fjorge

Bonjour, Meme si je sais que la règle est que "si un membre commence à traiter une infection, il doit la mener au bout", je n'ai malheureusement plus de nouvelles de Pear depuis 2 semaines. Quelqu'un pourrait-il prendre le relais SVP? En particulier, je pense à Falkra qui vient de s'occuper d'une sujet "similaire" (http://forum.zebulon.fr/pc-contamine-par-servicesexe-smssexe-t177955.html). Merci

Bonjour, mon problème (http://forum.zebulon.fr/infection-win32cycler-h-t177725.html) a été pris en charge par Pear, il y a quelques jours. Je n'ai malheureusement plus de ses nouvelles depuis 6 jours. Voici le dernier message que nous avions échangé en conversation personnelle car il y avait alors un problème sur le forum: Bonsoir,J'ai fait la première partie (detection bootkit) et voilà ce que j'obtient : Pouvez-vous m'indiquer la marche à suivre car j'ai l'impression d'en avoir 2 pour le prix d'un!! A noter que j'ai 2 disques : - le premier partitionné en C:\ et D:\ avec respectivement le systeme et les données - le second (N:\) qui ne contient que des données (pas très importantes). Peut-être serait-il prudent de réaliser l'opération sur le disque N:\ d'abord?J'attend votre avis. Merci Merci d'avance pour l'aide que vous pourriez m'apporter.

Bonsoir Pear, j'ai bien eu votre MP et je viens de vous répondre. J'attends la marche à suivre car j'ai semble-t-il plus de monde que prévu PS : Merci également à Angélique. Rem : est-ce que ce genre d'infection touche également les supports amovibles (DD externe et clés USB)? Cette question est lié au fait que je souhaiterais pouvoir faire quelques sauvegardes de données précieuses avant l'opération de désinfection du Rootkit qui est semble-t-il à risque pour le disque et je ne voudrais pas réinfecter mon unité de sauvegarde.

Je viens de lire le tuto et j'avoue n'avoir pas tout compris! lorsque je clique droit sur C:\System Volume Information->Propriétés->Sécurité, j'ai un seul "nom d'utilisateur ou de groupe" : c'est SYSTEM. Alors que quand je fait la même opération sur C:\, j'en ai plusieurs dont Administrateurs et Utilisateurs. ça ne viendrait pas du fait qu'il n'y ait pas le groupe "Utilisateurs" dans C:\System Volume Information, qui m'empecherait d'avoir accès à ce répertoire? Je n'ai toujours eu qu'une seule session sur cette machine, je pensais donc avoir les droits administrateurs avec ma session.

Bonjour, j'ai réaliser la manoeuvre décrite afin de faire apparaitre l'onglet sécurité. J'ai desormais "autorisation pour System : Full control". Mais j'ai malheureusement toujours le même message pour accéder au répertoire "C:\System Volume Information n'est pas accéssible. Accès refusé". De plus, je viens de me rendre compte que je n'ai plus de son sur ma machine!! J'ai d'habitude un "ding" en fin de chargement de fichiers dont je viens de constater l'absence lors du chargement de scesp4i.exe. Il semblerait que l'infection soit plus sérieuse que ce que je croyais?

Bonjour, merci pour votre aide. j'ai voulu réaliser l'opération que vous me demandiez mais ces options étaient déjà activées. Par contre lorsque je veux accéder aux fichiers de ce répertoire, j'ai le message "C:\System Volume Information n'est pas accéssible. Accès refusé". Pourtant lorsque je lance un scan de ce répertoire avec Avast, il me détecte bien les 2 fichiers infectés! Y a-t-il une autre façon de procéder? Merci encore.

Bonjour, depuis ce week-end, j'ai semble-t-il un problème de virus (win32:Cycler-H [Trj] d'après Avast) sur mon pc. Il m'indique les fichiers infectées suivants : C:\System Volume Information\Microsoft\services.exe Menace:win32:Cycler-H [Trj] C:\System Volume Information\Microsoft\smss.exe Menace:win32:Cycler-H [Trj] Rem : ça s'est traduit la première fois par l'impossibilité d'utiliser pop-up stopper et donc un afflux important de pub. J'ai été dans l'obligation de le desinstaller car toute page internet était bloquée! J'ai essayé des scans en ligne, en mode normal et en mode sans echec dont certains se sont traduit par la suppression des fichiers mais ils réapparaissent systématiquement après redémarrage! Depuis hier, j'ai également des fenêtres publicitaires qui s'ouvrent alors que je ne suis même pas sur internet!! Je sollicite donc votre aide. Comme préconisé dans la procédure de demande d'aide, je vous joint un log HJT ci-dessous. Merci d'avance. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:31:54, on 29/06/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\System Volume Information\Microsoft\services.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\System Volume Information\Microsoft\smss.exe C:\Program Files\Alwil Software\Avast5\AvastSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ezSP_Px.exe C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\sony\usbsircs\usbsircs.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\sony\giga pocket\shwserv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\sony\vaio media music server\SSSvr.exe C:\Program Files\sony\photo server\appsrv\PhotoAppSrv.exe C:\Program Files\sony\giga pocket\GPVSvr.exe C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe C:\Program Files\sony\giga pocket\RM_SV.exe C:\Program Files\DivX\DivX Update\DivXUpdate.exe C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Actualité sur Free.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8800 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.free.fr"); (C:\Program Files\Netscape\Users\fjorge\prefs.js) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user') O4 - Global Startup: Pilote Remocon.lnk = ? O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.0.1.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.asf.fr/AxisCamControl.ocx O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {B0781EB7-16EA-49F1-9C1D-9716D88206CF} (IPCAM Object) - http://82.227.218.47/view.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe O23 - Service: Giga Pocket Hardware Detector - Sony Corporation - C:\Program Files\sony\giga pocket\shwserv.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sony TV Tuner Controller - Sony Corporation - C:\Program Files\sony\giga pocket\halsv.exe O23 - Service: Sony TV Tuner Manager - Sony Corporation - C:\Program Files\sony\giga pocket\RM_SV.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Sony Corporation - C:\Program Files\sony\vaio media music server\SSSvr.exe O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Program Files\sony\photo server\appsrv\PhotoAppSrv.exe O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe O23 - Service: VAIO Media Video Server (VAIOMediaPlatform-VideoServer-AppServer) - Sony Corporation - C:\Program Files\sony\giga pocket\GPVSvr.exe O23 - Service: VAIO Media Video Server (HTTP) (VAIOMediaPlatform-VideoServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe O23 - Service: VAIO Media Video Server (UPnP) (VAIOMediaPlatform-VideoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe -- End of file - 9405 bytes