Votre question

virus Win32 Rootkit -gen et disparition de la barre des taches

Tags :
  • barre de tache
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Juin 2008 09:43:06

Bonjour,
Je me retrouve dans une situation assez difficile mais je commencerais depuis le début pour être plus compréhensible :

A l'ouverture de mon ordinateur (windows XP), avast v4.8 me detecte automatiquement un virus se trouvant dans le répertoire suivant: (Win32 Rootkit-gen) dans le répertoire infecté suivant :

C/Windows/System·"/svchot.exe

Il me propose de le mettre en quarantaine, de le supprimer, rien n'y fait il n'y arrive pas et m'enchaîne les alertes automatiques.
Je décide donc de relancer un scan avast (standart sans les archives) mais en mode sans échec.
Avast me trouvera deux fichiers de ces virus. Je choisi de les supprimer ne pouvant les mettre en quarantaine. (chose faite avec succ`s selon avast)

Par le suite, retour en mode normal de windows, celui-ci refuse alors de m'afficher la barre des taches et je ne peux ouvrir les dossiers de types mes documents, explorer,... présents sur le bureau par contre je peux relancer certaines applications via les raccourcis du bureau(comme avast,)
Je relance un scan d'avast mais celui-ci ne redétecte rien.(mode normal de windows)

retour alors en mode sans échec mais la non plus pas de barre des taches. Nouveau scan minutieux et des archives en mode sans échec et ce cher antivirus retrouve 3 fichiers infectieux du même type qu'avant. Je demande la mise en quarantaine, mais avast n'y parvient pas et ne me le signale (seulement après 3h de scan) dans son rapport de fin d'analyse.

Pourriez vous m'aider?

Autres pages sur : virus win32 rootkit gen disparition barre taches

4 Juin 2008 17:23:35

Bonjour,

Télécharge SDFix (d’Andy Manchesta)

  • Enregistre le sur ton le bureau.
  • Lance le.
  • Fais install afin qu’il puisse s’extraire.
    Redémarre en mode sans échec
    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\
  • Double clique sur RunThis.bat (L’extension bat peut ne pas apparaître)
  • Appuie sur Y pour le lancer.
  • Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
  • Il est probable que le redémarrage soit un peu plus long que d’habitude.
  • Une fois l’apparition de ton Bureau, il affichera Finished
  • Appuie sur une touche.
  • Un rapport est généré , poste le dans ta réponse.

    Il se trouve également. dans le dossier SDFix >Report.txt<
    4 Juin 2008 17:26:35

    Après analyse et réutilisation d'avast, j'ai quelques précisions :

    Nom du fichier infecté : C:\windows\system32\svchost.exe
    Nom du logiciel: Win32:Rootkit-gen (il y en avait 3)

    Avast me les a supprimé, et AVG Anti-Rootkit n'a rien trouvé à redire.
    En ce qui concene la barre des taches, celle-ci est réapparu après activation des icones d'accès rapides. (manip étrange).
    Malheureusement mon PC souffre touours de ralentissements au demarrage, la connection internet est introuvable.
    La suppression de ce rootkit par avast aurait-elle provoquée tout ça?
    Dois je changer d'antivirus (Avast ==> Avira antivir)

    Edit: pardon XmichouX, il semblerait que nous ayons posté simultanément. Je me vais suivre tes conseils puis reposterais (pardon pour le double post à venir >_<)
    Contenus similaires
    4 Juin 2008 17:56:32

    Voici donc le rapport formulé par SDFix :

    SDFix: Version 1.187

    Run by Administrateur on 04/06/2008 at 17:49



    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\SDFix



    Checking Services :





    Restoring Windows Registry Values

    Restoring Windows Default Hosts File



    Rebooting





    Checking Files :



    No Trojan Files Found













    Removing Temp Files



    ADS Check :







    Final Check :



    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2008-06-04 17:54:12

    Windows 5.1.2600 Service Pack 1 FAT NTAPI



    scanning hidden processes ...



    IPC error: 2 Le fichier spÈcifiÈ est introuvable.

    scanning hidden services ...



    scanning hidden autostart entries ...



    scanning hidden files ...



    scan completed successfully

    hidden processes: 0

    hidden services: 0

    hidden files: 0





    Remaining Services :









    Authorized Application Key Export:



    Remaining Files :







    Files with Hidden Attributes :



    Mon 12 Jul 2004 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"

    Mon 12 Jul 2004 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK32.dll"

    Mon 12 Jul 2004 1,024 ...HR --- "C:\WINDOWS\system32\ntiembed.dll"

    Mon 20 Sep 2004 56 ..SHR --- "C:\WINDOWS\system32\B49E6B7C31.sys"

    Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"

    Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"

    Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

    Wed 10 Nov 2004 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv15.bak"

    Wed 10 Nov 2004 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

    Tue 18 Dec 2007 20,480 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL3847.tmp"

    Tue 18 Dec 2007 20,480 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL2410.tmp"

    Tue 18 Dec 2007 21,504 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL1079.tmp"

    Tue 18 Dec 2007 22,016 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL2765.tmp"

    Tue 18 Dec 2007 22,528 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL2490.tmp"

    Tue 18 Dec 2007 23,552 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL0199.tmp"

    Tue 18 Dec 2007 23,552 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL3523.tmp"

    Tue 18 Dec 2007 23,040 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL3927.tmp"

    Tue 18 Dec 2007 24,576 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL2439.tmp"

    Tue 18 Dec 2007 25,600 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL2770.tmp"

    Tue 18 Dec 2007 26,624 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL3121.tmp"

    Tue 18 Dec 2007 25,600 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL2441.tmp"

    Tue 18 Dec 2007 24,576 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL0908.tmp"

    Tue 18 Dec 2007 24,576 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL3322.tmp"

    Tue 18 Dec 2007 25,088 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL3822.tmp"

    Tue 18 Dec 2007 25,600 ...H. --- "C:\Documents and Settings\brenez\Mes documents\~WRL1534.tmp"

    Sun 16 Mar 2008 1,024 A..H. --- "C:\System Volume Information\_restore{D2104804-5333-43CE-9B72-B1CC04BC2031}\RP423\A0098920.sys"

    Wed 23 Apr 2008 20,992 ...H. --- "C:\Documents and Settings\brenez\Bureau\Çolienjul\MÇmoire\~WRL3121.tmp"

    Thu 22 Sep 2005 401 A..H. --- "C:\Documents and Settings\PropriÇtaire\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"

    Wed 10 Nov 2004 4,348 ...H. --- "C:\Documents and Settings\PropriÇtaire\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"

    Thu 22 Sep 2005 1,536 A..H. --- "C:\Documents and Settings\PropriÇtaire\Mes documents\Ma musique\Sauvegarde de la licence\drmv2lic.bak"

    Wed 10 Nov 2004 312 ...H. --- "C:\Documents and Settings\PropriÇtaire\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"



    Finished!
    4 Juin 2008 18:58:30

    Il semblerait que Avast fasse un faux-positif là dessus..

    Télécharge Hijackthis (de Trend Micro) sur ton Bureau.

  • Double clique sur HJTInstall.exe pour lancer l'installation.
  • Clique sur Install.
  • Double clique sur le raccourci d'HijackThis qui vient d'être créé pour le lancer. (Clique droit -> lancer en tant qu'admin si sous Vista)
  • Accepte la licence en cliquant sur Yes.
  • Clique sur "Do a system scan and save a logfile".
  • Poste ici le rapport généré.

    Note : Le rapport se trouve également ici : C:\Program Files\Trend Micro\Hijackthis\Hijackthis.log

    Aide : Comment utiliser HijackThis.
    5 Juin 2008 12:13:33

    Voici le rapport fait par HijackThis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:11:10, on 05/06/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Acer\eManager\anbmServ.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Documents and Settings\brenez\Bureau\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://shell.windows.com/fileassoc/fileassoc.asp?LangID...
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-21-290470409-1754454779-3683679437-1005\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Hyperappel de l'EncyclopÈdie Universelle Larousse.lnk = ?
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A5E47374-1052-486D-89AF-D652790CE1BC}: NameServer = 80.58.61.250
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
    O23 - Service: Avira AntiVir Personal ñ Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal ñ Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

    --
    End of file - 5547 bytes

    5 Juin 2008 18:58:24

    Re,

    Fais une réparation Windows.
    5 Juin 2008 19:03:01


    Une réparation windows? Qu'est ce donc?

    Désolés cela peut vous paraître une question bête, mais comment dire, je suis assez novice, (on doit vous le dire souvent)^^;;**
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS