Tom's Guide > Forum > Sécurité - Virus > [RESOLU]RKIT/Tdss.gxu(Trojan) détecté par AVIRA

[RESOLU]RKIT/Tdss.gxu(Trojan) détecté par AVIRA

Forum Sécurité - Virus : [RESOLU]RKIT/Tdss.gxu(Trojan) détecté par AVIRA

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !

Créer un nouveau sujet Répondre

Bas de page Chercher dans ce sujet

Bonjour, j'ai mon antivirus AVIRA qui me détecte : RKIT/Tdss.gxu(Trojan).
Le fichier infecté se situerait :
C:\windows\system32\gaopdxvwcrqrcw.dll
Cette alerte se manifeste après démarrage du pc, quand je clique une première fois sur Internet Explorer. Les fois suivantes, ce problème n'apparait plus.
J'ai fait un scan Hijackthis. Le voilà :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:00:26, on 04/02/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\spool\drivers\w32x86\3\WrtMon.exe
C:\Program Files\Lexmark 9500 Series\lxdomon.exe
C:\Program Files\Lexmark 9500 Series\lxdoamon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ADS Tech\IR Monitor\IRMONITOR.EXE
C:\Program Files\ADS Tech\MediaTV 3\MediaTVMonitor.exe
C:\Program Files\PDFCreator\PDFCreator.exe
C:\Users\ADMIND~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\spool\drivers\w32x86\3\WrtProc.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sfr.fr/kit/adsl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WrtMon.exe] C:\Windows\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [lxdomon.exe] "C:\Program Files\Lexmark 9500 Series\lxdomon.exe"
O4 - HKLM\..\Run: [lxdoamon] "C:\Program Files\Lexmark 9500 Series\lxdoamon.exe"
O4 - HKLM\..\Run: [Lexmark 9500 Series Fax Server] "C:\Program Files\Lexmark 9500 Series\fm3032.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ADS IR Monitor.lnk = C:\Program Files\ADS Tech\IR Monitor\IRMONITOR.EXE
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: MediaTV Monitor.lnk = C:\Program Files\ADS Tech\MediaTV 3\MediaTVMonitor.exe
O4 - Global Startup: PDFCreator.lnk = C:\Program Files\PDFCreator\PDFCreator.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Rip YouTube File - {38E51477-DDB4-4aed-9D61-D0C193E10749} - C:\Program Files\DrmRemoval\YouTubeRipper.dll
O9 - Extra 'Tools' menuitem: Rip YouTube file embedded in this page - {38E51477-DDB4-4aed-9D61-D0C193E10749} - C:\Program Files\DrmRemoval\YouTubeRipper.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O15 - Trusted Zone: http://www.orange.fr
O20 - AppInit_DLLs: eNetHook.dll
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxdoCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxdoserv.exe
O23 - Service: lxdo_device - - C:\Windows\system32\lxdocoms.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SoundMovieServer - SoundMovieServer - C:\Windows\system32\snmvtsvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 10820 bytes

Quelqu'un connaitrait la marche à suivre pour règler ce problème?
Merci d'avance

Message édité par djrom2b le 07-02-2009 à 13:52:43

Répondre

Inscrivez-vous ou connectez-vous pour masquer ceci.

Bonjour,
je ne voudrais pas passer pour quelqu'un de mal élevé, mais je souhaiterais savoir si quelqu'un peut m'aider.
Cordialement.

Répondre à djrom2b

Bonjour,

Télécharge ComboFix (de sUBs) sur ton Bureau.

Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
Double clique sur ComboFix.exe.
Accepte la licence en cliquant sur Oui.
Le programme va te demander si tu souhaites installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je te conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

Aide : Comment utiliser ComboFix.

------------------------------ Prévention & Protection||Vous m'aimez ? Cliquez :o
Répondre à Angeldark

ComboFix 09-02-04.04 - ADMIN DJR 2009-02-05 13:49:51.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.2046.1009 [GMT 1:00]
Lancé depuis: c:\users\ADMIN DJR\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\system32\drivers\gaopdxnximshjg.sys
c:\windows\system32\gaopdxvwcrqrcw.dll
D:\Autorun.inf
E:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-05 au 2009-02-05 ))))))))))))))))))))))))))))))))))))
.

2009-02-04 10:59 . 2009-02-04 10:59 <REP> d-------- c:\program files\Trend Micro
2009-02-03 13:57 . 2009-02-03 13:57 <REP> d-------- c:\users\All Users\Avira
2009-02-03 13:57 . 2009-02-03 13:57 <REP> d-------- c:\programdata\Avira
2009-02-03 13:57 . 2009-02-03 13:57 <REP> d-------- c:\program files\Avira
2009-02-03 08:15 . 2009-02-03 08:15 <REP> d-------- c:\users\All Users\Malwarebytes
2009-02-03 08:15 . 2009-02-03 08:15 <REP> d-------- c:\users\ADMIN DJR\AppData\Roaming\Malwarebytes
2009-02-03 08:15 . 2009-02-03 08:15 <REP> d-------- c:\programdata\Malwarebytes
2009-02-03 08:15 . 2009-02-03 08:15 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-03 08:15 . 2009-01-14 16:11 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys
2009-02-03 08:15 . 2009-01-14 16:11 15,504 --a------ c:\windows\System32\drivers\mbam.sys
2009-02-02 19:04 . 2009-02-02 19:04 <REP> d-------- C:\Converted
2009-02-02 19:01 . 2009-02-02 19:01 <REP> d-------- c:\program files\DrmRemoval
2009-02-02 19:01 . 2008-10-24 13:41 200,704 --a------ c:\windows\System32\snmvtsvc.exe
2009-02-02 19:01 . 2008-10-24 11:19 23,096 --a------ c:\windows\System32\DrmRAudio.sys
2009-02-02 19:01 . 2008-10-24 11:19 23,096 --a------ c:\windows\System32\drivers\DrmRAudio.sys
2009-02-02 19:01 . 2008-10-24 11:19 19,099 --a------ c:\windows\System32\DrmRAudio.inf
2009-02-02 19:01 . 2008-10-24 11:19 10,936 --a------ c:\windows\System32\DrmRVideo.dll
2009-02-02 19:01 . 2008-10-24 11:19 3,768 --a------ c:\windows\System32\DrmRVideo.sys
2009-02-02 19:01 . 2008-10-24 11:19 3,768 --a------ c:\windows\System32\drivers\DrmRVideo.sys
2009-02-02 19:01 . 2008-10-24 11:19 2,577 --a------ c:\windows\System32\DrmRVideo.inf
2009-02-02 19:01 . 2008-10-24 11:19 2,539 --a------ c:\windows\System32\DrmRVideo.cat
2009-02-02 19:01 . 2008-10-24 11:19 2,100 --a------ c:\windows\System32\DrmRAudio.cat
2009-02-02 15:25 . 2009-02-02 15:25 <REP> d-------- c:\program files\Daniusoft
2009-02-02 15:25 . 2008-05-28 17:45 20,352 --a------ c:\windows\System32\drivers\VirtualAudio.sys
2009-01-26 10:28 . 2004-03-09 01:00 224,016 --a------ c:\windows\System32\TABCTL32.OCX
2009-01-26 10:28 . 2004-03-09 00:00 152,848 --a------ c:\windows\System32\COMDLG32.OCX
2009-01-23 13:59 . 2009-01-23 13:59 <REP> d-------- c:\program files\CCleaner
2009-01-22 11:54 . 2009-01-22 11:54 5,918,312 --a------ C:\tvpc.exe
2009-01-21 10:28 . 2009-01-21 10:28 <REP> d-------- c:\program files\SFR
2009-01-20 11:01 . 2009-01-20 11:01 410,984 --a------ c:\windows\System32\deploytk.dll
2009-01-15 17:02 . 2009-01-15 17:02 <REP> d-------- c:\program files\Microsoft Silverlight
2009-01-14 11:44 . 2008-12-16 03:42 288,768 --a------ c:\windows\System32\drivers\srv.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-02 16:09 --------- d-----w c:\users\ADMIN DJR\AppData\Roaming\LimeWire
2009-01-27 18:41 --------- d-----w c:\program files\CHEOPS
2009-01-24 12:51 27,715 ----a-w c:\users\ADMIN DJR\AppData\Roaming\nvModes.dat
2009-01-24 12:50 --------- d-----w c:\program files\Steam
2009-01-23 13:03 --------- d-----w c:\program files\WinSTon
2009-01-20 17:45 --------- d-----w c:\programdata\Lx_cats
2009-01-20 10:01 --------- d-----w c:\program files\Java
2009-01-15 15:52 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-15 10:05 911,872 ----a-w c:\windows\System32\wininet.dll
2009-01-15 10:05 43,008 ----a-w c:\windows\System32\licmgr10.dll
2009-01-15 10:04 18,944 ----a-w c:\windows\System32\corpol.dll
2009-01-15 10:04 132,096 ----a-w c:\windows\System32\ieUnatt.exe
2009-01-15 10:04 109,568 ----a-w c:\windows\System32\PDMSetup.exe
2009-01-15 10:04 109,056 ----a-w c:\windows\System32\iesysprep.dll
2009-01-15 10:04 107,520 ----a-w c:\windows\System32\RegisterIEPKEYs.exe
2009-01-15 10:04 107,008 ----a-w c:\windows\System32\SetIEInstalledDate.exe
2009-01-15 10:04 103,936 ----a-w c:\windows\System32\SetDepNx.exe
2009-01-15 10:03 72,704 ----a-w c:\windows\System32\admparse.dll
2009-01-15 10:03 71,680 ----a-w c:\windows\System32\iesetup.dll
2009-01-15 10:03 66,560 ----a-w c:\windows\System32\wextract.exe
2009-01-15 10:03 420,352 ----a-w c:\windows\System32\vbscript.dll
2009-01-15 10:02 169,472 ----a-w c:\windows\System32\iexpress.exe
2009-01-15 10:01 34,304 ----a-w c:\windows\System32\imgutil.dll
2009-01-15 10:00 48,128 ----a-w c:\windows\System32\mshtmler.dll
2009-01-15 10:00 45,568 ----a-w c:\windows\System32\mshta.exe
2009-01-15 09:50 156,160 ----a-w c:\windows\System32\msls31.dll
2009-01-14 13:42 --------- d-----w c:\program files\Windows Mail
2009-01-03 21:10 --------- d-----w c:\program files\ADS Tech
2008-12-29 21:57 952,832 ----a-w c:\windows\system32\drivers\athr.sys
2008-12-05 09:25 --------- d-----w c:\program files\MSXML 4.0
2008-06-23 10:44 174 --sha-w c:\program files\desktop.ini
2007-10-18 23:01 0 ----a-w c:\users\ADMIN DJR\AppData\Roaming\wklnhst.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"swg"="c:\program files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe" [2008-04-23 165304]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-12-22 222080]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 457216]
"eAudio"="c:\acer\Empowering Technology\eAudio\eAudio.exe" [2007-06-11 1286144]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-06-27 752136]
"PlayMovie"="c:\program files\Acer Arcade Deluxe\Play Movie\PMVService.exe" [2007-05-03 206952]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-06-06 159744]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-05-22 151552]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-20 136600]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-06-06 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-06 8433664]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-06 81920]
"WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2007-04-11 26704]
"lxdomon.exe"="c:\program files\Lexmark 9500 Series\lxdomon.exe" [2007-09-06 450560]
"lxdoamon"="c:\program files\Lexmark 9500 Series\lxdoamon.exe" [2007-08-10 20480]
"Lexmark 9500 Series Fax Server"="c:\program files\Lexmark 9500 Series\fm3032.exe" [2007-09-18 307200]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-18 c:\windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-05-18 c:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-05-22 151552]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
ADS IR Monitor.lnk - c:\program files\ADS Tech\IR Monitor\IRMONITOR.EXE [2006-04-10 245760]
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2006-12-10 535336]
MediaTV Monitor.lnk - c:\program files\ADS Tech\MediaTV 3\MediaTVMonitor.exe [2007-11-02 245760]
PDFCreator.lnk - c:\program files\PDFCreator\PDFCreator.exe [2008-02-12 2641920]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=eNetHook.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1556898404-2725412301-2651453943-1000]
"EnableNotifications"=dword:00000001
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{F2A5CF96-AD88-491A-8AF0-E7BD764AF41D}"= c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Acer Arcade Deluxe.exe:Acer Arcade Deluxe
"{7EB5AD66-8CF9-4790-A7B1-AF1A01EC0D6B}"= c:\program files\Acer Arcade Deluxe\DVDivine\DVDivine.exeVDivine
"{F73094DC-8808-401D-A7D0-0ECFF4B1CDAC}"= c:\program files\Acer Arcade Deluxe\VideoMagician\VideoMagician.exe:VideoMagician
"{1E0E6EAE-1C17-4322-BCF4-FE09D44EDA94}"= c:\program files\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe:HomeMedia
"{45D4AC95-0128-4634-9426-3F8A3F88BBEC}"= c:\program files\Acer Arcade Deluxe\DV Wizard\DV Wizard.exeV Wizard
"{5D9D704B-5D6C-4283-8DA9-0893C9795CE2}"= c:\program files\Acer Arcade Deluxe\Play Movie\PlayMovie.exelay Movie
"{D14F51F9-6557-48B8-B517-E5CBC488B02B}"= c:\program files\Acer Arcade Deluxe\Play Movie\PMVService.exelay Movie Resident Program
"{FE3D5B39-4C7E-4F04-9FE1-C380FE6AC5EA}"= UDP:c:\windows\System32\lxcjcoms.exe:Lexmark Communications System
"{B8A31297-8BBB-465B-8A1D-5F7635363614}"= TCP:c:\windows\System32\lxcjcoms.exe:Lexmark Communications System
"{608C602A-F53E-40DA-927C-E624D9AAFBD0}"= UDP:c:\windows\System32\spool\drivers\w32x86\3\lxcjpswx.exerinter Status Window
"{49CFA1D8-2659-43FC-88DE-53C104074CF8}"= TCP:c:\windows\System32\spool\drivers\w32x86\3\lxcjpswx.exerinter Status Window
"{C637A054-C1C8-4178-A227-2A12776D2921}"= UDP:c:\program files\ADS Tech\MediaTV 3\MediaTV.exe:ADS Tech MediaTV 3
"{0F5FE525-F236-40EA-B72C-D810C7F9029A}"= TCP:c:\program files\ADS Tech\MediaTV 3\MediaTV.exe:ADS Tech MediaTV 3
"TCP Query User{01EAC179-F9BA-4717-8BEE-2C0FAEF14B70}c:\\program files\\steam\\steamapps\\djrom\\counter-strike source\\hl2.exe"= UDP:c:\program files\steam\steamapps\djrom\counter-strike source\hl2.exe:hl2
"UDP Query User{67B08C7D-BAC0-435F-84B5-D0ED11BF2DDE}c:\\program files\\steam\\steamapps\\djrom\\counter-strike source\\hl2.exe"= TCP:c:\program files\steam\steamapps\djrom\counter-strike source\hl2.exe:hl2
"TCP Query User{316C1264-40CF-43FA-B986-48C072E5FEF7}c:\\program files\\steam\\steamapps\\djrom\\half-life 2 deathmatch\\hl2.exe"= UDP:c:\program files\steam\steamapps\djrom\half-life 2 deathmatch\hl2.exe:hl2
"UDP Query User{A4287489-94C3-4959-A995-87BDBD5EB2CC}c:\\program files\\steam\\steamapps\\djrom\\half-life 2 deathmatch\\hl2.exe"= TCP:c:\program files\steam\steamapps\djrom\half-life 2 deathmatch\hl2.exe:hl2
"{977630A1-891F-4740-8BBF-51CDB9CE56A8}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{C4844218-080A-4C75-912D-3DBAB67C3871}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{9C7BCEF1-D723-41EA-9347-30C7F23238C9}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"TCP Query User{729E222B-C869-4EB9-8212-0E59969E5453}c:\\program files\\limewire\\limewire.exe"= UDP:c:\program files\limewire\limewire.exe:LimeWire
"UDP Query User{A0CBE205-24EB-4C8E-82BA-EC78950CB623}c:\\program files\\limewire\\limewire.exe"= TCP:c:\program files\limewire\limewire.exe:LimeWire
"{01266976-4545-4808-91E6-DE03286C3A13}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{CFCEC0C1-7756-4E60-8F6F-578ADC439DD3}"= UDP:c:\program files\Lexmark 9500 Series\lxdoamon.exe:Lexmark Device Monitor
"{7E75B5A8-9754-43C5-B71B-6CC0A6FA8CAA}"= TCP:c:\program files\Lexmark 9500 Series\lxdoamon.exe:Lexmark Device Monitor
"{195EBE28-7464-42DE-96C1-E4188F3A4EF6}"= UDP:c:\program files\Lexmark 9500 Series\frun.exe:Lexmark Productivity Studio
"{459DFA91-0C8D-49DB-995D-D8E0AD8E9900}"= TCP:c:\program files\Lexmark 9500 Series\frun.exe:Lexmark Productivity Studio
"{9C4925A3-A51A-42F1-B965-AA7EFB468BBC}"= UDP:c:\program files\Abbyy FineReader 6.0 Sprint\Scan\ScanMan6.exe:ABBYY FineReader
"{1FC6816A-BE8F-4923-A2B3-FB0DAA8F025E}"= TCP:c:\program files\Abbyy FineReader 6.0 Sprint\Scan\ScanMan6.exe:ABBYY FineReader
"{65F223D8-F368-494A-AD14-9BFF5B539B81}"= UDP:c:\program files\Lexmark 9500 Series\lxdomon.exerinter Device Monitor
"{A928694D-AE7F-4EAA-9C4C-DACACDAC2B5B}"= TCP:c:\program files\Lexmark 9500 Series\lxdomon.exerinter Device Monitor
"{478E07AA-75BB-4C45-BFCB-E71594E331E9}"= UDP:c:\windows\System32\lxdocoms.exe:Lexmark Communications System
"{1F75B952-6F11-4DA4-931E-031A96CA090A}"= TCP:c:\windows\System32\lxdocoms.exe:Lexmark Communications System
"{FE76437E-B6A6-4A42-98EA-F798252F5CBB}"= UDP:c:\windows\System32\spool\drivers\w32x86\3\lxdopswx.exerinter Status Window Interface
"{D60709AC-3013-4189-AB9F-A20ABFD621DF}"= TCP:c:\windows\System32\spool\drivers\w32x86\3\lxdopswx.exerinter Status Window Interface
"{D75BE887-2633-4079-A528-C05DBA9FEA09}"= UDP:c:\windows\System32\spool\drivers\w32x86\3\lxdotime.exe:Lexmark Connect Time Executable
"{3CC6AF44-5123-4F61-924E-5FB943EDB6D6}"= TCP:c:\windows\System32\spool\drivers\w32x86\3\lxdotime.exe:Lexmark Connect Time Executable
"{1DBF4C90-3869-42EA-8E5E-9D8EF360E222}"= UDP:c:\program files\Lexmark 9500 Series\lxdoFax.exe:Fax Solutions Software
"{337D1DE1-2223-4FD5-8CA1-38030F90BB25}"= TCP:c:\program files\Lexmark 9500 Series\lxdoFax.exe:Fax Solutions Software
"{2A78CF67-6EBB-4F3D-9637-E5F307F6F7C6}"= UDP:c:\windows\System32\spool\drivers\w32x86\3\lxdojswx.exe:Job Status Window Interface
"{7C1BE4ED-D733-4A4C-B6D4-FA508D3509E7}"= TCP:c:\windows\System32\spool\drivers\w32x86\3\lxdojswx.exe:Job Status Window Interface
"{221193AC-B960-47D8-A42C-B00A81BF5D6D}"= UDP:c:\program files\Lexmark 9500 Series\Wireless\lxdowpss.exe:
"{3D4DFBCD-E017-4A2D-8F3C-C2B42AADF6AA}"= TCP:c:\program files\Lexmark 9500 Series\Wireless\lxdowpss.exe:
"{0EFF33DA-60E2-4472-9E5E-C14EA7335927}"= UDP:c:\windows\System32\lxdocfg.exerinter Communication System
"{3BCA4629-D3A1-4DB4-8DD4-495FED58CAC6}"= TCP:c:\windows\System32\lxdocfg.exerinter Communication System
"TCP Query User{94CFA2CA-7C61-44A8-8ED3-00E4CE7B3541}c:\\windows\\system32\\spool\\drivers\\w32x86\\3\\lxdopswx.exe"= UDP:c:\windows\system32\spool\drivers\w32x86\3\lxdopswx.exerinter Status Window Interface
"UDP Query User{DC3FA20E-D52B-43C1-BA8F-093A3721A5D3}c:\\windows\\system32\\spool\\drivers\\w32x86\\3\\lxdopswx.exe"= TCP:c:\windows\system32\spool\drivers\w32x86\3\lxdopswx.exerinter Status Window Interface
"TCP Query User{0BEDA215-6F37-4D3C-80D4-94FD739C432F}c:\\program files\\lexmark 9500 series\\frun.exe"= UDP:c:\program files\lexmark 9500 series\frun.exerinting Application
"UDP Query User{30DD76DC-D09E-4281-9214-1C016718EE8D}c:\\program files\\lexmark 9500 series\\frun.exe"= TCP:c:\program files\lexmark 9500 series\frun.exerinting Application
"TCP Query User{6ADF1F02-2CE7-4C79-8888-F544F7AEC111}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{9B4E550A-D8E5-472E-943A-94BD8E90A769}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"{EEF3F619-A31C-4A14-AE64-77D3881B0161}"= UDP:c:\program files\Malwarebytes' Anti-Malware\mbam.exe:Malwarebytes' Anti-Malware
"{02BC7802-F1D6-4257-AC4D-43C0594F63AF}"= TCP:c:\program files\Malwarebytes' Anti-Malware\mbam.exe:Malwarebytes' Anti-Malware

R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\program files\Acer Arcade Deluxe\Play Movie\000.fcl [2007-10-18 08:16:58 13560]
R2 lxdo_device;lxdo_device;c:\windows\system32\lxdocoms.exe -service --> c:\windows\system32\lxdocoms.exe -service [?]
R2 lxdoCATSCustConnectService;lxdoCATSCustConnectService;c:\windows\System32\spool\drivers\w32x86\3\lxdoserv.exe [2007-07-17 94208]
R3 DrmRAudio;DrmRAudio;c:\windows\System32\drivers\DrmRAudio.sys [2009-02-02 23096]
R3 DrmRVideo;DrmRVideo;c:\windows\System32\drivers\DrmRVideo.sys [2009-02-02 3768]
R3 enecir;ENE CIR Receiver;c:\windows\System32\drivers\enecir.sys [2006-12-10 32256]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [2008-09-18 28224]
S3 PTV339.X86;Mini DualTV USB, Service X86;c:\windows\System32\drivers\PTV339.X86.SYS [2007-10-24 299776]
S3 SoundMovieServer;SoundMovieServer;c:\windows\System32\snmvtsvc.exe [2009-02-02 200704]
S3 wsvad_driver;Daniusoft Audio Device;c:\windows\System32\drivers\VirtualAudio.sys [2009-02-02 20352]
S3 WSVD;WSVD;c:\windows\System32\drivers\WSVD.sys [2007-10-18 80744]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc1602c5-5d3a-11dd-b091-001b3824e810}]
\shell\AutoRun\command - H:\Setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
HKLM-Run-Acer Tour - (no file)
HKLM-Run-eRecoveryService - (no file)

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.sfr.fr/kit/adsl/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mStart Page = hxxp://fr.fr.acer.yahoo.com
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: orange.fr\www
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 13:54:43
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(960)
c:\windows\system32\eNetHook.dll

- - - - - - - > 'lsass.exe'(728)
c:\windows\system32\eNetHook.dll
.
Heure de fin: 2009-02-05 13:56:28
ComboFix-quarantined-files.txt 2009-02-05 12:56:26

Avant-CF: 24,460,345,344 octets libres
Après-CF: 24,326,500,352 octets libres

248 --- E O F --- 2009-01-30 06:48:11

Répondre à djrom2b

Re-bonjour,
je ne sais pas si le rapport mentionne encore un problème, mais après redémarrage de mon pc le souci semble avoir disparu.
J'attends vos instructions, chef.

Répondre à djrom2b

:hello: Bonjour,

AngelDark s'absente, je vais prendre la suite.

1) Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
Afin de lancer la recherche, clic sur"Rechercher".
Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

-- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
-- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

AIDE : Tuto en images sur MBAM

2) ~Fais une analyse antivirus en ligne sur le site de Kaspersky
http://www.kaspersky.com/kos/eng/p [...] bscan.html

Clique sur Accept
Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
clique une nouvelle fois sur "Accept"
Les bases de mises à jour vont s'installer, patiente un moment
Clique sur Next.
Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. Et poste-moi le rapport que tu obtiens.

Comment va le PC ? Toujours des problèmes ?

------------------------------ Prière de signaler si vous vous faites déjà aider sur un autre forum ou dans un autre topic.

Sécurité / Prévention
Répondre à Egwene

Problème résolu sur un autre forum. Merci de votre aide.

Répondre à djrom2b

Créer un nouveau sujet Répondre

Tom's Guide > Forum > Sécurité - Virus > [RESOLU]RKIT/Tdss.gxu(Trojan) détecté par AVIRA

Aller à :

Aide |
Règles du forum

Il y a 2203 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Page générée en 0,359 secondes

Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler

Liens