Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

(Résolu) Troubles divers et logiciel bizarre au démarrage

maxbat

Par maxbat
dans Analyses et éradication malwares

 Partager

Messages recommandés

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Pas du tout, oublie spybot. Refais le fichier, j'ai ajouté une ligne de plus.

Qu'est-ce que spybot vient mettre son grain de sel ? :P

maxbat Member

maxbat

Posté(e)
  • Auteur
Posté(e)

Non désolé c'est moi qui avait fait une erreur...

 

Voici le premier rapport :

 

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 24E8-EFE4

 

R‚pertoire de C:\Documents and Settings\Maxime\Bureau

 

10/09/2008 15:03 <REP> .

10/09/2008 15:03 <REP> ..

04/09/2008 18:38 2ÿ477 Dicos Encarta.lnk

27/03/2008 18:55 686 Dictionnaires langues.lnk

14/08/2008 15:17 699 eChanblard.lnk

22/08/2008 12:46 1ÿ935 Galerie de photos Windows Live.lnk

10/07/2008 13:58 803 Internet Explorer.lnk

19/08/2008 14:54 2ÿ137 iTunes.lnk

10/09/2008 14:57 121 lib.bat

27/03/2008 18:40 468 Ma musique.lnk

02/09/2008 17:21 2ÿ567 Microsoft Encarta 2008 - tudes DVD.lnk

10/09/2008 13:51 2ÿ467 Microsoft Encarta Maths.lnk

01/09/2008 18:26 2ÿ575 Microsoft Office Word 2007.lnk

14/08/2008 15:07 1ÿ614 Mozilla Firefox.lnk

24/08/2008 22:58 1ÿ742 MyPhoneExplorer.lnk

09/09/2008 17:12 304ÿ189 RSIT.exe

14/08/2008 15:08 1ÿ753 Windows Live Messenger .lnk

26/03/2008 23:56 782 Windows Media Player.lnk

11/08/2008 17:52 1ÿ506 Zattoo.lnk

17 fichier(s) 328ÿ521 octets

2 R‚p(s) 17ÿ203ÿ109ÿ888 octets libres

 

 

 

Et voilà le second :

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe"

"RecGuard"="C:\\Windows\\SMINST\\RecGuard.exe"

"NotebookHardwareControl"="\"C:\\Program Files\\Notebook Hardware Control\\nhc.exe\" -quiet"

"IAAnotif"="C:\\Program Files\\Intel\\Intel Matrix Storage Manager\\iaanotif.exe"

"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"

"Windows Defender"="\"C:\\Program Files\\Windows Defender\\MSASCui.exe\" -hide"

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"routercontrol"="C:\\WINDOWS:rtrcntrl.exe"

"avgnt"="\"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

"virus"="C:\\WINDOWS\\system32\\virus2.com"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

@=""

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

@=""

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"NoChange"="1"

"Installed"="1"

@=""

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

@=""

 

ⴠⴭⴭⴭⴭⴭⴭ਍Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="\"C:\\Program Files\\Windows Live\\Messenger\\MsnMsgr.Exe\" /background"

"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

 

ⴠⴭⴭⴭⴭⴭⴭ਍

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

  • Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous :

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"routercontrol"=-
"virus"=-

  • Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc).
  • Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre.

 

Refais un lib.bat avec le nouveau code stp, là ça n'affiche pas le bon dossier.

On progresse.

maxbat Member

maxbat

Posté(e)
  • Auteur
Posté(e)

En tout cas merci pour le temps que tu m'accordes... :P

 

Penses-tu que ce qu'on essaye d'enlever soit néfaste ?

 

Je ne savais pas le quel refaire alors voici le premier lib.dat :

 

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 24E8-EFE4

 

R‚pertoire de C:\

 

26/03/2008 16:06 <REP> Documents and Settings

26/03/2008 16:07 <REP> hp

27/03/2008 18:37 <REP> I386

31/03/2008 20:12 <REP> Intel

10/09/2008 15:23 0 liste1.txt

31/05/2008 20:00 642 Maxbat.lnk

10/09/2008 15:01 <REP> Program Files

09/09/2008 17:12 <REP> rsit

08/09/2008 20:50 <REP> SWSETUP

10/07/2008 14:15 <REP> temp

10/09/2008 15:23 <REP> WINDOWS

2 fichier(s) 642 octets

9 R‚p(s) 17ÿ202ÿ491ÿ392 octets libres

 

 

Et voici le second :

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe"

"RecGuard"="C:\\Windows\\SMINST\\RecGuard.exe"

"NotebookHardwareControl"="\"C:\\Program Files\\Notebook Hardware Control\\nhc.exe\" -quiet"

"IAAnotif"="C:\\Program Files\\Intel\\Intel Matrix Storage Manager\\iaanotif.exe"

"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"

"Windows Defender"="\"C:\\Program Files\\Windows Defender\\MSASCui.exe\" -hide"

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"avgnt"="\"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

"routercontrol"="C:\\WINDOWS:rtrcntrl.exe"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

@=""

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

@=""

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"NoChange"="1"

"Installed"="1"

@=""

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

@=""

 

ⴠⴭⴭⴭⴭⴭⴭ਍Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="\"C:\\Program Files\\Windows Live\\Messenger\\MsnMsgr.Exe\" /background"

"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

 

ⴠⴭⴭⴭⴭⴭⴭ਍

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Je pense oui. En tout cas l'autre ne devrait pas revenir, et il revient.

 

:arrow: Télécharge Gmer.

Dézippe le dans un dossier ou sur ton bureau.

 

Double-clique sur Gmer.exe.

 

NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter.

 

Clique sur l'onglet rootkit/malware (déjà actif).

A droite, coche Files et Services uniquement.

Clique maintenant sur Scan.

 

Lorsque le scan est terminé, clique sur Copy.

 

Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.

Le rapport doit alors apparaître.

Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

maxbat Member

maxbat

Posté(e)
  • Auteur
Posté(e)

Voilà le rapport de GMER. Les fichiers de "My private Folder" sont dans un dossier protégé par mot de passe mais que je connais.

Et le fameux fichier "rtrcntrl" apparait bien...

 

 

 

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2008-09-10 15:50:58

Windows 5.1.2600 Service Pack 3

 

 

---- Files - GMER 1.0.14 ----

 

File C:\Documents and Settings\Maxime\My Private Folder\DSC00062_2.JPG 219276 bytes

File C:\Documents and Settings\Maxime\My Private Folder\DSC00062_2.JPG.$e_ 1024 bytes

File C:\Documents and Settings\Maxime\My Private Folder\prvflder.dat 512 bytes

File C:\Documents and Settings\Maxime\My Private Folder\SMS de Ma Chérie.sms 598 bytes

File C:\Documents and Settings\Maxime\My Private Folder\SMS de Ma Chérie.sms.$e_ 1024 bytes

File C:\Documents and Settings\Maxime\My Private Folder\SMS de Ma Chérie.txt 334 bytes

File C:\Documents and Settings\Maxime\My Private Folder\SMS de Ma Chérie.txt.$e_ 1024 bytes

File C:\Documents and Settings\Maxime\My Private Folder\Thumbs.db 97280 bytes

File C:\Documents and Settings\Maxime\My Private Folder\Thumbs.db.$e_ 512 bytes

File C:\Documents and Settings\Maxime\My Private Folder\Waaa !!!.jpg 6130 bytes

File C:\Documents and Settings\Maxime\My Private Folder\Waaa !!!.jpg.$e_ 1024 bytes

ADS C:\WINDOWS:rtrcntrl.exe 18944 bytes executable

 

---- EOF - GMER 1.0.14 ----

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

  • Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit :

gmer del file "C:\WINDOWS:rtrcntrl.exe"

  • Sauvegarde cela sur le bureau en donnant comme nom lib.bat (pas d'extension texte donc).
  • Le fichier va être créé avec une icône d'engrenage, place-le dans le même dossier que Gmer (sur ton bureau je pense) et double clique dessus.

 

On utilisera du plus costaud si besoin.

maxbat Member

maxbat

Posté(e)
  • Auteur
Posté(e)

Le fichier m'affiche le message suivant : "LoadLibrary "gmer.dll" le module spécifié est introuvable."

 

:P Ce rootkit pourrait etre à l'origine de mes problèmes d'accents par exemple ?

 

Merci encore...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...