Gros problème rootkit ? - Virus/Spywares - Windows & Software
MarshPosté le 03-06-2008 à 22:53:35
Bonjour. En démarrant mon ordi en début d'après-midi, avast a signalé 2 virus que j'ai supprimés, sans faire attention à leurs noms ni aux fichiers infectés. Tout à l'heure je redémarre l'ordi et c'est là que les gros soucis commencent : - plus de barres des taches - plus moyen de se connecter à internet - plus de son - plus moyen d'ouvrir excel, et pour word, j'ai un message "impossible d'enregistrer ce document. Il sera impossible d'établir des liaisons à ce document à partir d'autres documents" - plus moyen d'ouvrir un fichier jpeg - plus moyen non plus de déplacer un dossier En gros on dirait que toutes les applications "liées" à Windows plantent; car j'arrive par contre à ouvrir mon logiciel de capture d'écran, ou encore Photoshop ou Guitar pro. J'ai donc fait un scan complet avec avast qui a trouvé un Rootkit dans Windows/system32/dllcache/svchost.exe. Pas de moyen de mettre en quarantaine donc j'ai supprimé le fichier. Un 2ème scan et de nouveau un rootkit dans Windows/I386/SVCHOST.EX_/svchost.exe Redémarrage, nouveau scan et plus de virus trouvé, mais tous les problèmes précédents persistent. J'ai installé alors AVG anti-rootkit et il ne trouve rien, mais les problème persistent...
Mon système est XP (un vrai). Je n'aipas ouvert de mails douteux ni télécharger quoi que ce soit, donc je me demande vraiment comment sont apparus ces problèmes. Aurais-je supprimé des fichiers nécessaires au bon fonctionnement de l'ordi après les premiers signalements d'avast ?...
J'ai fait scan HiJackThis au cas où ça éclairerait certains d'entre vous :
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:23:56, on 03/06/2008 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal
Marsh Posté le 03-06-2008 à 22:53:35
Bonjour.
En démarrant mon ordi en début d'après-midi, avast a signalé 2 virus que j'ai supprimés, sans faire attention à leurs noms ni aux fichiers infectés. Tout à l'heure je redémarre l'ordi et c'est là que les gros soucis commencent :
- plus de barres des taches
- plus moyen de se connecter à internet
- plus de son
- plus moyen d'ouvrir excel, et pour word, j'ai un message "impossible d'enregistrer ce document. Il sera impossible d'établir des liaisons à ce document à partir d'autres documents"
- plus moyen d'ouvrir un fichier jpeg
- plus moyen non plus de déplacer un dossier
En gros on dirait que toutes les applications "liées" à Windows plantent; car j'arrive par contre à ouvrir mon logiciel de capture d'écran, ou encore Photoshop ou Guitar pro.
J'ai donc fait un scan complet avec avast qui a trouvé un Rootkit dans Windows/system32/dllcache/svchost.exe. Pas de moyen de mettre en quarantaine donc j'ai supprimé le fichier.
Un 2ème scan et de nouveau un rootkit dans Windows/I386/SVCHOST.EX_/svchost.exe
Redémarrage, nouveau scan et plus de virus trouvé, mais tous les problèmes précédents persistent.
J'ai installé alors AVG anti-rootkit et il ne trouve rien, mais les problème persistent...
Mon système est XP (un vrai). Je n'aipas ouvert de mails douteux ni télécharger quoi que ce soit, donc je me demande vraiment comment sont apparus ces problèmes. Aurais-je supprimé des fichiers nécessaires au bon fonctionnement de l'ordi après les premiers signalements d'avast ?...
J'ai fait scan HiJackThis au cas où ça éclairerait certains d'entre vous :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:23:56, on 03/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\M-Audio Fast Track\GBInst.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\sistray.EXE
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
G:\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [] C:\WINDOWS\Options\OEMReset.exe /Audit
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-21-1754454779-3000887322-1647371527-1006\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background (User '?')
O4 - HKUS\S-1-5-21-1754454779-3000887322-1647371527-1006\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash (User '?')
O4 - HKUS\S-1-5-21-1754454779-3000887322-1647371527-1006\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User '?')
O4 - HKUS\S-1-5-21-1754454779-3000887322-1647371527-1006\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/control [...] oader5.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://blanphane.spaces.live.com/P [...] nPUpld.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f002.mail.caramail.lycos.fr [...] loader.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/671 [...] taller.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Fast Track Installer (FastTrackInstallerService) - Nemesis - C:\Program Files\M-Audio Fast Track\GBInst.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
--
End of file - 6223 bytes
Voilà, j'espère que certains pourront m'aider.
Merci.
Message édité par sagisteph le 03-06-2008 à 23:10:48