[XP] Taskman, un virus ou un outil de windows ?

[Edelmar]

Bonsoir,

Voila, depuis tout a l'heure, spybot me demane de confirmer une modification dans les processus a propos d'un certain taskman. Spybot sur la fenetre le met comme valeur ajoutée et apparement le changement se ferait dans C: RECYCLERS etc...

Je refuse la modification. Mais le bougre revient a la charge, et pendant 20 min , toutes les 2 sec , la petite fenetre demanda que j'autorise la demande de changement..Commencant a m'inquieter, je m'enquiers sur le net, et decouvre 2 choses, soit que taskman est un trojan, soit que c'est un programme qui serait en fait lié aux gestionnaires des taches. Ne sachant que fair j'ai lancé quelques analyses, et j'ai été moi meme regarder dans le dossier de windows sur le disque C.

Et la, parmi les fichiers je trouve TASKMAN avec quand je mets le curseur dessus la description d'un fichier du gestionnaire des taches de l'entreprise microsoft corporation.

Alors je sais pas du tout quoi faire, puisque d'un bord sur le net , on décrit taskman comme " ce virus qu'on peut se permettre d'appeler "le virus de la honte" fait defiler des images pornographiques sur votre bureau. il passe au travers plusieurs antivirus par ce qu'il fonctionne comme une partie de windows en utlisant 'le coeur' de windows ; le system32 ou system64(vista). " et de l'autre tout m'apparait comme le fait que ce soit un simple truc du gestionnaire de taches . Es ce que quelqu'un d'autre a cette aplication dans son dossier windows ? Et es ce que l'un d'entre vous sait pourquoi d'un coup spybot s'est acharné a vouloir me faire modifier ce truc ?

Merci d'avance.

[Amour]

Quel est le chemin exact de ce programme ? C'est visible entre autres via le logiciel tierce "Process Explorer"

[Edelmar]

Bon alors en fait, il s'agit d'un trojan...Et il ne veut pas partir, bien que j'ai essayé de le supprimer avec Spybot, et Malwarebyte's, ainsi que moi meme allant directement le supprimer en passant par l'invite de commande et tapant "regedit"...Ce petit trojan de mes deux se remet a chaque fois sans probleme au meme endroit...HKEY_LOCAL

Donc maintenant, la question est, es ce que l'un d'entre vous sait se débarasser définitivement d'un trojan ? Si oui, merci de me faire parvenir la solution.

J'aimerais vraiment pas devoir tout reformater surtout que je ne suis pas sur que mon windows ( qui est une license que j'ai eu d'une entreprise donc sans disque et télécharger depuis un site internet, sachant tout de meme que mon windows est tout a fait légal )

Je vous passe le texte que me donne Malwarebyte's a chaque fois qu'il le supprime ( meme si le trojan sy remet a chaque fois )

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Version de la base de données: 4198

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

15/06/2010 12:31:47

mbam-log-2010-06-15 (12-31-47).txt

Type d'examen: Examen rapide

Elément(s) analysé(s): 120396

Temps écoulé: 8 minute(s), 13 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Es ce qu'on peut faire qqch ?

Ah, et j'ajoute que quand je vais dans le registre, en face de ce taskman, dans la colonne "données" il y a C:\RECYCLERS\S-1-5-21-4576076373-9103204663-879580847-0170\recycle.exe.

[Amour]

Vous pouvez utiliser un Live CD et tout supprimer à la main (certains Live CD Windows permettent même de charger le registre local)

[Edelmar]

Un live cd d'ubuntu pourrait marcher, genre Jaunty jackalope ? Je ne sais pas si j'ai un live cd de windows. (J'ai bien des cd d'installation mais des live cd je pense pas.)

[Amour]

Cela pourrait aider pour supprimer toute trace de ce fichier, quitte à ensuite à revenir en mode sans échec et supprimer les clés de registres ; et enfin vérifier s'il a bien disparu via Malware Byte

[Edelmar]

Ok ! Merci beaucoup , je vais tenter le coup du live cd ! Juste pour savoir comment on fait pour demarrer windows en mode sans echec ?

[Amour]

On peut démarrer le mode sans échec en appuyant sur F8 avant que la barre de chargement de Windows n'apparaîsse (ne pas hésiter à appuyer plusieurs fois pour arriver au bon moment)

[Edelmar]

Ok merci beaucoup !

[Edelmar]

Bon j'ai tenté d'abord le mode sans échec, et ben durant le mode sans échec ca a marché. J'ai fait 2 scans de Malware dans le mode sans échec dans la session de l'admin, et il m'a bien enlevé le trojan et ne le trouvait plus lors du deuxième scan. Puis je suis aller dans ma session toujours sous le mode sans échec pour y faire aussi un scan, il m'a pas trouvé de trojan, donc j'étais sacrement content ^^. Puis j'ai redémarré mon pc donc en version normal, puis j'ai lancé malware byte, qui l'a ma trouvé le trojan....Alors j'avoue que cette merde commence a me chauffer les baskets....Je fais quoi ? Parce que d'un autre coté, j'ai vu sur des forums que même si on lance un live cd de ubuntu, on ne peut pas toucher au fichiers windows car on a pas la permission...Et qu'il faudrait installer ubuntu en double boot, mais la ca commence a devenir un peu trop compliqué pour moi....

[Higapeon]

Bon j'ai tenté d'abord le mode sans échec, et ben durant le mode sans échec ca a marché. J'ai fait 2 scans de Malware dans le mode sans échec dans la session de l'admin, et il m'a bien enlevé le trojan et ne le trouvait plus lors du deuxième scan. Puis je suis aller dans ma session toujours sous le mode sans échec pour y faire aussi un scan, il m'a pas trouvé de trojan, donc j'étais sacrement content ^^. Puis j'ai redémarré mon pc donc en version normal, puis j'ai lancé malware byte, qui l'a ma trouvé le trojan....Alors j'avoue que cette merde commence a me chauffer les baskets....Je fais quoi ? Parce que d'un autre coté, j'ai vu sur des forums que même si on lance un live cd de ubuntu, on ne peut pas toucher au fichiers windows car on a pas la permission...Et qu'il faudrait installer ubuntu en double boot, mais la ca commence a devenir un peu trop compliqué pour moi....

Un petit coup de Hijackthis :)

Doit y avoir un run quelque part qui lance auto l'install du trojan.

[Edelmar]

Un petit coup de Hijackthis :)

Doit y avoir un run quelque part qui lance auto l'install du trojan.

Ok tu peux m'expliquer comment faire ?

[2C.LiryC]

Salut,

HijackThis, c'est ici.

Poste ensuite le rapport généré.

Pour ce qui est du Live CD, c'est justement l'INtérêt du truc, de pouvoir manipuler des fichiers (y compris fichiers système de windows) sans avoir à installer un double-boot et compagnie...

[Edelmar]

Salut,

HijackThis, c'est ici.

Poste ensuite le rapport généré.

Pour ce qui est du Live CD, c'est justement l'INtérêt du truc, de pouvoir manipuler des fichiers (y compris fichiers système de windows) sans avoir à installer un double-boot et compagnie...

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\DAEMON Tools Lite\DTLite.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Downloads\Software\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot

O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunOnce: [Trojan Remover] "C:\Program Files\Trojan Remover\RMVTRJAN.EXE" /restart

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Edelmar\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

--

End of file - 8783 bytes

[Amour]

Parce que d'un autre coté, j'ai vu sur des forums que même si on lance un live cd de ubuntu, on ne peut pas toucher au fichiers windows car on a pas la permission...Et qu'il faudrait installer ubuntu en double boot, mais la ca commence a devenir un peu trop compliqué pour moi....

On peut tout à fait, il faut juste basculer en root ou encore simplement monter la partition Windows avec les droits d'écriture

[Edelmar]

On peut tout à fait, il faut juste basculer en root ou encore simplement monter la partition Windows avec les droits d'écriture

Oui, mais le probleme, c'est que au final, je sais pas quel est le programme qui me remet ce trojan a chaque fois...Alors meme si je lance le live cd, en supposant que j'ai les autorisations, je ne sais absolument pas quel fichier effacer.

En plus j'ai pas l'impression qu'Hijackthis vient de me donner une soluce...

J'ai bien refait un rapport pour voir si il y avait qqch de different, mais jy comprends rien..

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:49:58, on 15/06/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\RTHDCPL.EXE

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\DAEMON Tools Lite\DTLite.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Downloads\Software\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot

O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunOnce: [Trojan Remover] "C:\Program Files\Trojan Remover\RMVTRJAN.EXE" /restart

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Edelmar\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

--

End of file - 8783 bytes

[Amour]

Je ne vois rien de bien suspect dans cette liste...

Si jamais personne ne voit rien d'autre non plus, ou que cela ne change rien, essayez de mettre votre disque dur en secondaire dans une machine en ayant déjà un avec Windows, et ainsi le malware ne démarrera pas.

Cela permettrait peut-être de supprimer correctement avec Malware Byte et / ou Antivir réglé au maximum en scannant tout le disque dur...

[Edelmar]

Je ne vois rien de bien suspect dans cette liste...

Si jamais personne ne voit rien d'autre non plus, ou que cela ne change rien, essayez de mettre votre disque dur en secondaire dans une machine en ayant déjà un avec Windows, et ainsi le malware ne démarrera pas.

Cela permettrait peut-être de supprimer correctement avec Malware Byte et / ou Antivir réglé au maximum en scannant tout le disque dur...

Le pire est que quand je regarde dans les lancements ( invite de commande msconfig) eh bien parmi les les run je trouve un run qui est invisible. Pas de nom, rien d'afficher dans la colonne commande, juste son emplacement qui se trouve dans SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Evidemment j'ai décoché ce programme au lancement, une raison pour laquelle Hijackthis ne detecte rien... Cependant petit truc bizarre, apres l'avoir décoché une premiere fois, il y en a un autre qui était apparu dans la fenetre au dessus du premier avec la meme "tete" et situé au meme endroit, et quand j'ai decroché une nouvelle fois la case Spybot ma immediatement demandé si il fallait autoriser une modification visant le programme PlayNC. Es ce que les 2 sont liés ? Seulement j'ai été chequé dnas le dossier de NCsoft sur mon pc, mais il n'y a pas ce fichier...

Derniere chose, es ce qu'il y a moyen d'acceder au dossier C:\RECYCLERS\S-1-5-21-4576076373-9103204663-879580847-0170\recycle.exe. ? Pour que j'aille moi meme supprimer ce fichier ?

[Amour]

Derniere chose, es ce qu'il y a moyen d'acceder au dossier C:\RECYCLERS\S-1-5-21-4576076373-9103204663-879580847-0170\recycle.exe. ? Pour que j'aille moi meme supprimer ce fichier ?

Oui, depuis un Live CD Linux ou Windows

[Edelmar]

Derniere chose, es ce qu'il y a moyen d'acceder au dossier C:\RECYCLERS\S-1-5-21-4576076373-9103204663-879580847-0170\recycle.exe. ? Pour que j'aille moi meme supprimer ce fichier ?

Oui, depuis un Live CD Linux ou Windows

Ok, je suis en ce moment sur ubuntu avec le live cd, et j"ai en effet acceder a ce dossier. Seul petit truc le fichier recycle.exe n'apparait pas....ALors que meme si c'est un virus, sous ubuntu, je devrais le voir. Il y a dans le dossier le simple fichier desktop.ini...

ES ce que vous avez un moyen pour trouver le ficher qui me crée ce trojan taskman sous le live cd d'ubuntu ( tant qua faire..)

[Amour]

Dans ce cas, effacez le dossier entier, pour être sûr...

Néanmoins, il se peut que ce fichier n'apparaîsse qu'après démarrage de Windows, ce qui veut dire que la source est ailleurs... et dans ce cas il faudrait scanner le disque dur sur une autre machine

[Edelmar]

Dans ce cas, effacez le dossier entier, pour être sûr...

Néanmoins, il se peut que ce fichier n'apparaîsse qu'après démarrage de Windows, ce qui veut dire que la source est ailleurs... et dans ce cas il faudrait scanner le disque dur sur une autre machine

Ok, mais ca ne va pas endommager windows si j'efface ce dossier dans RECYCLER ?

[Edelmar]

Dans ce cas, effacez le dossier entier, pour être sûr...

Néanmoins, il se peut que ce fichier n'apparaîsse qu'après démarrage de Windows, ce qui veut dire que la source est ailleurs... et dans ce cas il faudrait scanner le disque dur sur une autre machine

Ok, mais ca ne va pas endommager windows si j'efface ce dossier dans RECYCLER ?

ET J'AI TROUVÉ LE COUPABLE !!! AHAHAHAHAHAHAHAH !!!!

Pardonnez ma joie, je vais maintenant vous expliquer. Je n'avasi pas encore effacé et attendais une réponse a ma réponse précédente, quand je décidais d'aller jeter un coup d'oeil dans mon dd externe que j'avais sauvagement débranché le meme soir que l'apparation de mes problèmes. Et la ! Grace a Ubuntu, je découvris un dossier intitulé : U3ROM.

Etant sure qu'il n'était pas de moi, je commencais a etre un peu suspect vis a vis de ce dossier, je regardis dedans et trouva flyhigh.exe + desktop.ini.

Clic clac, il ne me fallut pas plus de temps pour aller voir sur google cqui était ce flyhigh.exe.

Voici la réponse:

WORM_PALEVO.KK

Solution:

For Windows ME and XP users, before doing any scans, please make sure you disable System Restore to allow full scanning of your computer.

[back]

Step 1: Remove malware files related to WORM_PALEVO.KK

* SWF_PALEVO.KK

Step 1: Remove malware files related to WORM_PALEVO.KK

SWF_PAVELKO.KK

[back]

Step 2: Identify and delete files detected as WORM_PALEVO.KK using either the Startup Disk or Recovery Console [learn how]

Step 2: Identify and delete files detected as WORM_PALEVO.KK using either the Startup Disk or Recovery Console [back]

To identify and delete the malware/grayware/spyware file:

• For Windows 98 and ME systems users:

1. Scan your computer with your Trend Micro product and then take note of the names of the malware/grayware/spyware files detected.

2. Click Start>Settings>Control Panel.

3. In the Control Panel, double-click Add/Remove Programs. Click on the Startup Disk tab.

4. Insert a working floppy disk and the Windows installation CD, and then click the Create Disk button to create the Startup Disk. Note that this deletes the contents of the floppy disk.

5. Restart the system with the Startup Disk.

6. In the command prompt, locate the folder where the malware files are detected.

7. In the folder, type the following and press Enter:

del {Malware/Grayware/Spyware file name}

8. Restart the system normally.

• For Windows NT, 2000, XP, Server 2003, and Vista systems users:

1. Scan your computer with your Trend Micro product and then take note of the names of the malware/grayware/spyware files detected.

2. Insert your Windows Installation CD in your CD-rom.

3. Press the restart button of your computer.

4. When prompted, press any key to boot from the CD.

5. When prompted on the Main Menu, type r to enter the recovery console.

(Note: On Windows 2000, after pressing r, type c to choose the Recovery Console in the repair options screen.)

6. When prompted, type your administrator password to log on.

7. Once logged in, type the drive that contains Windows in the command prompt that appears, then press Enter.

8. Type the drive that contains Windows, then press Enter.

9. Type the following, then press Enter:

del {Malware/Grayware/Spyware path and file name}

10. Repeat the above procedure for all files detected earlier.

11. Type exit to restart the system normally.

Step 3: Delete these registry values [learn how]

Important: Editing the Windows Registry incorrectly can lead to irreversible system malfunction. Please do this step only if you know how or you can ask assistance from your system administrator. Else, check this Microsoft article first before modifying your computer's registry.

* In HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows NT\CurrentVersion\Winlogon

o Taskman = "%System Root%\RECYCLER\{SID}\recycle.exe"

Step 3: Delete these registry values [back]

To delete the registry value this malware/grayware/spyware created:

1. Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.

2. In the left panel, double-click the following:

HKEY_LOCAL_MACHINE>Software>Microsoft>

Windows NT>CurrentVersion>Winlogon

3. In the right panel, locate and delete the entry:

* Taskman = "%System Root%\RECYCLER\{SID}\recycle.exe"

4. Close Registry Editor.

Step 4: Search and delete these folders [learn how]

*Note: Please make sure you check the Search Hidden Files and Folders checkbox in the "More advanced options" option to include all hidden folders in the search result.

* {Drive letter}:\U3ROM

* %System Root%\RECYCLER\{SID}

Step 4: Search and delete these folders [back]

To delete the malware/grayware/spyware folder:

1. Right-click Start then click Search... or Find..., depending on the version of Windows you are running.

2. In the Named input box, type:

* {Drive letter}:\U3ROM

* %System Root%\RECYCLER\{SID}

3. In the Look In drop-down list, select My Computer, then press Enter.

4. Once located, select the folder then press SHIFT+DELETE to permanently delete the folder.

Step 5: Search and delete AUTORUN.INF files created by WORM_PALEVO.KK that contain these strings [learn how]

;{garbage codes}

[Autorun

;{garbage codes}

open=U3ROM/flyhigh.exe

;{garbage codes}

:jmp0

;{garbage codes}

icon=%SystemRoot%\system32\SHELL32.dll,4

;{garbage codes}

:jmp3

;{garbage codes}

action=Open folder to view files using Windows Explorer

;{garbage codes}

shelL\\opeN\\commanD=U3ROM/flyhigh.exe

;{garbage codes}

Shell\\Explore\\Command=U3ROM/flyhigh.exe

;{garbage codes}

useautoplay=1

;{garbage codes}

:GOTO NUL

Step 5: Search and delete AUTORUN.INF files created by WORM_PALEVO.KK that contain these strings [back]

To identify and delete AUTORUN.INF files created:

1. Right-click the Start button then choose Search... or Find..., depending on the version of Windows you are running.

2. In the Named input box, type:

AUTORUN.INF

3. In the Look in: drop-down list, select a drive, then press Enter.

4. Select the file, then open using Notepad.

5. Check if the following lines are present in the file:

;{garbage codes}

[Autorun

;{garbage codes}

open=U3ROM/flyhigh.exe

;{garbage codes}

:jmp0

;{garbage codes}

icon=%SystemRoot%\system32\SHELL32.dll,4

;{garbage codes}

:jmp3

;{garbage codes}

action=Open folder to view files using Windows Explorer

;{garbage codes}

shelL\\opeN\\commanD=U3ROM/flyhigh.exe

;{garbage codes}

Shell\\Explore\\Command=U3ROM/flyhigh.exe

;{garbage codes}

useautoplay=1

;{garbage codes}

:GOTO NUL

6. If the lines are present, delete the file.

7. Repeat steps 3 to 6 for the remaining AUTORUN.INF files in other remaining removable drives.

8. Close Search Results.

Step 6: Scan your computer with your Trend Micro product to delete files detected as WORM_PALEVO.KK

*Note: If the detected files have already been cleaned, deleted, or quarantined by your Trend Micro product, no further step is required. You may opt to simply delete the quarantined files. Please check this Knowledge Base page for more information.

Step 6: Scan your computer with your Trend Micro product to delete files detected as WORM_PALEVO.KK $$NOTES=If the detected files have already been cleaned, deleted, or quarantined by your Trend Micro product, no further step is required. You may opt to simply delete the quarantined files. Please check this Knowledge Base page for more information.$$ [back]

Et voila, je n'ai plsu qua suivre un peu ces instrusctions, et je suis bon, merci a vous et merci a Ubuntu.

Bon je vais pas me faire ch*** pour le dossier recycler, je vais tout effacer ce qu'il y a dedans comme c'est indiqué.

Merci encore a tous le monde !