Votre question

Fichier systeme verolé lchieqb.sys

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
21 Mars 2010 21:59:39

Bonjour,

Je n y connais rien en informatique et je me debat avec un virus depuis 2 jours.

Il s est telechargé plus ou moins seul j ai l impression et je ne sais comment le supprimer.
Il m empeche de me connecter normalement au net et d effectuer des recherches.
Apres plusieurs scans avec Avast, mon eee PC a plusieurs trojan et rootkit, chacun est supprimé au démarrage sauf celui ci:
C:\WINDOWS\System32\Drivers\lcheiqb.sys

il est la cause de tout ce bazar.
Je ne sais plus quoi faire les anti rootkit ne le detectent pas, je n arrive pas à le supprimer, d aucune maniere...
Quelqun a un conseil? Je suis sous XP et j ai peux de disque et mémoire vive: EEE PC pour taper des textes uniquement et me déplacer...

Merci d avance!!

Autres pages sur : fichier systeme verole lchieqb sys

a c 295 8 Sécurité
a b 9 Windows
21 Mars 2010 22:13:09

Bonjour,

[#ff0000]/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\[/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    m
    0
    l
    22 Mars 2010 08:45:15

    Salut,
    Voici le compte rendu:

    ComboFix 10-03-21.02 - KRO 22/03/2010 8:27.1.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1015.676 [GMT 1:00]
    Lancé depuis: c:\documents and settings\KRO\Bureau\Problème ordi\ComboFix.exe
    AV: avast! antivirus 4.8.1368 [VPS 100321-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
    .
    Les fichiers ci-dessous ont été désactivés pendant l'exécution:
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server\ljpdea.dll


    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\All Users\Application Data\fiosejgfse.dll
    c:\documents and settings\KRO\Application Data\avdrn.dat
    c:\documents and settings\KRO\Application Data\Microsoft\Internet Explorer\Quick Launch\User Protection.lnk
    c:\documents and settings\KRO\Application Data\wiaservg.log
    c:\documents and settings\KRO\csrss.exe
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server\flags.ini
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server\ljpdea.dll
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server\ljpdea.dll.vir
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server\uses32.dat
    c:\recycler\S-1-5-21-1761231286-4119435624-3818259368-1003
    c:\recycler\S-1-5-21-507921405-484763869-1801674531-1003
    c:\recycler\S-1-5-21-6563217294-4366390310-027530882-6320
    c:\recycler\S-1-5-21-6845637877-6174757303-663521251-2889
    c:\recycler\S-1-5-21-9931800853-4694906550-552412074-2917
    c:\windows\system32\drivers\str.sys
    c:\windows\system32\Thumbs.db

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy__VOIDyabvtvsiwq
    -------\Service__VOIDyabvtvsiwq


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-02-22 au 2010-03-22 ))))))))))))))))))))))))))))))))))))
    .

    2010-03-22 07:31 . 2010-03-22 07:35 -------- d-----w- c:\documents and settings\KRO\Local Settings\Application Data\Windows Server
    2010-03-21 20:30 . 2010-03-21 20:33 -------- d-----w- c:\program files\Sophos
    2010-03-20 19:36 . 2010-03-20 19:36 -------- d-----w- c:\windows\Sun
    2010-03-19 07:49 . 2010-03-19 07:50 -------- d-----w- c:\windows\_VOIDyabvtvsiwq
    2010-03-19 07:47 . 2010-03-22 07:35 860672 ----a-w- c:\windows\system32\drivers\lcheiqb.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-03-22 07:35 . 2009-02-14 14:20 -------- d-----w- c:\documents and settings\KRO\Application Data\StarOffice8
    2010-03-22 07:26 . 2008-03-18 04:18 501590 ----a-w- c:\windows\system32\perfh00C.dat
    2010-03-22 07:26 . 2008-03-18 04:18 80516 ----a-w- c:\windows\system32\perfc00C.dat
    2010-03-21 08:10 . 2009-02-14 14:22 1 ----a-w- c:\documents and settings\KRO\Application Data\StarOffice8\user\uno_packages\cache\stamp.sys
    2010-03-16 20:49 . 2008-04-05 19:19 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-03-16 20:07 . 2009-10-12 12:15 143704 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
    2010-03-01 08:14 . 2009-02-21 05:55 26590 ----a-w- c:\documents and settings\KRO\Application Data\wklnhst.dat
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-24 104984]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-24 121368]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-24 100888]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-24 132496]
    "RTHDCPL"="RTHDCPL.EXE" [2008-03-06 16858112]
    "AsusTray"="c:\program files\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400]
    "AsusACPIServer"="c:\program files\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768]
    "ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2008-04-16 335872]
    "avast!"="d:\progra~1\Avast\ashDisp.exe" [2009-11-24 81000]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-03 15360]

    c:\documents and settings\KRO\Menu D‚marrer\Programmes\D‚marrage\
    StarOffice 8.lnk - d:\program files\Sun\StarOffice 8\program\quickstart.exe [2007-8-17 122880]

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AutoRun OSCleaner.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\AutoRun OSCleaner.lnk
    backup=c:\windows\pss\AutoRun OSCleaner.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
    backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^KRO^Menu Démarrer^Programmes^Démarrage^ihaupd32.exe]
    path=c:\documents and settings\KRO\Menu Démarrer\Programmes\Démarrage\ihaupd32.exe
    backup=c:\windows\pss\ihaupd32.exeStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    2004-08-19 08:22 1667584 ------w- c:\program files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
    AppSecDll REG_SZ c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Server\ljpdea.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [07/03/2009 12:26 114768]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [07/03/2009 12:26 20560]
    S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\A.tmp --> c:\windows\system32\A.tmp [?]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - lcheiqb
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
    uSearchAssistant = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-msnmsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe
    HKCU-Run-User Protection - c:\program files\User Protection\usrprot.exe
    MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    MSConfigStartUp-diskperfxp - c:\docume~1\KRO\LOCALS~1\Temp\diskperfxp.exe
    MSConfigStartUp-gdf498gtudsigjnsod8guifjgfhfhf - c:\docume~1\KRO\LOCALS~1\Temp\jzffzz5h.exe
    MSConfigStartUp-Skype - c:\program files\Skype\Phone\Skype.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-03-22 08:35
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
    "ImagePath"="\??\c:\windows\system32\A.tmp"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lcheiqb]

    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(628)
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Server\ljpdea.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    d:\program files\Avast\aswUpdSv.exe
    d:\program files\Avast\ashServ.exe
    c:\windows\RTHDCPL.EXE
    d:\program files\Sun\StarOffice 8\program\soffice.exe
    d:\program files\Sun\StarOffice 8\program\soffice.BIN
    c:\windows\system32\igfxext.exe
    c:\windows\system32\igfxsrvc.exe
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-03-22 08:38:05 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-03-22 07:38

    Avant-CF: 1 481 605 120 octets libres
    Après-CF: 1 478 131 712 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

    - - End Of File - - 936B4E14A8581D2C58FD90016DBFAFC8


    Si je lis bien çà n as pas supprimé mon truc qui me pourri la vie!!
    Avast vient a l instant de me renoter ceci:

    nom du fichier: C:\WINDOWS\System32\Drivers\lcheiqb.sys
    type: service caché
    nom du malware: Win32:Rootkit-gen [Rtk]

    chaque fois je demande qu il le supprie mais il est toujours la.... impossible de renommer ou autre pour le jeter....

    Désolée je suis vraiment pas douée avec mon ordi!!

    Merci pour votre aide!!
    m
    0
    l
    Contenus similaires
    22 Mars 2010 09:30:47

    J ai aussi dégagé User Protection, est ce que çà pourrait etre un " residu"?
    m
    0
    l
    a c 295 8 Sécurité
    a b 9 Windows
    22 Mars 2010 15:54:53

    /!\ Seul lou_heroines peut suivre cette procédure /!\

    Désactive toute protection résidente (Antivirus...) !

    ---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

    KillAll::

    Driver::
    MEMSWEEP2

    File::
    c:\windows\system32\drivers\lcheiqb.sys
    c:\documents and settings\KRO\Menu Démarrer\Programmes\Démarrage\ihaupd32.exe

    Folder::
    c:\windows\_VOIDyabvtvsiwq

    Registry::
    [-HKLM\~\startupfolder\C:^Documents and Settings^KRO^Menu Démarrer^Programmes^Démarrage^ihaupd32.exe]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lcheiqb]

    ---> Ouvre le Bloc-notes : Démarrer > Tous les programmes > Accessoires > Bloc-notes.

    - Colle (CTRL+V) le texte dans le Bloc-notes.
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer.
    - Quitte le Bloc-notes.

    ---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît, accepte.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt

    ;) 
    m
    0
    l
    22 Mars 2010 18:03:35

    Suite au lancement de la nouvelle analyse voici le rapport ( le fichier verolé lcheiqb.sys est toujours la et l ordi a un peu buggé avant le redemarrage final)

    fichier texte combofix:
    ComboFix 10-03-21.02 - KRO 22/03/2010 17:41:42.2.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1015.672 [GMT 1:00]
    Lancé depuis: C:\Documents and Settings\KRO\Bureau\Problème ordi\ComboFix.exe
    Commutateurs utilisés :: C:\Documents and Settings\KRO\Bureau\CFScript.txt
    AV: avast! antivirus 4.8.1368 [VPS 100321-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

    FILE ::
    "c:\documents and settings\KRO\Menu Démarrer\Programmes\Démarrage\ihaupd32.exe"
    "c:\windows\system32\drivers\lcheiqb.sys"
    .
    Les fichiers ci-dessous ont été désactivés pendant l'exécution:
    C:\Documents and Settings\KRO\Local Settings\Application Data\Windows Server\ljpdea.dll


    fichier texte conbo del:
    Files to Move:
    C:\Documents and Settings\KRO\Local Settings\Application Data\Windows Server\ljpdea.dll|C:\QooBox\Quarantine\C\Documents and Settings\KRO\Local Settings\Application Data\Windows Server\ljpdea.dll.vir
    C:\windows\system32\drivers\lcheiqb.sys|C:\QooBox\Quarantine\C\windows\system32\drivers\lcheiqb.sys.vir

    Programs to launch on reboot:
    C:\ComboFix\CF2985.cfxxe" /c "C:\ComboFix\Combobatch.bat


    Avast vient de nouveau de me faire un fenetre pour signaler le rootkit lchieqb.sys ....
    Mince, moi qui esperais pouvouir t écrire que tu m avait aidé à en venir à bout!!
    Je desespere pas... je te fais confiance, si t as d autres idées je continue le combat!! ^^

    Merci pour ton aide!!

    m
    0
    l
    a c 295 8 Sécurité
    a b 9 Windows
    22 Mars 2010 19:08:15

    Je ne sais pas comment tu as fait pour avoir un tel rapport.

    Tu as redémarré le PC ?
    m
    0
    l
    22 Mars 2010 20:21:50

    IL s est redemarré tout seul comme la premiere fois... pourquoi, y a un soucis??
    Par contre j ai un tas de fichiers dans le dossier combofix dans C: qui n existaient pas avant...

    C est bon ou mauvais tout çà? Je dois relancer la meme analyse tu crois?
    J avais 2 fichiers textes je t ais copié les deux...
    m
    0
    l
    a c 295 8 Sécurité
    a b 9 Windows
    22 Mars 2010 21:09:02

    Retente la manip'.
    m
    0
    l
    23 Mars 2010 20:04:27

    ComboFix 10-03-21.02 - KRO 23/03/2010 19:47:08.3.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1015.625 [GMT 1:00]
    Lancé depuis: c:\documents and settings\KRO\Bureau\Problème ordi\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\KRO\Bureau\CFScript.txt
    AV: avast! antivirus 4.8.1368 [VPS 100323-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

    FILE ::
    "c:\documents and settings\KRO\Menu Démarrer\Programmes\Démarrage\ihaupd32.exe"
    "c:\windows\system32\drivers\lcheiqb.sys"
    .
    Les fichiers ci-dessous ont été désactivés pendant l'exécution:
    c:\windows\system32\config\systemprofile\Local Settings\Application Data\Windows Server\ljpdea.dll


    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server\flags.ini
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server\ljpdea.dll
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server\uses32.dat
    c:\windows\system32\drivers\lcheiqb.sys
    .
    ---- Exécution préalable -------
    .
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server\flags.ini
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server\ljpdea.dll
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server\ljpdea.dll.vir
    c:\documents and settings\KRO\Local Settings\Application Data\Windows Server\uses32.dat
    c:\windows\_VOIDyabvtvsiwq

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_MEMSWEEP2
    -------\Legacy_lcheiqb
    -------\Service_lcheiqb
    -------\Legacy_MEMSWEEP2
    -------\Legacy_lcheiqb
    -------\Service_lcheiqb


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-02-23 au 2010-03-23 ))))))))))))))))))))))))))))))))))))
    .

    2010-03-21 20:30 . 2010-03-21 20:33 -------- d-----w- c:\program files\Sophos
    2010-03-20 19:36 . 2010-03-20 19:36 -------- d-----w- c:\windows\Sun

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-03-23 18:54 . 2009-02-14 14:20 -------- d-----w- c:\documents and settings\KRO\Application Data\StarOffice8
    2010-03-23 18:39 . 2009-02-14 14:22 1 ----a-w- c:\documents and settings\KRO\Application Data\StarOffice8\user\uno_packages\cache\stamp.sys
    2010-03-23 18:17 . 2008-03-18 04:18 80516 ----a-w- c:\windows\system32\perfc00C.dat
    2010-03-23 18:17 . 2008-03-18 04:18 501590 ----a-w- c:\windows\system32\perfh00C.dat
    2010-03-16 20:49 . 2008-04-05 19:19 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-03-16 20:07 . 2009-10-12 12:15 143704 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
    2010-03-01 08:14 . 2009-02-21 05:55 26590 ----a-w- c:\documents and settings\KRO\Application Data\wklnhst.dat
    .

    ((((((((((((((((((((((((((((( SnapShot@2010-03-22_07.34.45 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2010-03-23 18:53 . 2010-03-23 18:53 16384 c:\windows\temp\Perflib_Perfdata_55c.dat
    + 2008-03-18 04:18 . 2010-03-23 18:17 67704 c:\windows\system32\perfc009.dat
    - 2008-03-18 04:18 . 2010-03-22 07:26 67704 c:\windows\system32\perfc009.dat
    + 2008-03-18 04:18 . 2010-03-23 18:17 433130 c:\windows\system32\perfh009.dat
    - 2008-03-18 04:18 . 2010-03-22 07:26 433130 c:\windows\system32\perfh009.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-24 104984]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-24 121368]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-24 100888]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-24 132496]
    "RTHDCPL"="RTHDCPL.EXE" [2008-03-06 16858112]
    "AsusTray"="c:\program files\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400]
    "AsusACPIServer"="c:\program files\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768]
    "ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2008-04-16 335872]
    "avast!"="d:\progra~1\Avast\ashDisp.exe" [2009-11-24 81000]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-03 15360]

    c:\documents and settings\KRO\Menu D‚marrer\Programmes\D‚marrage\
    StarOffice 8.lnk - d:\program files\Sun\StarOffice 8\program\quickstart.exe [2007-8-17 122880]

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AutoRun OSCleaner.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\AutoRun OSCleaner.lnk
    backup=c:\windows\pss\AutoRun OSCleaner.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
    backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    2004-08-19 08:22 1667584 ------w- c:\program files\Messenger\msmsgs.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [07/03/2009 12:26 114768]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [07/03/2009 12:26 20560]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
    uSearchAssistant = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-03-23 19:56
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    ------------------------ Autres processus actifs ------------------------
    .
    d:\program files\Avast\aswUpdSv.exe
    d:\program files\Avast\ashServ.exe
    c:\windows\RTHDCPL.EXE
    d:\program files\Sun\StarOffice 8\program\soffice.exe
    d:\program files\Sun\StarOffice 8\program\soffice.BIN
    c:\windows\system32\igfxext.exe
    c:\windows\system32\igfxsrvc.exe
    d:\program files\Avast\ashMaiSv.exe
    d:\program files\Avast\ashWebSv.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\dwwin.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-03-23 19:57:23 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-03-23 18:57
    ComboFix2.txt 2010-03-22 07:38

    Avant-CF: 1 484 111 872 octets libres
    Après-CF: 1 434 202 112 octets libres

    - - End Of File - - 6183AA40BE47AF485FB806D464636C7D


    Le fichier a l air d etre supprimé!! Je viens de regarder dans windows!!
    Je touche du bois Je te tiens au courant d ici quelques jours mais il semblerait que çà ait marché!!
    Puré! Super!! Je m en sert comme d habitude quelques temps et je te confirme çà!!
    Merci en tout cas!!
    m
    0
    l
    a c 295 8 Sécurité
    a b 9 Windows
    23 Mars 2010 21:01:59

    C'est mieux.

  • Menu Démarrer > Démarrer > Tape ComboFix /uninstall et valide.

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.
  • Coche également les cases à côté de LOP Check et Purity Check.
  • Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    m
    0
    l
    25 Mars 2010 12:24:08

    Salut,

    L ordi a l air de refonctionner completement normalement!!
    Penses tu que la manip ci dessus est nécessaire???
    SI oui je le fais, sinon je voulais juste comprendre comment supprimer le dossier dans lequel les virus ont ete supprimé sans les réactiver: Qoobox!

    Tiens moi au courant, sinon je fais ta manip du dessus, si tu pense que je suis pas encore completement sortie d affaire...


    Merci pour toutes tes reponses en tout cas!!
    m
    0
    l
    a c 295 8 Sécurité
    a b 9 Windows
    25 Mars 2010 19:01:40

    Ok, pour faire des vérifications.
    m
    0
    l
    27 Mars 2010 09:13:39

    OK je lance çà ce soir ou demain quand je rentre à Paris.
    m
    0
    l
    27 Mars 2010 11:56:07

    Voila les fichiers!

    Je laisse mon ordi une semaine a mes parents qui sont en vacances, je suivrais le post pour avoir tes reponses mais j aurais pas acces à l ordi! Mes parents sont nuls en informatique... donc ils n y touchent que pour le net...

    Je voulais avoir ton avis aussi sur les mises à jours de windows sur ce eee pc.
    Peut de memoire et les mise a jour ont faillit saturer la machine... qu en penses tu comment faire et restant idéalement sous XP ( ne pas passer sous linux comme plein d amis me suggère!!)

    http://www.cijoint.fr/cjlink.php?file=cj201003/cijLay6z...

    http://www.cijoint.fr/cjlink.php?file=cj201003/cijV8s3r...

    m
    0
    l
    a c 295 8 Sécurité
    a b 9 Windows
    28 Mars 2010 20:18:19

    S'il n'y a pas assez de mémoire, je ne peux pas faire grand chose.

    Tu as une ancienne version d'Avast.
    m
    0
    l
    9 Avril 2010 10:29:04

    salut

    Desole j ai du preparer des trucs urgent pour mon mariage du coup je reviens un peut tard!!

    Je dois upgrader avast?
    Je sais que j ai peu de mémoire vive c est un soucis par rapport aux virus??

    Merci!
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS