Impossible de supprimer antivirus 2009
Résolu/Fermé
dodoyle01
Messages postés
9
Date d'inscription
vendredi 16 janvier 2009
Statut
Membre
Dernière intervention
21 janvier 2009
-
16 janv. 2009 à 23:53
dodoyle01 Messages postés 9 Date d'inscription vendredi 16 janvier 2009 Statut Membre Dernière intervention 21 janvier 2009 - 21 janv. 2009 à 21:28
dodoyle01 Messages postés 9 Date d'inscription vendredi 16 janvier 2009 Statut Membre Dernière intervention 21 janvier 2009 - 21 janv. 2009 à 21:28
A voir également:
- Impossible de supprimer antivirus 2009
- Supprimer une page word - Guide
- Supprimer compte instagram - Guide
- Impossible de supprimer un fichier - Guide
- Supprimer edge - Guide
- Supprimer bing - Guide
11 réponses
dodoyle01
Messages postés
9
Date d'inscription
vendredi 16 janvier 2009
Statut
Membre
Dernière intervention
21 janvier 2009
17 janv. 2009 à 00:33
17 janv. 2009 à 00:33
J'alliais oublier. Avast est installé mais impossible de le mettre à jour (connexion au serveur impossible). En fait, plus possible d'accéder à aucun site officiel d'antivirus.
Utilisateur anonyme
17 janv. 2009 à 00:50
17 janv. 2009 à 00:50
Salut,
* Fais un clic doit sur ce lien : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
( enregistres la cible sous internet explorer) et renomme le en l'enregistrant en dodoyle.exe
* Double cliques sur l'icone de ton bureau et clique sur install pour
l'extraire dans un dossier dedié
* Une fois l'installation terminéé, redemarre ton pc en mode sans echec :
---> tapotes sur la touche F8 ou F5 de ton clavier jusqu'à l'apparition d'un ecran noir
avec plusieurs options
---> choisis mode sans echec et valides par entrée
* Ouvres le dossier SDFix que tu viens de creer
---> double cliques sur Runthis.bat
* Appuies sur le Y pour lancer le nettoyage
---> laisses le fix travailler
---> si il y a redemarrage, presses la touche F8^ou F5 pour finir
le nettoyage en MSE
* Appuies sur une touche pour obtenir le rapport
--> sauvegardes le et postes son contenu
* Fais un clic doit sur ce lien : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
( enregistres la cible sous internet explorer) et renomme le en l'enregistrant en dodoyle.exe
* Double cliques sur l'icone de ton bureau et clique sur install pour
l'extraire dans un dossier dedié
* Une fois l'installation terminéé, redemarre ton pc en mode sans echec :
---> tapotes sur la touche F8 ou F5 de ton clavier jusqu'à l'apparition d'un ecran noir
avec plusieurs options
---> choisis mode sans echec et valides par entrée
* Ouvres le dossier SDFix que tu viens de creer
---> double cliques sur Runthis.bat
* Appuies sur le Y pour lancer le nettoyage
---> laisses le fix travailler
---> si il y a redemarrage, presses la touche F8^ou F5 pour finir
le nettoyage en MSE
* Appuies sur une touche pour obtenir le rapport
--> sauvegardes le et postes son contenu
dodoyle01
Messages postés
9
Date d'inscription
vendredi 16 janvier 2009
Statut
Membre
Dernière intervention
21 janvier 2009
17 janv. 2009 à 00:56
17 janv. 2009 à 00:56
Merci Feelgood. J'avais essayé d'installer sdfix mais pas pensé à essayer en le renommant. J'essaierai ça lundi car le PC n'est pas à moi et je n'y aurai pas accès avant lundi.
dodoyle01
Messages postés
9
Date d'inscription
vendredi 16 janvier 2009
Statut
Membre
Dernière intervention
21 janvier 2009
17 janv. 2009 à 01:18
17 janv. 2009 à 01:18
Merci aussi kduc. Comme l'a suggéré Feelgood, je réessaierai lundi en renommant le fichier (j'avais déjà essayé mais pas possible d'installer). Je n'aurai pas accès au pc avant lundi.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
^^Marie^^
Messages postés
113929
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 274
17 janv. 2009 à 22:42
17 janv. 2009 à 22:42
Bonsoir
Juste pour confirmer ce que tu signales.
Impossible d'installer un antispyware ou un antivirus. Donc, impossible d'installer malwarebyte antimalware, avg ou ni'importe quel autre programme qui permettrait d'éradiquer antivirus 2009.
Essaies de faire ce qui suit -- stp
Fais un clic droit sur hijackthis, choisis "renommer" marque : PROUT.exe
Puis remet un rapport stp
Pourquoi renommer HT
Parce que qu'il semble que les infections Vundo aient la particularité de se "cacher" à la détection de HJT proprement dite ou à son analyse : la modification du nom de l'exe pallie ce problème...
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
================================================================
Telecharge FindyKill sur ton bureau :
https://www.malekal.com/tutorial-findykill/
--> Lance l installation avec les paramètres par défaut
--> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci FindyKill sur ton bureau
--> Au menu principal,choisi l option 1 (Recherche)
--> Post le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
+++++
Juste pour confirmer ce que tu signales.
Impossible d'installer un antispyware ou un antivirus. Donc, impossible d'installer malwarebyte antimalware, avg ou ni'importe quel autre programme qui permettrait d'éradiquer antivirus 2009.
Essaies de faire ce qui suit -- stp
Fais un clic droit sur hijackthis, choisis "renommer" marque : PROUT.exe
Puis remet un rapport stp
Pourquoi renommer HT
Parce que qu'il semble que les infections Vundo aient la particularité de se "cacher" à la détection de HJT proprement dite ou à son analyse : la modification du nom de l'exe pallie ce problème...
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
================================================================
Telecharge FindyKill sur ton bureau :
https://www.malekal.com/tutorial-findykill/
--> Lance l installation avec les paramètres par défaut
--> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci FindyKill sur ton bureau
--> Au menu principal,choisi l option 1 (Recherche)
--> Post le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
+++++
dodoyle01
Messages postés
9
Date d'inscription
vendredi 16 janvier 2009
Statut
Membre
Dernière intervention
21 janvier 2009
17 janv. 2009 à 23:52
17 janv. 2009 à 23:52
Bonsoir Marie,
J'ai vu hier soir que tu avais aussi un problème pour supprimer antivirus 2009. Est-ce que tu as peu t'en débarrasser ?
J'ai vu hier soir que tu avais aussi un problème pour supprimer antivirus 2009. Est-ce que tu as peu t'en débarrasser ?
kduc
Messages postés
1462
Date d'inscription
lundi 4 août 2008
Statut
Membre
Dernière intervention
1 novembre 2011
133
17 janv. 2009 à 23:55
17 janv. 2009 à 23:55
...
C' est à moi que tu t' adresses ? Tu me pistes ... ??
Si ce message ne m' est pas adressé, supprime-le.
C' est à moi que tu t' adresses ? Tu me pistes ... ??
Si ce message ne m' est pas adressé, supprime-le.
dodoyle01
Messages postés
9
Date d'inscription
vendredi 16 janvier 2009
Statut
Membre
Dernière intervention
21 janvier 2009
17 janv. 2009 à 23:58
17 janv. 2009 à 23:58
Non kduc, je pensais répondre à Marie qui était la dernière avoir posté un message sur le sujet ???. Merci pour ton intervention d'hier.
kduc
Messages postés
1462
Date d'inscription
lundi 4 août 2008
Statut
Membre
Dernière intervention
1 novembre 2011
133
18 janv. 2009 à 00:00
18 janv. 2009 à 00:00
...
Ah oui c' est vrai, j' oubliais ... Marie ... comment pourrais-je l' oublier.
Ah oui c' est vrai, j' oubliais ... Marie ... comment pourrais-je l' oublier.
dodoyle01
Messages postés
9
Date d'inscription
vendredi 16 janvier 2009
Statut
Membre
Dernière intervention
21 janvier 2009
20 janv. 2009 à 22:01
20 janv. 2009 à 22:01
Voilà voilà, je pense que le problème est résolu.
J'ai installé sdfix sur une partition différente, après l'avoir renommé. Ensuite, j'ai redémarré en mode sans échec et j'ai fait tourner sdfix. Le PC a alors pu redémarrer correctement mais il restait une dll impossible à supprimer.
J'ai enfin pu installer MalwareByte AntiMalware. J'ai fait un scan et au redémarrage MBAM a pu supprimer la dll ainsi que deux ou trois autres fichiers. J'ai désinstallé Avast et je l'ai remplacé par Antivir. Nouveau scan, nouvel objet trouvé. J'ai ifait un nouveau scan avec MBAM puis un avac Antivir et il ne trouve plus rien. Visiblement, le problème est résolu.
Merci à tous.
J'ai installé sdfix sur une partition différente, après l'avoir renommé. Ensuite, j'ai redémarré en mode sans échec et j'ai fait tourner sdfix. Le PC a alors pu redémarrer correctement mais il restait une dll impossible à supprimer.
J'ai enfin pu installer MalwareByte AntiMalware. J'ai fait un scan et au redémarrage MBAM a pu supprimer la dll ainsi que deux ou trois autres fichiers. J'ai désinstallé Avast et je l'ai remplacé par Antivir. Nouveau scan, nouvel objet trouvé. J'ai ifait un nouveau scan avec MBAM puis un avac Antivir et il ne trouve plus rien. Visiblement, le problème est résolu.
Merci à tous.
Utilisateur anonyme
20 janv. 2009 à 22:12
20 janv. 2009 à 22:12
Bonsoir,
* Si on pouvait voir les rapports, ce serait pas plus mal, non ?
* Si on pouvait voir les rapports, ce serait pas plus mal, non ?
dodoyle01
Messages postés
9
Date d'inscription
vendredi 16 janvier 2009
Statut
Membre
Dernière intervention
21 janvier 2009
20 janv. 2009 à 22:44
20 janv. 2009 à 22:44
Bonsoir Feelgood,
Ok, je les posterai demain. Encore merci.
A+
Ok, je les posterai demain. Encore merci.
A+
dodoyle01
Messages postés
9
Date d'inscription
vendredi 16 janvier 2009
Statut
Membre
Dernière intervention
21 janvier 2009
>
dodoyle01
Messages postés
9
Date d'inscription
vendredi 16 janvier 2009
Statut
Membre
Dernière intervention
21 janvier 2009
21 janv. 2009 à 21:28
21 janv. 2009 à 21:28
Voici les logs
1) SDFix
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\system32\TDSSarxx.dll - Deleted
C:\WINDOWS\system32\TDSSvoqm.dll - Deleted
C:\WINDOWS\system32\TDSSnvur.dll - Deleted
C:\WINDOWS\system32\TDSSdxcp.dll - Deleted
C:\WINDOWS\system32\TDSSmtpw.dat - Deleted
C:\WINDOWS\system32\TDSSkkao.log - Deleted
Could Not Remove C:\WINDOWS\system32\TDSSoitu.dll
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-20 10:01:34
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...
disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\user2\ntuser.dat, 0
scanning hidden files ...
disk error: C:\WINDOWS\
please note that you need administrator rights to perform deep scan
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[b]Remaining Files [/b]:
C:\WINDOWS\system32\TDSSoitu.dll Found
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
[b]Finished![/b]
2) MBAM
Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1616
Windows 5.1.2600 Service Pack 2
20/01/2009 10:08:59
mbam-log-2009-01-20 (10-08-59).txt
Type de recherche: Examen rapide
Eléments examinés: 73663
Temps écoulé: 2 minute(s), 9 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\TDSSoitu.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSpxwt.sys (Trojan.TDSS) -> Delete on reboot.
J'ai rebooté et refait un scan => n'a plus rien trouvé
3) Antivir
La recherche porte sur 1231463 souches de virus.
Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 09:50:42
ANTIVIR2.VDF : 7.1.1.114 2048 Bytes 14/01/2009 09:50:42
ANTIVIR3.VDF : 7.1.1.143 400384 Bytes 20/01/2009 09:50:43
Version du moteur: 8.2.0.57
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.26 340347 Bytes 20/01/2009 09:50:49
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 20/01/2009 09:50:48
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 20/01/2009 09:50:47
AEHEUR.DLL : 8.1.0.84 1540471 Bytes 20/01/2009 09:50:47
AEHELP.DLL : 8.1.2.0 119159 Bytes 20/01/2009 09:50:45
AEGEN.DLL : 8.1.1.10 323957 Bytes 20/01/2009 09:50:44
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 20/01/2009 09:50:44
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Début de la recherche : mardi 20 janvier 2009 10:51
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WinCinemaMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'beidsystemtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mdm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'beidservicepcsc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'beidservicecrl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'scardsvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'31' processus ont été contrôlés avec '31' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '58' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\' <System>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Documents and Settings\Virginie\Bureau\catchme.zip
[0] Type d'archive: ZIP
--> TDSSoitu.dll
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.JW
--> TDSSarxx.dll
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.adb
--> TDSSvoqm.dll
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.acs
--> TDSSnvur.dll
[RESULTAT] Contient le cheval de Troie TR/TDss.AT.518
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e99fc8.qua' !
Recherche débutant dans 'D:\' <Data>
Fin de la recherche : mardi 20 janvier 2009 11:07
Temps nécessaire: 15:45 Minute(s)
La recherche a été effectuée intégralement
6946 Les répertoires ont été contrôlés
238319 Des fichiers ont été contrôlés
4 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
238313 Fichiers non infectés
7555 Les archives ont été contrôlées
2 Avertissements
1 Consignes
1) SDFix
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\system32\TDSSarxx.dll - Deleted
C:\WINDOWS\system32\TDSSvoqm.dll - Deleted
C:\WINDOWS\system32\TDSSnvur.dll - Deleted
C:\WINDOWS\system32\TDSSdxcp.dll - Deleted
C:\WINDOWS\system32\TDSSmtpw.dat - Deleted
C:\WINDOWS\system32\TDSSkkao.log - Deleted
Could Not Remove C:\WINDOWS\system32\TDSSoitu.dll
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-20 10:01:34
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...
disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\user2\ntuser.dat, 0
scanning hidden files ...
disk error: C:\WINDOWS\
please note that you need administrator rights to perform deep scan
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[b]Remaining Files [/b]:
C:\WINDOWS\system32\TDSSoitu.dll Found
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
[b]Finished![/b]
2) MBAM
Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1616
Windows 5.1.2600 Service Pack 2
20/01/2009 10:08:59
mbam-log-2009-01-20 (10-08-59).txt
Type de recherche: Examen rapide
Eléments examinés: 73663
Temps écoulé: 2 minute(s), 9 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\TDSSoitu.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSpxwt.sys (Trojan.TDSS) -> Delete on reboot.
J'ai rebooté et refait un scan => n'a plus rien trouvé
3) Antivir
La recherche porte sur 1231463 souches de virus.
Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 09:50:42
ANTIVIR2.VDF : 7.1.1.114 2048 Bytes 14/01/2009 09:50:42
ANTIVIR3.VDF : 7.1.1.143 400384 Bytes 20/01/2009 09:50:43
Version du moteur: 8.2.0.57
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.26 340347 Bytes 20/01/2009 09:50:49
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 20/01/2009 09:50:48
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 20/01/2009 09:50:47
AEHEUR.DLL : 8.1.0.84 1540471 Bytes 20/01/2009 09:50:47
AEHELP.DLL : 8.1.2.0 119159 Bytes 20/01/2009 09:50:45
AEGEN.DLL : 8.1.1.10 323957 Bytes 20/01/2009 09:50:44
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 20/01/2009 09:50:44
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Début de la recherche : mardi 20 janvier 2009 10:51
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WinCinemaMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'beidsystemtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mdm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'beidservicepcsc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'beidservicecrl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'scardsvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'31' processus ont été contrôlés avec '31' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '58' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\' <System>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Documents and Settings\Virginie\Bureau\catchme.zip
[0] Type d'archive: ZIP
--> TDSSoitu.dll
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.JW
--> TDSSarxx.dll
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.adb
--> TDSSvoqm.dll
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.acs
--> TDSSnvur.dll
[RESULTAT] Contient le cheval de Troie TR/TDss.AT.518
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e99fc8.qua' !
Recherche débutant dans 'D:\' <Data>
Fin de la recherche : mardi 20 janvier 2009 11:07
Temps nécessaire: 15:45 Minute(s)
La recherche a été effectuée intégralement
6946 Les répertoires ont été contrôlés
238319 Des fichiers ont été contrôlés
4 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
238313 Fichiers non infectés
7555 Les archives ont été contrôlées
2 Avertissements
1 Consignes