Programme Backdoor BDS/TDSS

Résolu
kazuo95 -  
 tintinophile29 -
Bonjour,

Depuis 2 jours Avira Antivir me détecte des programmes Backdoor dans mon fichier system32, j'ai beau faire Deny Access ou Move to Quarantine il me les détecte toujours, comment puis-je m'en débarasser?

Voici quelques exemples des events:

Virus or unwanted program 'BDS/TDSS.adb [backdoor]'
detected in file 'C:\WINDOWS\system32\TDSSirxy.dll.
Virus or unwanted program 'BDS/TDSS.JW [backdoor]'
detected in file 'C:\WINDOWS\system32\TDSSktkl.dll.
Virus or unwanted program 'BDS/TDSS.KD [backdoor]'
detected in file 'C:\WINDOWS\system32\TDSSocun.dll.
Virus or unwanted program 'BDS/TDSS.acs [backdoor]'
detected in file 'C:\WINDOWS\system32\TDSSrojf.dll.
et le dernier en date:
Virus or unwanted program 'BDS/TDSS.JW [backdoor]'
detected in file 'C:\System Volume Information\_restore{8ABB5290-7AF9-4189-B635-9551B6200468}\RP145\A0066972.dll

Merci d'avance pour votre aide
Configuration: Windows XP
Firefox 2.0.0.16

21 réponses

  • 1
  • 2
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt il est costaud celui là

    fais ceci:

    télécharge combofix renommé en killfix (par sUBs) ici :

    http://sd-1.archive-host.com/membres/up/193094576412487685/Killfix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
    1. kazuo95
       
      salut

      merci pour la réponse.
      c'est quoi cette procedure de dingue? :(
      il n'y a pas un autre moyen plus simple de s'en débarasser? c'est hard quand meme avec ce logiciel
      0
    2. angelcrew
       
      Salut
      je n'arrive pas a éxécuter combofix, encore moins a désinstaller complétement les antivirus que j'ai installé (dr web). Peux t-on m'aider. merci
      0
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    non car ton infection est très très chi...
    0
    1. kazuo95
       
      bon et ben c'est parti lol
      a tout a l'heure
      0
  3. kazuo95
     
    Voila

    ComboFix 08-12-20.01 - Jimmy 2008-12-20 19:59:47.1 - NTFSx86
    Microsoft Windows XP Professionnel *.*.****.*.****.*.****.**.****.*** [GMT 1:00]
    Lancé depuis: c:\documents and settings\Jimmy\Bureau\Killfix.exe
    Commutateurs utilisés :: c:\documents and settings\Jimmy\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    * Un nouveau point de restauration a été créé
    .
    [i] ADS - system32: deleted 12 bytes in 1 streams. /i

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Jimmy\Application Data\.#
    c:\windows\system32\i
    c:\windows\system32\TDSSwupe.dat

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_MICR0S0FT_AGENT

    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-20 au 2008-12-20 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-20 16:03 . 2008-12-20 16:03 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2008-12-20 16:03 . 2008-12-20 16:03 <REP> d-------- c:\documents and settings\Jimmy\Application Data\Malwarebytes
    2008-12-20 16:03 . 2008-12-20 16:03 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
    2008-12-20 16:03 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2008-12-20 16:03 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2008-12-16 06:45 . 2008-12-16 06:45 <REP> d-------- c:\documents and settings\Jimmy\Application Data\TransRender
    2008-12-16 06:45 . 2008-12-16 06:45 <REP> d-------- c:\documents and settings\Jimmy\Application Data\Temporary
    2008-12-01 18:13 . 2008-12-01 18:15 <REP> d-------- c:\program files\PDF Blender
    2008-11-25 22:32 . 2008-11-25 22:32 <REP> d-------- c:\program files\STOIK Imaging
    2008-11-25 22:32 . 2008-11-25 22:32 <REP> d-------- c:\program files\Fichiers communs\ST System Shared
    2008-11-25 22:32 . 2008-11-25 22:32 <REP> d-------- c:\documents and settings\Jimmy\Application Data\STOIK
    2008-11-25 22:32 . 2008-11-25 22:32 <REP> d-------- c:\documents and settings\Jimmy\Application Data\InstallShield

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-20 18:56 --------- d-----w c:\program files\Java
    2008-12-20 13:23 --------- d-----w c:\documents and settings\Jimmy\Application Data\uTorrent
    2008-12-20 11:47 --------- d-----w c:\program files\Pvm
    2008-12-19 23:20 --------- d-----w c:\program files\eMule
    2008-12-16 05:32 1,234 ----a-w c:\documents and settings\Jimmy\Application Data\filterclsid.dat
    2008-12-08 14:50 21,753,344 ----a-w c:\windows\Internet Logs\tvDebug.zip
    2008-11-26 22:33 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
    2008-11-25 21:32 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-11-12 00:05 --------- d-----w c:\documents and settings\Jimmy\Application Data\ConvertTemp
    2008-11-08 12:35 --------- d-----w c:\program files\Fichiers communs\SWF Studio
    2008-07-02 19:40 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll
    2008-07-02 19:40 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
    2008-07-02 19:40 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll
    2008-07-02 19:40 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
    2008-07-02 19:40 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
    2007-10-29 22:55 56 --sh--r c:\windows\system32\BC302C7CE3.sys
    2007-10-29 22:55 3,350 --sha-w c:\windows\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-11-21 171448]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ehTray"="c:\windows\ehome\ehtray.exe" [2003-11-12 48128]
    "ATIPTA"="c:\ati technologies\ATI Control Panel\atiptaxx.exe" [2003-10-28 335872]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
    "!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
    "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-10-19 286720]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-11-02 267048]
    "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
    "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2003-08-08 13312]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.ac3filter"= ac3filter.acm
    "VIDC.FFDS"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
    "vidc.VP31"= vp31vfw.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "h"= h:Micrcsoft Windows Updeta

    R0 avgntmgr;avgntmgr;c:\windows\System32\DRIVERS\avgntmgr.sys [2007-11-25 22336]
    R1 avgntdd;avgntdd;c:\windows\System32\DRIVERS\avgntdd.sys [2007-11-25 45376]
    R1 nltdi;nltdi;\??\c:\windows\System32\drivers\nltdi.sys [2007-04-23 82200]
    R2 CX88XBAR;Conexant 2388x Crossbar;c:\windows\System32\drivers\CX88XBAR.sys [2007-10-28 6528]
    S3 CV2K1;CommView Network Monitor;c:\windows\System32\DRIVERS\cv2k1.sys []
    S3 s716bus;Sony Ericsson Device 716 driver (WDM);c:\windows\System32\DRIVERS\s716bus.sys [2008-09-10 83208]
    S3 s716mdfl;Sony Ericsson Device 716 USB WMC Modem Filter;c:\windows\System32\DRIVERS\s716mdfl.sys [2008-09-10 15112]
    S3 s716mdm;Sony Ericsson Device 716 USB WMC Modem Driver;c:\windows\System32\DRIVERS\s716mdm.sys [2008-09-10 108552]
    S3 s716mgmt;Sony Ericsson Device 716 USB WMC Device Management Drivers (WDM);c:\windows\System32\DRIVERS\s716mgmt.sys [2008-09-10 100360]
    S3 s716nd5;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (NDIS);c:\windows\System32\DRIVERS\s716nd5.sys [2008-09-10 23176]
    S3 s716obex;Sony Ericsson Device 716 USB WMC OBEX Interface;c:\windows\System32\DRIVERS\s716obex.sys [2008-09-10 98568]
    S3 s716unic;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (WDM);c:\windows\System32\DRIVERS\s716unic.sys [2008-09-10 98952]

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
    rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
    .
    Contenu du dossier 'Tâches planifiées'

    2008-12-15 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]

    2007-10-29 c:\windows\Tasks\Rappel d'enregistrement 1.job
    - c:\windows\System32\OOBE\oobebaln.exe [2003-08-08 13:00]

    2007-11-04 c:\windows\Tasks\Rappel d'enregistrement 2.job
    - c:\windows\System32\OOBE\oobebaln.exe [2003-08-08 13:00]

    2007-11-11 c:\windows\Tasks\Rappel d'enregistrement 3.job
    - c:\windows\System32\OOBE\oobebaln.exe [2003-08-08 13:00]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-Micrcsoft Windows Updeta - nhvjex.exe
    HKLM-Run-EPSON Stylus CX6600 Series - c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
    HKLM-Run-Micrcsoft Windows Updeta - nhvjex.exe
    HKLM-RunServices-Micrcsoft Windows Updeta - nhvjex.exe
    HKU-Default-Run-Micrcsoft Windows Updeta - nhvjex.exe

    .
    ------- Examen supplémentaire -------
    .
    uSearch Page = hxxp://www.google.com
    uSearch Bar = hxxp://www.google.com/ie
    mDefault_Search_URL = hxxp://www.google.com/ie
    uInternet Connection Wizard,ShellNext = iexplore
    uSearchAssistant = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    mSearchAssistant = hxxp://www.google.com/ie
    TCP: {1980DD31-A21E-4238-9EE7-50778F652772} = 208.67.222.222,208.67.220.220
    FF - ProfilePath - c:\documents and settings\Jimmy\Application Data\Mozilla\Firefox\Profiles\load1wro.default\
    FF - prefs.js: browser.startup.homepage - hxxp://yahoo.fr/
    FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
    FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-20 20:05:54
    Windows 5.1.2600 Service Pack 1 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(664)
    c:\windows\System32\ODBC32.dll

    - - - - - - - > 'lsass.exe'(720)
    c:\windows\System32\dssenh.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\ZoneLabs\vsmon.exe
    c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
    c:\program files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    c:\windows\eHome\ehSched.exe
    c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    c:\windows\eHome\ehrec.exe
    c:\program files\NetLimiter 2 Pro\nlsvc.exe
    c:\windows\system32\wdfmgr.exe
    c:\program files\NetLimiter 2 Pro\NLClient.exe
    c:\windows\eHome\ehmsas.exe
    c:\program files\iPod\bin\iPodService.exe
    .
    **************************************************************************
    .
    Heure de fin: 2008-12-20 20:09:45 - La machine a redémarré
    ComboFix-quarantined-files.txt 2008-12-20 19:09:42

    Avant-CF: 48 293 183 488 octets libres
    Après-CF: 49,172,738,048 octets libres

    166 --- E O F --- 2007-10-29 10:39:18

    Cela a-t-il fonctionné?
    Comment j'ai chopé cette s*loperie? je suis sous Antivir, ZoneAlarm et AVG Anti-Spyware au niveau protection
    0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

    _____________

    puis colle un rapport avec antivir que tu as
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kazuo95
     
    Rapport SDFix

    [b]SDFix: Version 1.240 [/b]
    Run by Jimmy on 20/12/2008 at 21:23

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    [b]Checking Services [/b]:

    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    No Trojan Files Found

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-20 21:34:57
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "h"="h:*:Enabled:Micrcsoft Windows Updeta"

    [b]Remaining Files [/b]:

    [b]Files with Hidden Attributes [/b]:

    Sun 28 Oct 2007 191 A.SHR --- "C:\BOOT.BAK"
    Mon 29 Oct 2007 56 ..SHR --- "C:\WINDOWS\system32\BC302C7CE3.sys"
    Mon 29 Oct 2007 3,350 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
    Fri 18 Jan 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Mon 13 Jun 2005 39,424 A..H. --- "C:\Documents and Settings\Jimmy\Mes documents\Textes\~WRL1934.tmp"

    [b]Finished![/b]

    Rapport Antivir (qui n'a rien trouvé):

    Avira AntiVir Personal
    Report file date: samedi 20 décembre 2008 21:56

    Scanning for 1106377 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: **********-*****-****
    Platform: Windows XP
    Windows version: (Service Pack 1) [5.1.2600]
    Boot mode: Normally booted
    Username: SYSTEM
    Computer name: SN************

    Version information:
    BUILD.DAT : 8.2.0.337 16934 Bytes 18/11/2008 13:05:00
    AVSCAN.EXE : 8.1.4.10 315649 Bytes 25/11/2008 18:58:15
    AVSCAN.DLL : 8.1.4.0 40705 Bytes 18/07/2008 18:56:26
    LUKE.DLL : 8.1.4.5 164097 Bytes 18/07/2008 18:56:27
    LUKERES.DLL : 8.1.4.0 12033 Bytes 18/07/2008 18:56:27
    ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 19:04:11
    ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07/12/2008 18:57:56
    ANTIVIR2.VDF : 7.1.0.250 342528 Bytes 18/12/2008 18:58:09
    ANTIVIR3.VDF : 7.1.1.14 95232 Bytes 19/12/2008 18:58:05
    Engineversion : 8.2.0.45
    AEVDF.DLL : 8.1.0.6 102772 Bytes 15/10/2008 18:58:45
    AESCRIPT.DLL : 8.1.1.19 336252 Bytes 11/12/2008 18:58:12
    AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 18:59:22
    AERDL.DLL : 8.1.1.3 438645 Bytes 07/11/2008 18:59:21
    AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 18:56:42
    AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11/12/2008 18:58:10
    AEHEUR.DLL : 8.1.0.75 1524087 Bytes 11/12/2008 18:58:08
    AEHELP.DLL : 8.1.2.0 119159 Bytes 18/11/2008 18:58:05
    AEGEN.DLL : 8.1.1.8 323956 Bytes 11/12/2008 18:58:02
    AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 18:58:37
    AECORE.DLL : 8.1.5.2 172405 Bytes 28/11/2008 18:57:52
    AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 18:58:34
    AVWINLL.DLL : 1.0.0.12 15105 Bytes 18/07/2008 18:56:26
    AVPREF.DLL : 8.0.2.0 38657 Bytes 18/07/2008 18:56:26
    AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 18:52:18
    AVREG.DLL : 8.0.0.1 33537 Bytes 18/07/2008 18:56:26
    AVARKT.DLL : 1.0.0.23 307457 Bytes 16/04/2008 18:45:57
    AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18/07/2008 18:56:26
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 16/04/2008 18:45:57
    SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18/07/2008 18:56:27
    NETNT.DLL : 8.0.0.1 7937 Bytes 16/04/2008 18:45:57
    RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18/07/2008 18:56:24
    RCTEXT.DLL : 8.0.52.0 86273 Bytes 18/07/2008 18:56:24

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: on
    Scan boot sector.................: on
    Boot sectors.....................: C:,
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: All files
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: samedi 20 décembre 2008 21:56

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
    Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
    Scan process 'iPodService.exe' - '1' Module(s) have been scanned
    Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
    Scan process 'zlclient.exe' - '0' Module(s) have been scanned
    Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
    Scan process 'avgnt.exe' - '1' Module(s) have been scanned
    Scan process 'avgas.exe' - '1' Module(s) have been scanned
    Scan process 'Reader_SL.exe' - '1' Module(s) have been scanned
    Scan process 'UnlockerAssistant.exe' - '1' Module(s) have been scanned
    Scan process 'jusched.exe' - '1' Module(s) have been scanned
    Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned
    Scan process 'ehmsas.exe' - '1' Module(s) have been scanned
    Scan process 'ehtray.exe' - '1' Module(s) have been scanned
    Scan process 'NLClient.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'nlsvc.exe' - '1' Module(s) have been scanned
    Scan process 'mdm.exe' - '1' Module(s) have been scanned
    Scan process 'ehSched.exe' - '1' Module(s) have been scanned
    Scan process 'guard.exe' - '1' Module(s) have been scanned
    Scan process 'sched.exe' - '1' Module(s) have been scanned
    Scan process 'alg.exe' - '1' Module(s) have been scanned
    Scan process 'avguard.exe' - '1' Module(s) have been scanned
    Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
    Scan process 'vsmon.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    36 processes with 36 modules were scanned

    Starting master boot sector scan:
    Master boot sector HD0
    [INFO] No virus was found!
    Master boot sector HD1
    [INFO] No virus was found!
    [WARNING] System error [21]: Le périphérique n'est pas prêt.
    Master boot sector HD2
    [INFO] No virus was found!
    [WARNING] System error [21]: Le périphérique n'est pas prêt.

    Start scanning boot sectors:
    Boot sector 'C:\'
    [INFO] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '50' files ).

    Starting the file scan:

    Begin scan in 'C:\' <HDD>
    C:\hiberfil.sys
    [WARNING] The file could not be opened!
    C:\pagefile.sys
    [WARNING] The file could not be opened!

    End of the scan: samedi 20 décembre 2008 22:42
    Used time: 45:56 Minute(s)

    The scan has been done completely.

    6841 Scanning directories
    249609 Files were scanned
    0 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    0 files were moved to quarantine
    0 files were renamed
    2 Files cannot be scanned
    249607 Files not concerned
    7270 Archives were scanned
    4 Warnings
    0 Notes
    0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok parfait

    pour virer ce qui a été utilisé:

    Télécharge ToolsCleaner sur ton bureau.
    --> http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
    # Clique sur Recherche et laisse le scan agir ...
    # Clique sur Suppression pour finaliser.
    # Tu peux, si tu le souhaites, te servir des Options facultatives.
    # Clique sur Quitter pour obtenir le rapport.
    # Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    puis pour virer les virus de ta restauration:

    désactive ta restauration puis redémarre ton ordi puis réactive la pour virer les infections qui seraient dedans
    https://www.informatruc.com
    0
  8. kazuo95
     
    [ Rapport ToolsCleaner version 2.2.8 (par A.Rothstein & dj QUIOU) ]

    -->- Recherche:

    C:\Combofix.txt: trouvé !
    C:\SDFIX: trouvé !
    C:\Qoobox: trouvé !
    C:\Documents and Settings\Jimmy\Bureau\SdFix.exe: trouvé !
    C:\Documents and Settings\Jimmy\Bureau\SDFIX: trouvé !
    C:\Documents and Settings\Jimmy\Bureau\SDFix\SDFIX: trouvé !
    C:\Documents and Settings\Jimmy\Mes documents\Logiciels\vundoFix.exe: trouvé !
    C:\RECYCLER\S-1-5-21-4124804132-1833156334-3677282102-1004\Dc1\SDFIX: trouvé !
    C:\WINDOWS\NIRCMD.exe: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\Documents and Settings\Jimmy\Bureau\SdFix.exe: supprimé !
    C:\Documents and Settings\Jimmy\Mes documents\Logiciels\vundoFix.exe: supprimé !
    C:\Combofix.txt: supprimé !
    C:\WINDOWS\NIRCMD.exe: supprimé !
    C:\SDFIX: supprimé !
    C:\Qoobox: supprimé !
    C:\Documents and Settings\Jimmy\Bureau\SDFIX: supprimé !
    C:\RECYCLER\S-1-5-21-4124804132-1833156334-3677282102-1004\Dc1\SDFIX: supprimé !

    Fichiers temporaires nettoyés !
    Corbeille vidée!

    Je redemarre apres avoir désactivé la Resto.
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    encore des problèmes?

    pour protéger gratos ton ordi

    http://www.commentcamarche.net/telecharger/logiciel 4 securite

    mettre un antivirus

    ANTIVIR ou AVG8 ou (AVAST )
    https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
    -------------
    des anti-espions :
    MalwareByte's Anti-Malware + SPYBOT +/- si tea timer non active de spybot:
    WINDOWS DEFENDER ou SPYWARE TERMINATOR

    +
    SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

    Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
    --------
    un pare feu :
    celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO

    http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall
    https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html
    https://forum.pcastuces.com/sujet.asp?f=25&s=35606
    https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
    https://manuelsdaide.com/contact/
    http://www.open-files.com/forum/index.php?showtopic=29277
    http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

    -----------
    CCLEANER pour effacer les traces de surf
    ---------
    naviguer avec firefox ou safari ou opera et non internet explorer plus touché par les virus
    http://www.mozilla-europe.org/fr/products/firefox/
    0
  10. kazuo95
     
    Salut

    Non pas de backdoor revenu pendant la nuit :)
    Je navigue deja sous FF et j'ai deja zonealarm et Antivir (meilleur antivirus gratuit, avast est toujours a la traine et j'ai eu des problemes avec)

    Je n'ai pas compris ce passage:

    <<des anti-espions :
    MalwareByte's Anti-Malware + SPYBOT +/- si tea timer non active de spybot:
    WINDOWS DEFENDER ou SPYWARE TERMINATOR
    +
    SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

    Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version >>

    Il faut (préférable pour ma sécurité) que j'installe Malwarebyte's ET Spybot?
    Puis installer aussi Win.Def. ou Spy.Term. si Spybot a un "tea timer non activé"? (ça je pige rien ^^)
    Et installer encore en plus Spywareblaster?
    0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui mets

    Il faut (préférable pour ma sécurité) que j'installe Malwarebyte's ET Spybot? et spywareblaster qui ne fais pas de scan mais immunise ton navigateur
    0
  12. kazuo95
     
    Dois-je desinstaller AVG Antispyware (non licencié donc a moitié actif)
    0
  13. kazuo95
     
    Ah et comment faire pour balancer Spywareblaster en barre des taches sans le fermer?
    Car quand je le ferme visiblement ça ferme tout puisqu'il n'apparait pas dans la barre des taches.
    Merci
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    c'est normal il ne fait que immuniser tes navigateur et ne fais pas d'analyse des espione en temps reel et meme tout court!

    mets le a jour tous les mois et immunise et c'est tout!
    0
  15. kazuo95
     
    ah ok merci :)
    et concernant AVG Antispyware je le vire ou pas? (pas de bouclier résident parce que pas payé, d'ailleurs si tu en connais un gratuit ^^)
    0
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    en antiespions gratuits comme indiqués:

    des anti-espions :
    MalwareByte's Anti-Malware + SPYBOT +/- si tea timer non active de spybot:
    WINDOWS DEFENDER ou SPYWARE TERMINATOR

    SPYBOT avec le tea timer ou
    WINDOWS DEFENDER ou SPYWARE TERMINATOR font des analyses en temps réel
    0
  17. kazuo95
     
    merci, pour terminer je te demanderais juste comment on fait pour déterminer si le tea timer (je sais juste que ça fait partie de spybot, je sais pas en quoi il consiste ni comment y acceder par contre) est activé ou non?
    merci
    0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu lances SPYBOT puis tu vas dans MODE puis MODE AVANCE puis OUTILS puis RESIDENT
    0
  19. kazuo95
     
    Ok il est actif :)

    Merci grandement pour toute la solution. J'affiche "résolu".

    @++
    0
  20. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok bonne suite
    0
  21. patates
     
    c'est un coriace mais en réalité relativement facile à éradiquer :
    booter depuis un cd/dvd (pe builder ou ubcd4win)
    ou démonter le disque dur pour l'analyser depuis un autre système
    passer cureit de drweb en particulier sur le dossier lettre_du_disque_à_pb :\WINDOWS\system32\drivers
    en fonction des disques durs installer l'antivirus va trouver des anomalies dans les fichiers pilotes de disque (pciide.sys ou/et atapi.sys)
    désinfecter ces fichiers (ou les remplacer par d'autres sains)
    en profiter pour faire une analyse complète du disque car ce backdoor n'est certainement pas venu tout seul...
    0
  • 1
  • 2