gros problème pc infecté[resolu]

[mido]

voilà j'ai un pc qui rencontre i=un gros problème qui je pense est du à un ou plusieurs virus.

 

les symptomes sont les suivants:

 

-lenteur au démarrage

-non lancement de plusieurs programmes au démarrage (avast, connexion internet orange...)

-possibilité de copier ou couper un fichier mais sans pouvoir le coller ailleurs

-plusieurs programme qui ne se lance pas comme ad aware (par contre pour ccleaner ca marche)

-sur le bureau je ne peut pas déplacer les raccourcis ou dossiers

 

système windows xp SP1

 

je dispose d'un autre ordi pour récupérer d'éventuels programmes .

 

Merci de m'aider car je souhaiterais pouvoir au moins récupérer certains fichiers photos.

Modifié le 5 juin 2008 par mido

[angelique]

1•» adaware tu t'en fou , desinstalle le via ajout\supp de programmes

 

2•» creer un nouveau dossier en c:\ nommé HJT

telecharger HijackThis.exe dans ce nouveau dossier crée::

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

 

Renommer c:\ HJT\HijackThis.exe par mido

la lancer, Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

 

 

==== je lis ton rapport Mañana

[mido]

voilà le rapport:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:32:20, on 04/06/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\PROGRA~1\FICHIE~1\Stardock\SDMCP.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\htpatch.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\Generic\USB Card Reader Driver v2.2d\Disk_Monitor.exe

C:\Program Files\Orange\Systray\SystrayApp.exe

C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Orange\Launcher\Launcher.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe

C:\hjt\papa.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v2.2d\Disk_Monitor.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [systrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-21-1715567821-1935655697-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-21-1715567821-1935655697-839522115-1003\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-21-1715567821-1935655697-839522115-1003 Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe (User '?')

O4 - S-1-5-21-1715567821-1935655697-839522115-1003 Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe (User '?')

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

 

--

End of file - 5353 bytes

[mido]

j'ai regardé un peu avec un tuto pour comprendre le rapport et j'ai pas l'impression qu'il y ait une infection.

 

Sinon j'ai oublié un point important, ce matin avast m'a detecté un virus que j'ai mis en quarantaine mais impossible d'accéder à celle-ci à causes d'erreur.

 

Je posterai le type d'erreur demain si je peut et je verrai si je peut acceder à un journal avast sur l'infection.

[ackrapomitch]

salut mido, je viens de poster ca a philduke, mais je pense que tu as le même problème

alors pardonnes moi pour le copier/coller.....

 

salut !!!

j'ai eu le même tour il y a peu de temps après avoir installé un logiciel de conversion de formats vidéo.

bon, je t'explique :

1) demontage de ton disque dur

2) mettre le jumper en position esclave

3) mettre ton disque dur dans un boitier externe

4) foncer chez un pote ou utiliser un vieux pc avec cette fois ou antivir(gratuis) ou kaspersky

5) scanner ton disque dur(externe pour l'instant) mais qui est en mode passif...

6) détruire définitivement tous fichier infecté

7) retour sur pc d'origine (remettre le jumper en master)

désinstaller avast , désolé il a fait son temps et telecharger antivir sur zebulon

9) installer antivir et mettre a jour

10) ne pas croire que ca puisse etre fini

11) retour sur zebulon et faire scanner en ligne avec bit defender par exemple

 

heu, une bonne journée de boulot en gros...

bon courage

[angelique]

• ton rapport ne montre rien d'infectieux.

 

execute un chkdsk de ton disk systeme, clic droit sur c:\ propriétés\outils\verification de erreurs<verifier maintenant>\coche les 2 cases \clic demarrer et accepte.

 

reboot ton pc , le chkdsk planifié va s'executer, laisse le , sur 5 etapes.

 

• O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Montre plus un probleme systeme ,hardware qu'une infection.

 

•Tu vireras avast pour antivir et effectueras un scan , le rapport tu posteras:

 

tuto :: http://forum.malekal.com/viewtopic.php?f=45&t=4192

[mido]

Ok je vais ffaire le test par contre pour l'antivirus le problème c'est que j'ai plus de connexion internet sur le pc concerné donc pas possibilit(é de mise à jour à moins de pouvoir trouver un fichier à télécharger avant contenant les definition de virus?

 

sinon j'ai retrouvé une trace dans le journal concernant le fichier infecté et voilà l'alerte d'avast:

 

Sign of "Win32:Rootkit-gen[Rtk]" has been found in "C:\windows\system32\svchost.exe" file.

 

J'ai déplacé le fichier en quarantaine avec succès et j'avais pu utiliser l'ordi sans problème après. mais dès que j'ai voulu utiliser celui-ci après un arrêt j'ai eu les problèmes décrit au dessus. Et impossible de faire une réstauration système.

 

J'ai vérifié que svchost était bien présent.

 

en tous cas merci de votre aide et je vous tiens au courant.

[angelique]

sinon j'ai retrouvé une trace dans le journal concernant le fichier infecté et voilà l'alerte d'avast:

 

Sign of "Win32:Rootkit-gen[Rtk]" has been found in "C:\windows\system32\svchost.exe" file.

 

SUREMENT UN FAUX POSITIF d'avast , restaure C:\windows\system32\svchost.exe de la quarantaine!!!!!!!!

 

 

 

• désinstalle avast apres avoir restauré la quarantaine !!!!!!

 

•on reinstallera antivir apres l'analyse ComboFix

 

• Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

* Double-clique combofix.exe afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée,ne touche à rien pendant le scan, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[angelique]

j'ai modifié mon message precedent, prends en connaissance

[mido]

J'ai déjà voulu le faire mais le soucis est que la quarantaine se lance avec erreur et je ne peut acceder à aucun fichier mis en quarantaine.