la suite

ComboFix 08-06-05.2 - zin 2008-06-05 20:17:01.1 - NTFSx86
Endroit: N:\ComboFix.exe

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\msmovies
C:\Program Files\msmovies\p.zip
C:\WINDOWS\system32\crss.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-05 to 2008-06-05 ))))))))))))))))))))))))))))))))))))
.

28977-06-26 20:18 . 28977-06-26 20:18 3,120 --a------ C:\WINDOWS\MF_C421.lfa
28977-06-26 20:18 . 28977-06-26 20:18 3,120 --a------ C:\WINDOWS\MF_C420.lfa
2008-06-04 22:31 . 2008-06-04 22:31 <REP> d-------- C:\Program Files\Avira
2008-06-04 22:31 . 2008-06-04 22:31 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira
2008-06-04 22:04 . 2008-06-04 22:04 <REP> d-------- C:\Program Files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-04 20:31 2,651,136 ----a-w C:\WINDOWS\Internet Logs\xDB22.tmp
2008-05-31 16:29 2,316,288 ----a-w C:\WINDOWS\Internet Logs\xDB21.tmp
2008-05-28 11:28 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-05-12 19:11 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-05-12 19:10 --------- d-----w C:\Documents and Settings\zin.ZIN-P57SU3ZS95Y\Application Data\AdobeUM
2008-05-11 17:08 2,695,168 ----a-w C:\WINDOWS\Internet Logs\xDB20.tmp
2006-12-31 08:25 104,424 -c--a-w C:\Documents and Settings\zin.ZIN-P57SU3ZS95Y\Application Data\GDIPFONTCACHEV1.DAT
2005-08-13 14:13 1,442 -c--a-w C:\Program Files\INSTALL.LOG
2004-11-14 11:18 61,824 -c--a-w C:\Documents and Settings\zin\Application Data\GDIPFONTCACHEV1.DAT
2005-05-29 16:38 8,192 -csha-w C:\WINDOWS\o2cLicStore.bin
.

------- Sigcheck -------


2005-03-02 20:10 578048 0df75fb73f705b011630159a43d7c354 C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\user32.dll
2005-03-02 20:20 578048 c34920eb988ce98910bd6b0417f334eb C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2002-08-29 11:45 561152 0abf2f5280940d32d1d52bd3500b0c37 C:\WINDOWS\$NtUninstallKB840987$\user32.dll
2004-12-29 03:32 575488 4c58e8fcace40bb56975f12d9d3f2655 C:\WINDOWS\$NtUninstallKB890859$\user32.dll
2004-06-17 19:56 561152 0118c8ad7afb81ad9d5e3a1794e8eb78 C:\WINDOWS\$NtUninstallKB891711$\user32.dll
2002-08-29 11:45 561152 0abf2f5280940d32d1d52bd3500b0c37 C:\WINDOWS\LastGood\System32\user32.dll
2002-08-29 11:45 561152 0abf2f5280940d32d1d52bd3500b0c37 C:\WINDOWS\LastGood\System32\DLLCache\user32.dll
2005-03-02 20:21 562176 6eef91ad23c3474c934174d11c6da321 C:\WINDOWS\system32\user32.dll
2005-03-02 20:21 562176 6eef91ad23c3474c934174d11c6da321 C:\WINDOWS\system32\dllcache\user32.dll

2001-08-28 14:00 75264 20c6d9f9522dda0f9a8e4b8641ca9245 C:\WINDOWS\$NtUninstallKB914388$\ws2_32.dll
2006-05-19 14:14 70656 93307e5f8389a7474511dc51165694e5 C:\WINDOWS\$NtUninstallKB922819$\ws2_32.dll
2006-08-16 14:16 70656 7279695b154a49550f675a985265b00a C:\WINDOWS\system32\ws2_32.dll
2006-08-16 14:16 70656 7279695b154a49550f675a985265b00a C:\WINDOWS\system32\dllcache\ws2_32.dll

2004-11-11 20:51 593920 99e39f5ba4cfbe708bd5389b21c5c3ee C:\WINDOWS\$NtUninstallKB867282-IE6SP1-20050127.163319$\wininet.dll
2005-02-18 17:36 596992 c962156514a22d35a08c041fe9bbbc2e C:\WINDOWS\$NtUninstallKB883939-IE6SP1-20050428.125228$\wininet.dll
2002-08-29 11:45 603136 cbc50d46257c4a75644230507b488050 C:\WINDOWS\$NtUninstallKB889293-IE6SP1-20041111.235619$\wininet.dll
2004-12-07 20:17 594944 5c46716e94f2698fd34b14f50da1d6c9 C:\WINDOWS\$NtUninstallKB890923-IE6SP1-20050225.103456$\wininet.dll
2005-04-27 16:42 580608 a4f7a804148e113b1a02dfe21e5e1632 C:\WINDOWS\$NtUninstallKB896727-IE6SP1-20050719.165959$\wininet.dll
2005-06-18 00:26 580608 f9fe3d6849bebe3914c7cf89f260408f C:\WINDOWS\$NtUninstallKB905915-IE6SP1-20051122.175908$\wininet.dll
2005-10-21 17:50 581120 8489fe29641f439d18611794a8431619 C:\WINDOWS\$NtUninstallKB912812-IE6SP1-20060322.182418$\wininet.dll
2002-08-29 11:45 603136 cbc50d46257c4a75644230507b488050 C:\WINDOWS\LastGood\System32\WININET.DLL
2002-08-29 11:45 603136 cbc50d46257c4a75644230507b488050 C:\WINDOWS\LastGood\System32\DLLCache\WININET.DLL
2006-02-24 15:21 581120 d3b3596c80dc1af334bf96fd1c1f16b8 C:\WINDOWS\system32\WININET.DLL
2006-02-24 15:21 581120 d3b3596c80dc1af334bf96fd1c1f16b8 C:\WINDOWS\system32\dllcache\WININET.DLL

2005-05-25 21:04 359808 88763a98a4c26c409741b4aa162720c9 C:\WINDOWS\$hf_mig$\KB893066\SP2GDR\tcpip.sys
2005-05-25 21:07 359936 63fdfea54eb53de2d863ee454937ce1e C:\WINDOWS\$hf_mig$\KB893066\SP2QFE\tcpip.sys
2006-01-13 04:28 359808 583e063fdc888ca30d05c2724b0d7ef4 C:\WINDOWS\$hf_mig$\KB913446\SP2GDR\tcpip.sys
2006-01-13 19:07 360448 5562cc0a47b2aef06d3417b733f3c195 C:\WINDOWS\$hf_mig$\KB913446\SP2QFE\tcpip.sys
2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\$hf_mig$\KB917953\SP2GDR\tcpip.sys
2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2002-08-29 01:58 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\$NtUninstallKB893066$\tcpip.sys
2005-05-25 21:41 339968 228b0385bbfca24332fa22db45a8b684 C:\WINDOWS\$NtUninstallKB913446$\tcpip.sys
2006-01-13 03:13 340480 8c101c9c566e2384af28ef7c1de4a36e C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-04-20 13:38 340480 b8158e2a6112c0a5ca67bc158fc70218 C:\WINDOWS\system32\dllcache\tcpip.sys
2006-04-20 13:38 340480 b8158e2a6112c0a5ca67bc158fc70218 C:\WINDOWS\system32\drivers\tcpip.sys

2002-08-29 11:45 520704 71820bc9ee6653c8748922459dfc384d C:\WINDOWS\$NtUninstallKB840987$\winlogon.exe
2002-08-29 11:45 520704 71820bc9ee6653c8748922459dfc384d C:\WINDOWS\LastGood\System32\winlogon.exe
2002-08-29 11:45 520704 71820bc9ee6653c8748922459dfc384d C:\WINDOWS\LastGood\System32\DLLCache\winlogon.exe
2004-06-17 19:42 487424 f5d97f77ac97b244ff33280154186065 C:\WINDOWS\system32\winlogon.exe
2004-06-17 19:42 487424 f5d97f77ac97b244ff33280154186065 C:\WINDOWS\system32\dllcache\winlogon.exe

2002-08-29 02:09 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\system32\dllcache\ndis.sys
2002-08-29 02:09 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\system32\drivers\ndis.sys


2005-03-02 20:07 2058880 73fa9c95d235844a36968c7852c7dbdd C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntkrnlpa.exe
2005-03-02 20:13 2059008 5311776074b6c13f983dc75baeac9c0c C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2002-08-29 12:17 1951488 4560381fa3425b16f5df1a0de4814de7 C:\WINDOWS\$NtUninstallKB840987$\ntkrnlpa.exe
2004-06-17 19:43 1958272 d83afe54930a0cb606b0d509556be58f C:\WINDOWS\$NtUninstallKB885835$\ntkrnlpa.exe
2004-10-28 03:27 1959424 939a0369e78bfb0bd342302e86390a09 C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe
2005-03-02 20:17 1959424 d0a4b5f428873b73a75178605b6db10d C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2004-06-17 19:43 1958272 d83afe54930a0cb606b0d509556be58f C:\WINDOWS\LastGood\Driver Cache\i386\ntkrnlpa.exe
2002-08-29 12:17 1951488 4560381fa3425b16f5df1a0de4814de7 C:\WINDOWS\LastGood\System32\ntkrnlpa.exe
2005-03-02 20:17 1959424 d0a4b5f428873b73a75178605b6db10d C:\WINDOWS\system32\ntkrnlpa.exe

2005-03-02 20:08 2181376 63729dd0f2aae36cc52b89c05505146c C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntoskrnl.exe
2005-03-02 20:13 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2002-08-29 11:42 2045824 f58b3ce36566d6061a496dc595a8aaa3 C:\WINDOWS\$NtUninstallKB840987$\ntoskrnl.exe
2004-06-17 19:43 2055168 86efd54b719cc63b31b6e8e7112ac170 C:\WINDOWS\$NtUninstallKB885835$\ntoskrnl.exe
2004-10-28 03:27 2092032 a8a188ac824aac564048c3a61a94ab9c C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe
2005-03-02 20:17 2044416 131b4b0968e429b4221a7f0d8f0a26c7 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2004-06-17 19:43 2055168 86efd54b719cc63b31b6e8e7112ac170 C:\WINDOWS\LastGood\Driver Cache\i386\ntoskrnl.exe
2002-08-29 11:42 2045824 f58b3ce36566d6061a496dc595a8aaa3 C:\WINDOWS\LastGood\System32\ntoskrnl.exe
2005-03-02 20:17 2044416 131b4b0968e429b4221a7f0d8f0a26c7 C:\WINDOWS\system32\ntoskrnl.exe

2002-08-29 11:45 1008128 82fe0d400cb1ac937234467b927b867a C:\WINDOWS\explorer.exe
2002-08-29 11:45 1008128 82fe0d400cb1ac937234467b927b867a C:\WINDOWS\system32\dllcache\explorer.exe

2001-08-28 14:00 101888 fc0691097471ee374907e1024edcbd43 C:\WINDOWS\system32\services.exe
2001-08-28 14:00 101888 fc0691097471ee374907e1024edcbd43 C:\WINDOWS\system32\dllcache\services.exe

2002-08-29 11:45 11776 b7b1c150aff59455db4df082815f88f5 C:\WINDOWS\system32\lsass.exe
2002-08-29 11:45 11776 b7b1c150aff59455db4df082815f88f5 C:\WINDOWS\system32\dllcache\lsass.exe

2002-08-29 11:45 13312 2c856908ee61424238772508e9fbcbc8 C:\WINDOWS\system32\ctfmon.exe
2002-08-29 11:45 13312 2c856908ee61424238772508e9fbcbc8 C:\WINDOWS\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RoboForm"="C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2006-03-11 15:33 144448]
"IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2006-10-31 15:06 204843]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-11-01 16:34 67128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2002-10-16 12:24 47104 C:\WINDOWS\SOUNDMAN.EXE]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 22:10 344064]
"WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" [2001-11-15 12:14 20480]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\watch.exe" [ ]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\taskbaricon.exe" [2001-11-12 10:58 40960]
"Microsoft media"="winmplayers.exe" []
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-02-26 17:51 98304]
"Sunkist2k"="C:\Program Files\Multimedia Card Reader\shwicon2k.exe" [2004-09-03 17:16 139264]
"WinampAgent"="d:\Program Files\Winamp\winampa.exe" [2006-06-21 19:14 35328]
"ZoneAlarm Client"="C:\Program Files\securite\ZoneAlarm\zlclient.exe" [2007-03-09 00:02 919280]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2005-12-09 15:32 225280]
"LogitechCameraAssistant"="C:\Program Files\Logitech\Video\CameraAssistant.exe" [2006-01-05 07:58 489472]
"LogitechVideo[inspector]"="C:\Program Files\Logitech\Video\InstallHelper.exe" [2006-01-05 08:15 73728]
"LogitechCameraService(E)"="C:\WINDOWS\System32\ElkCtrl.exe" [2004-11-01 17:22 262144]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft media"="winmplayers.exe" []
"@"="hw32.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 11:45 13312]
"Windows Compliant"="xirogj.exe" []
"DIABLO666"="Winupdsys.exe" []
"*windows update"="wrauclt.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"DIABLO666"="Winupdsys.exe" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\run]
"*windows update"= wrauclt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.XVID"= xvid.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"VIDC.PIM1"= pclepim1.dll
"vidc.DIVF"= DivX412.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-05 20:19:11
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-06-05 20:22:55
ComboFix-quarantined-files.txt 2008-06-05 18:22:49

Pre-Run: 1,201,623,040 octets libres
Post-Run: 1,272,463,360 octets libres

166 --- E O F --- 2008-05-18 08:16:32

et le nouveau hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:31:14, on 05/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\QuickTime\qttask.exe
D:\Program Files\Winamp\winampa.exe
C:\Program Files\securite\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\securite\SpamPal\spampal.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.labanquepostale.fr/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [Microsoft media] winmplayers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [WinampAgent] d:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\securite\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Microsoft media] winmplayers.exe
O4 - HKLM\..\RunServices: [] hw32.exe /n /fh /r wupd32.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKUS\S-1-5-21-796845957-152049171-839522115-1003\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User '?')
O4 - HKUS\S-1-5-21-796845957-152049171-839522115-1003\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c (User '?')
O4 - HKUS\S-1-5-21-796845957-152049171-839522115-1003\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [DIABLO666] Winupdsys.exe (User '?')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [*windows update] wrauclt.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [DIABLO666] Winupdsys.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [*windows update] wrauclt.exe (User 'Default user')
O4 - S-1-5-21-796845957-152049171-839522115-1003 Startup: Registration-Studio 8.lnk = D:\Program Files\Studio 8\Register\RegTool.exe (User '?')
O4 - S-1-5-21-796845957-152049171-839522115-1003 Startup: SpamPal.lnk = C:\Program Files\securite\SpamPal\spampal.exe (User '?')
O4 - Startup: Registration-Studio 8.lnk = D:\Program Files\Studio 8\Register\RegTool.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\securite\SpamPal\spampal.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Óïðàâëåíèå ïðèëîæåíèÿìè (AppMgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Windows Audio (AudioSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Ôîíîâàÿ èíòåëëåêòóàëüíàÿ ñëóæáà ïåðåäà÷è (BITS) (BITS) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Îáîçðåâàòåëü êîìïüþòåðîâ (Browser) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Ñëóæáû êðèïòîãðàôèè (CryptSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Çàïóñê ñåðâåðíûõ ïðîöåññîâ DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: DHCP-êëèåíò (Dhcp) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Äèñïåò÷åð ëîãè÷åñêèõ äèñêîâ (dmserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: DNS-êëèåíò (Dnscache) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Error Reporting Service (ERSvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Ñèñòåìà ñîáûòèé COM+ (EventSystem) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Ñîâìåñòèìîñòü áûñòðîãî ïåðåêëþ÷åíèÿ ïîëüçîâàòåëåé (FastUserSwitchingCompatibility) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Ñïðàâêà è ïîääåðæêà (helpsvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Ïðîòîêîë HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ñåðâåð (LanmanServer) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Ðàáî÷àÿ ñòàíöèÿ (LanmanWorkstation) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Ñåòåâûå ïîäêëþ÷åíèÿ (Netman) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Ñëóæáà ñåòåâîãî ðàñïîëîæåíèÿ (NLA) (Nla) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Ñúåìíûå ÇÓ (NtmsSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Äèñïåò÷åð àâòî-ïîäêëþ÷åíèé óäàëåííîãî äîñòóïà (RasAuto) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Äèñïåò÷åð ïîäêëþ÷åíèé óäàëåííîãî äîñòóïà (RasMan) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Óäàëåííûé ðååñòð (RemoteRegistry) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Óäàëåííûé âûçîâ ïðîöåäóð (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Ïëàíèðîâùèê çàäàíèé (Schedule) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Âòîðè÷íûé âõîä â ñèñòåìó (seclogon) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Óâåäîìëåíèå î ñèñòåìíûõ ñîáûòèÿõ (SENS) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Áðàíäìàóýð Windows/Îáùèé äîñòóï ê Èíòåðíåòó (ICS) (SharedAccess) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Îïðåäåëåíèå îáîðóäîâàíèÿ îáîëî÷êè (ShellHWDetection) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Ñëóæáà âîññòàíîâëåíèÿ ñèñòåìû (srservice) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Ñëóæáà îáíàðóæåíèÿ SSDP (SSDPSRV) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Ñëóæáà çàãðóçêè èçîáðàæåíèé (WIA) (stisvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Òåëåôîíèÿ (TapiSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Ñëóæáû òåðìèíàëîâ (TermService) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Òåìû (Themes) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Êëèåíò îòñëåæèâàíèÿ èçìåíèâøèõñÿ ñâÿçåé (TrkWks) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Óçåë óíèâåðñàëüíûõ PnP-óñòðîéñòâ (upnphost) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Ñëóæáà âðåìåíè Windows (W32Time) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Âåá-êëèåíò (WebClient) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Èíñòðóìåíòàðèé óïðàâëåíèÿ Windows (winmgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Ñëóæáà ñåðèéíûõ íîìåðîâ ïåðåíîñíûõ óñòðîéñòâ ìóëüòèìåäèà (WmdmPmSN) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Ðàñøèðåíèÿ äðàéâåðîâ WMI (Windows Management Instrumentation) (Wmi) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Àâòîìàòè÷åñêîå îáíîâëåíèå (wuauserv) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Áåñïðîâîäíàÿ íàñòðîéêà (WZCSVC) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Ñëóæáà îáåñïå÷åíèÿ ñåòè (xmlprov) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)

--
End of file - 15059 bytes

sinon rien de changé sur le pc

@plus

zinezine
 Posté le 05/06/2008 à 22:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

je ne m' y connais pas trop mais il semblerais meme que je n' ai plus de dossier windows\system32
Publicité
le sioux
 Posté le 05/06/2008 à 22:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re bonsoir Zinezine

Je suis en train de regarder ton rapport, mais , j'ai besoin de temps, j'ai plusieurs interrogations.

@ toute à l'heure.



Modifié par le sioux le 05/06/2008 22:24
le sioux
 Posté le 05/06/2008 à 23:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

As tu fait ce qui a été demandé par Ananda , à savoir :

Clique sur ce lien :

Avast repare svchost.exe

Tu décompresses le fichier et tu cliques sur copyfile.bat

Puis tu cliques droit sur les trois fichiers .reg et tu fusionnes avec la base de registre.

@ suivre.

zinezine
 Posté le 07/06/2008 à 14:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

bonjour le sioux ,

j' ai bien fait la manip d' ananda et plusieurs fois,mais rien ne change

est ce normal que je ne trouve plus c\windows\system32

par contre j' ai trouvé c:\qoobox\quarantine\c\windows\system32\crss.exe.vir

a plus



Modifié par zinezine le 07/06/2008 15:38
le sioux
 Posté le 07/06/2008 à 23:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Zinezine

Essaye cela , une autre solution relayée par Zeb

http://forum.zebulon.fr/faux-positif-d-avast-win32rootkit-genrtk-sur-sv-t145797.html

ici aussi http://www.libellules.ch/...

Ensuite, je t'ai préparé un CFScript pour utiliser avec ComboFix.

La pochette c:\qoobox\quarantine\ c'est la quarantaine de ComboFix, n'y touches pas.

Voili, voila

zinezine
 Posté le 08/06/2008 à 19:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

merci encore le sioux

j' ai essayé la solution de zed ou plutot la solution 1 d' angelique que zed a repris du fait que je ne retrouve pas mon cd windows( je donc recopier svchost.exe une nouvelle fois) et rien ne change, angelique parle de reparer windows xp via le cd avant de mettre le sp2 dois je mettre en place le sp2?

y a t' il besoin du cd windows pour mettre en place le sp2?

le lien libellule.ch ne fonctionne pas

lorsque je veus lancer lecteur windows media, on m' annonce de la memoire insuffisante alors que j' en ai 236 utilisé sur 750 ,meme nero ne fonctionne plus....

a suivre...

le sioux
 Posté le 09/06/2008 à 05:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Zinezine

Je vais voir ce que l'on peut tenter d'autre ...

@ +

le sioux
 Posté le 09/06/2008 à 11:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

ZineZine

ComboFix avec CFScript

Sélectionne le texte suivant (en gras) dans son intégralité :



Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft media"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Compliant"=-
"*windows update"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\run]
"*windows update"=-

File::
C:\WINDOWS\Internet Logs\xDB22.tmp
C:\WINDOWS\Internet Logs\xDB21.tmp
C:\WINDOWS\Internet Logs\xDB20.tmp
C:\WINDOWS\system32\dllcache\winlogon.exe
C:\WINDOWS\system32\dllcache\services.exe
C:\WINDOWS\system32\wrauclt.exe



* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (Démarrer / Tous les Programmes>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript

/!\ Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement. /!\

Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton Bureau)

Comme ici http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif

* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\


En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre



Modifié par le sioux le 09/06/2008 11:07
zinezine
 Posté le 09/06/2008 à 19:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

merci le sioux

comme tu le sait rien n'est simple dans la vie.

je n 'arrive pas a copier/coller ou deplacer ni combofix ni le script de ma clef usb vers mon bureau ou autre dossier ni en windows normal ou en mode sans echec

je ne peux deplacer le script vers combofix sue la meme clef usb

je ne peut que extraire combofix sur ma clef usb ou lancer le scan

merci je ne desespere pas ...

Publicité
le sioux
 Posté le 09/06/2008 à 23:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Hello Zinezine

damned ...

Je vais demander de l'aide ...

@ +

zinezine
 Posté le 10/06/2008 à 07:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

hello le sioux

j' ai lancé un combofix hier soir vers 20h00 ,tres tres lent.

il est 7h00 est j'ai bien l'impression qu'il est bloqué " comte rendu en cours de preparation. ne lancez...." je le laisse tourner j' ai que ca a faire

j' envisage d' acheter un disque dur externe pour rapatrier des documents.....

a plus

le sioux
 Posté le 10/06/2008 à 20:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Zinezine

Tu peux essayer de passer ComboFix avec le script en mode sans échec , cela nettoyera les cochonneries qui trainent mais tant que tu n'aura pas recupéré svchosts, ton PC continuera à "délirer total" ...

Si le copier/coller fonctionne , alors tu pourras récupérer tes documents et formater, puis remercier Avast...

Je te conseille d'oublier celui-ci à l'vebir et de passer à Antivir, plus efficace, + léger et sans mauvaise surprise je pourrais te donner plus de détails à e sujet si tu es intérressé.

@ +

nardino
 Posté le 11/06/2008 à 22:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir.

ALERTE DE FAUX POSITIF!

Voici la solution préconisée par Avast.

@+

zinezine
 Posté le 16/06/2008 à 18:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

bonjour a vous

en fait j' ai bien recuperé svchost et mon probleme et ailleurs

je pense avoir trouver la cause de mes plantages, mes prog winlogon.exe et services.exe ont ete infestés et se trouvent dans c:\boobox\quarantine\c\windows\system32\dllcache

et ne sont donc plus utilisable. je n' ai toujours pas retrouvé mon cd windows xp

une soluce ?

le sioux
 Posté le 17/06/2008 à 00:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Zinezine

Sans ton cd Windows, cela est compromis ...

kreativewbd
 Posté le 17/06/2008 à 12:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Hello ..essayez Gmer et rootkitrevealer...

nardino
 Posté le 17/06/2008 à 19:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

Tu peux les restaurer à partir de C:\Qoobox.

@

kreativewbd Envoyé - 17/06/2008 : 12:13


Hello ..essayez Gmer et rootkitrevealer...

Tu n'as que cela dans ta besace ?

Et les raisons de faire appel à ces outils quelles sont-elles ?

Et le mode opératoire pour quelqu'un qui ne les a jamais manipuler, il est où ?

Donc pour conclure des conseils de cet ordre merci pour l'internaute de les éviter.

Tu fais ce que tu veux sur ton pc, mais tu n'encombres plus les topics.

Merci

kreativewbd
 Posté le 17/06/2008 à 19:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Tu te prends pour qui le monsieur propre des chiottes....

Le mode opératoire .....il suffit de le demander si on ne sait pas ...

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
1249,99 €Apple MacBook Air 13 pouces M1 (8 Go, 512 Go) à 1249,99 €
Valable jusqu'au 02 Mars

Amazon fait une promtion sur l'ordinateur portable Apple MacBook Air 13 pouces M1 à 1249,99 € alors qu'on le trouve habituellement à partir de 1399 €. Apple M1, 8 Go de RAM, 512 Go de stockage.


> Voir l'offre
30,37 €Clé USB 3.0 SanDisk Ultra Flair 256 Go à 30,37 €
Valable jusqu'au 02 Mars

Amazon fait une promotion sur la clé USB 3.0 SanDisk Ultra Flair 256 Go qui passe à 30,37 € livrée gratuitement alors qu'on la trouve ailleurs à plus de 55 €.


> Voir l'offre
125,46 €SSD WD Black SN750 1 To (NMVe M.2, 3470 Mo/s) à 125,46 € livré
Valable jusqu'au 03 Mars

Amazon Allemagne fait une promotion sur le SSD WD Black SN750 1 To (NMVe M.2) qui passe à 120,91 €. Comptez 4,55 € pour la livraison en France soit un total de 125,46 € livré alors qu'on le trouve ailleurs à partir de 170 €. Ce SSD utilise une interface M.2 NVMe PCIe Gen3 x 4 pour une connexion simple et des performances exceptionnelles : jusqu’à 3 470 Mo/s en lecture séquentielle et jusqu’à 3 000 Mo/s en écriture séquentielle. Le SSD est doté de la technologie 3D TLC NAND haute densité offrant une endurance d’écriture durable et assorti d’une garantie de cinq ans.

Vous pouvez utiliser votre compte Amazon FR sur Amazon DE et il n'y a pas de douane.


> Voir l'offre

Sujets relatifs
pc trop lent et plante tout le temp!!!
Ecran bleu de la mort. J'ai peur que tout plante
Firefox plante & IE ne marche plus du tout !
Mon PC Plante tout seul
Mon ordi plante et redémarre tout seul
pc plante a mort je suis perdu
Rootkit-gen & Beagal (JE SUIS INFECTE)
Mon ordi plante tout seul.... Virus???
Ordi qui plante tout le temps
pc familial qui plante tout le temps...
Plus de sujets relatifs à rootkit-gen me plante tout je suis desespere!!!
 > Tous les forums > Forum Sécurité