Création
d'entreprise
Posez votre question Signaler

Tr/drop.agent.aott et NTVDM/rundll32

eron - Dernière réponse le 16 févr. 2010 à 22:00
Bonjour,
bon alors j'ai plusieurs problème apparement ...
Tout d'abord le trojan drop.agent.aott m'a été détecté puis mis en quarantaine avec avira puis je l'ai supprimé de la quarantaine (ai-je bien fait ? ).
Puis j'ai un pbm mon odinateur ne veux plus rien faire en mode normal, et en mode sans échec je ne peux accéder aux éléments du panneaux de configuration il est marqué sous ms dos 16 bits windows/system32/rundll32" le processeur ntvdm a rencontré une instruction non autorisé ...".
Bref je ne sais plus quoi faire avec cet ordi qui me cause que des pbms... est-ce qu'un PC pour quelqu'un qui sait s'en servir ca marche vraiment? je veux dire comparé à un mac ( j'ai trop de galère avec ce PC ....!!!!)
Bref voici un rapport avira et ensuite un rapport hijackthis:
Merci si quelqu'un peut m'aider:
AVIRA
Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 7 février 2010 22:40
La recherche porte sur 1729642 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Mode sans échec avec assistance réseau
Identifiant : jea
Nom de l'ordinateur : JERONIMAXMIXMUX
Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 24/11/2009 00:03:12
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:04
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:12
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:32
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 00:03:12
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 00:03:12
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 20:22:38
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 23:13:20
VBASE004.VDF : 7.10.3.76 2048 Bytes 26/01/2010 23:13:20
VBASE005.VDF : 7.10.3.77 2048 Bytes 26/01/2010 23:13:20
VBASE006.VDF : 7.10.3.78 2048 Bytes 26/01/2010 23:13:20
VBASE007.VDF : 7.10.3.79 2048 Bytes 26/01/2010 23:13:20
VBASE008.VDF : 7.10.3.80 2048 Bytes 26/01/2010 23:13:20
VBASE009.VDF : 7.10.3.81 2048 Bytes 26/01/2010 23:13:20
VBASE010.VDF : 7.10.3.82 2048 Bytes 26/01/2010 23:13:20
VBASE011.VDF : 7.10.3.83 2048 Bytes 26/01/2010 23:13:20
VBASE012.VDF : 7.10.3.84 2048 Bytes 26/01/2010 23:13:20
VBASE013.VDF : 7.10.3.85 2048 Bytes 26/01/2010 23:13:20
VBASE014.VDF : 7.10.3.122 172544 Bytes 29/01/2010 12:16:02
VBASE015.VDF : 7.10.3.149 79872 Bytes 01/02/2010 15:39:58
VBASE016.VDF : 7.10.3.174 68608 Bytes 03/02/2010 15:45:08
VBASE017.VDF : 7.10.3.199 76800 Bytes 04/02/2010 13:44:52
VBASE018.VDF : 7.10.3.200 2048 Bytes 04/02/2010 13:44:52
VBASE019.VDF : 7.10.3.201 2048 Bytes 04/02/2010 13:44:52
VBASE020.VDF : 7.10.3.202 2048 Bytes 04/02/2010 13:44:52
VBASE021.VDF : 7.10.3.203 2048 Bytes 04/02/2010 13:44:52
VBASE022.VDF : 7.10.3.204 2048 Bytes 04/02/2010 13:44:52
VBASE023.VDF : 7.10.3.205 2048 Bytes 04/02/2010 13:44:52
VBASE024.VDF : 7.10.3.206 2048 Bytes 04/02/2010 13:44:54
VBASE025.VDF : 7.10.3.207 2048 Bytes 04/02/2010 13:44:54
VBASE026.VDF : 7.10.3.208 2048 Bytes 04/02/2010 13:44:54
VBASE027.VDF : 7.10.3.209 2048 Bytes 04/02/2010 13:44:54
VBASE028.VDF : 7.10.3.210 2048 Bytes 04/02/2010 13:44:54
VBASE029.VDF : 7.10.3.211 2048 Bytes 04/02/2010 13:44:54
VBASE030.VDF : 7.10.3.212 2048 Bytes 04/02/2010 13:44:54
VBASE031.VDF : 7.10.3.217 44544 Bytes 05/02/2010 13:44:54
Version du moteur : 8.2.1.158
AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 19:51:50
AESCRIPT.DLL : 8.1.3.13 823674 Bytes 02/02/2010 15:40:02
AESCN.DLL : 8.1.4.0 127348 Bytes 28/01/2010 09:12:44
AESBX.DLL : 8.1.1.1 246132 Bytes 24/11/2009 00:03:12
AERDL.DLL : 8.1.3.4 479605 Bytes 01/12/2009 21:31:04
AEPACK.DLL : 8.2.0.5 422262 Bytes 15/01/2010 18:15:08
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 04/11/2009 21:26:34
AEHEUR.DLL : 8.1.1.4 2326899 Bytes 03/02/2010 15:52:22
AEHELP.DLL : 8.1.10.0 237942 Bytes 15/01/2010 18:15:06
AEGEN.DLL : 8.1.1.86 369012 Bytes 02/02/2010 15:40:00
AEEMU.DLL : 8.1.1.0 393587 Bytes 04/11/2009 21:26:34
AECORE.DLL : 8.1.11.1 184694 Bytes 02/02/2010 15:40:00
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:32
AVPREF.DLL : 9.0.3.0 44289 Bytes 04/11/2009 21:26:34
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 14:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:44
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:24
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:38
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:58
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:41:00
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 04/11/2009 21:26:34
RCTEXT.DLL : 9.0.73.0 88321 Bytes 24/11/2009 00:03:12
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Début de la recherche : dimanche 7 février 2010 22:40
La recherche d'objets cachés commence.
Impossible d'initialiser le pilote.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'13' processus ont été contrôlés avec '13' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '65' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\' <ACER>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Program Files\Java\jre6\lib\rt.jar
[0] Type d'archive: ZIP
--> com/sun/jmx/snmp/IPAcl/ParserConstants.class
[AVERTISSEMENT] Impossible de lire le fichier !
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP63\A0010938.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.aott
Recherche débutant dans 'D:\' <Nouveau nom>
Début de la désinfection :
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP63\A0010938.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.aott
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b9f420e.qua' !
Fin de la recherche : dimanche 7 février 2010 23:42
Temps nécessaire: 1:01:43 Heure(s)
La recherche a été effectuée intégralement
9979 Les répertoires ont été contrôlés
311475 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
311473 Fichiers non infectés
6932 Les archives ont été contrôlées
2 Avertissements
2 Consignes
HIJACKTHIS:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:59, on 08/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\jea\Bureau\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-3009342548-677485609-1231229379-1005\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe (User '?')
O4 - HKUS\S-1-5-21-3009342548-677485609-1231229379-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: MFWAKeys.lnk = C:\Program Files\MOTU\Audio\MFWAKeys.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader2.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
Lire la suite 

Tr/drop.agent.aott et NTVDM/rundll32 »

16 réponses
Réponse
+0
moins plus
servabat 1738Messages postés 2 octobre 2008Date d'inscription 30 mars 2012Dernière intervention 8 févr. 2010 à 17:44
salut,
hijackthis n'est plus mis a jours , alors :
=> d'abord , telecharge RSIT sur ton bureau
=> fait un clique droit sur l'icone RSIT sur le bureau et choisis executer en tant qu'administrateur
=> laisse les options de base et apuie sur continue
=> RSIT a besoin d'un autre logiciel pour fonctionner , Hijacthis, il va donc le telecharger, il va donc falloir en accepter l'installation quand une fenetre apparaitera en appuyant sur executer
=> après, l'analyze va commencer, puis, a la fin , deux bloc note vont s'ouvrir: log.txt et info.txt, copie colle les ici, les deux entierement.
ensuite attend et je te dirais quoi faire
enfin , supprime ta quarantaine avira

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Lyonnais92 24992Messages postés 23 juin 2006Date d'inscription 25 mai 2012Dernière intervention 8 févr. 2010 à 17:46
Bonjour,

ce rapport HJT en mode sans échec ne montre rien.

fais ceci :


Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
eron 8 févr. 2010 à 17:58
Bon je commence déjà par ce que m'indique SERVABAT, voici les rapports:

log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by jea at 2010-02-08 17:49:30
WIN_XP Service Pack 3
System drive C: has 51 GB (64%) free of 80 GB
Total RAM: 1022 MB (81% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:49:31, on 08/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
F:\RSIT.exe
C:\Documents and Settings\jea\Bureau\jea.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-3009342548-677485609-1231229379-1005\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe (User '?')
O4 - HKUS\S-1-5-21-3009342548-677485609-1231229379-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: MFWAKeys.lnk = C:\Program Files\MOTU\Audio\MFWAKeys.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader2.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Lyonnais92 24992Messages postés 23 juin 2006Date d'inscription 25 mai 2012Dernière intervention 8 févr. 2010 à 18:04
Re,

bonne suite à tous les 2.

ne fait pas ZHPDiag sauf si servabat te le demande.

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
servabat 1738Messages postés 2 octobre 2008Date d'inscription 30 mars 2012Dernière intervention 8 févr. 2010 à 18:10
fait donc le scan ZHPDiag et post le ici

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Ajouter un commentaire
Réponse
+0
moins plus
servabat 1738Messages postés 2 octobre 2008Date d'inscription 30 mars 2012Dernière intervention 8 févr. 2010 à 18:59
je pense qui ne reste rien. y a til toujours des symptomes ?

 Ajouter un commentaire
eron - 8 févr. 2010 à 19:10
Et bien,

je ne peux toujours pas acceder aux différents onglets du panneau de config toujours le message "NTVdm non autorisé..." dans une fenêtre MS DOS /windows/system32/rundll32

j'essaye d'aller sur le net (je suis sur un autre ordi la) et la cela ne marche pas avec un message d'erreur type " Firefox à rencontrer un PBM et doit fermer..." et apprès mon ordi est complètement bloqué je ne peux plus rien faire , en mode normal...
Ajouter un commentaire
Réponse
+0
moins plus
eron 9 févr. 2010 à 18:47
Personne pour m'aider ? :(

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
servabat 1738Messages postés 2 octobre 2008Date d'inscription 30 mars 2012Dernière intervention 9 févr. 2010 à 19:37
bon, desolé si je t'ai laissé. Voila la suite:
=> Télécharge Malwarebytes' Anti-Malware (MBAM) et installe le.
=> Redemmare ton pc en mode sans echec et demarre MBAM. Connecte tout tes support media ammovibles a ton pc et commence un scan complet de tout les disques connecté a ton pc. A la fin, ouvre le rapport et colle le ici.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
eron 9 févr. 2010 à 20:53
Voici le log:

Dois-je supprimer les 2 fichiers infectés ?

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3701
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

09/02/2010 20:48:38
mbam-log-2009-08-31 (18-48-58).txt

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 222769
Temps écoulé: 28 minute(s), 59 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP99\A0034926.EXE (Malware.Packer.Morphine) -> No action taken.
C:\System Volume Information\_restore{55C43280-EB61-47CB-9151-2B2ACEA5AFE1}\RP99\A0034927.EXE (Malware.Packer.Morphine) -> No action taken.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
servabat 1738Messages postés 2 octobre 2008Date d'inscription 30 mars 2012Dernière intervention 9 févr. 2010 à 21:19
oui.
je ne suis vraiment pas ordonné, mais il faudrais que tu scanne le fichier "G:\cold\hott\svchost.exe" sur virus total
ensuite
=> telecharge USBfix de Chiquitine29 et C_XX sur ton bureau
=> double clique sur l'icone qui devrait etre sur ton bureau
=> le programme ce lance, choisis français (en tappant sur la touche 'f' puis 'enter')
=> et choisis l'option 1 : recherche
=> un message apparait alors. Connecte toutes tes cles usb et tout tes disque dur, enfin tout ce qui peut stocker des données puis appuie sur ok.
=> l'analyze commence. A la fin , un rapport apparait dans une fenetre du bloc notes, copie colle tout ce quelle contient ici. ensuite , attend et je te dirais que faire
je te dirais la suite demain

 Ajouter un commentaire
eron - 10 févr. 2010 à 20:10
Bonsoir,
le problème c'est que je ne peux pas accéder à internet pour l'analyse online
Ajouter un commentaire
Réponse
+0
moins plus
eron 10 févr. 2010 à 20:24
Voici le rapport de usbFIX:
au passage normalement j'avais déjà vacciné mon PC avec usbfix...


############################## | UsbFix V6.093 |

User : jea (Administrateurs) # JERONIMAXMIXMUX
Update on 10/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:19:58 | 10/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com



Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled



############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE

################## | Elements infectieux |


################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |


################## | Vaccin |

# C:\autorun.inf -> Dossier créé par UsbFix .
# D:\autorun.inf -> Dossier créé par UsbFix .
# F:\autorun.inf -> Dossier créé par UsbFix .
# H:\autorun.inf -> Dossier créé par UsbFix .

################## | ! Fin du rapport # UsbFix V6.093 ! |

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
eron 12 févr. 2010 à 13:03
J'espère que tu trouveras le temps de m'aider Servabat ....

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
eron 16 févr. 2010 à 22:00
Bon... ben j'ai compris si personne ne peut m'aider j vais reformater pour la millième fois mon DD....

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « tr/drop.agent.aott et NTVDM/rundll32 » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?