Virus bloquant les programmes antispywares

Résolu
Nobuko Messages postés 37 Date d'inscription   Statut Membre -  
plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

depuis quelques temps, je n'arrive plus à mettre à jour mon logiciel antispyware. Je n'arrive plus non plus à accéder aux sites antispywares et antivirus. De plus, firefox est considérablement ralenti sans raison particulière.
Le défragmenteur de windows est lui aussi bloqué. Seul avira continu de fonctionner normalement et de se mettre à jour, sans toutefois me détecter de virus.

En parcourant les forums, j'ai trouvé des messages faisant état du même problème et un début de solution.
J'ai donc suivi les procédures et passer le logiciel Rooster.
Voici le rapport qui en a résulté :

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) 2500+ )
BIOS : Default System BIOS
USER : Marc ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.15 (Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:140 Go (Free:107 Go)
D:\ (CD or DVD) - UDF - Total:3 Go (Free:0 Go)
E:\ (CD or DVD)
G:\ (Local Disk) - NTFS - Total:465 Go (Free:115 Go)

27/01/2009|21:22

----------------------\\ Search..

----------------------\\ ROOTKIT !!

Rootkit TDSS ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TD SSSERV.SYS]
Rootkit TDSS ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TD SSSERV.SYS]
Rootkit TDSS ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGAC­Y_TDSSSERV.SYS]

----------------------\\ Registry

[HKEY_LOCAL_MACHINE\Software\TDSS]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\tdssdata]

1 - "C:\Rooter$\Rooter_1.txt" - 27/01/2009|21:24

----------------------\\ Scan completed at 21:24
Configuration: Windows XP
Safari 525.27.1

40 réponses

  • 1
  • 2
Résumé de la discussion

Plusieurs dysfonctionnements systèmes évoquent une infection: impossibilité de mettre à jour les logiciels antispyware, accès bloqué à des sites de sécurité, Firefox très ralenti et le défragmenteur Windows bloqué, Avira restant actif mais inconsistant. Le diagnostic montre une infection TDSS, présentée comme un rootkit, avec des traces dans le registre; des procédures guidées et l'outil Rooter ont été appliquées pour nettoyer le système. Après plusieurs échanges, des solutions alternent entre outils de nettoyage et rapports manuels; après Rooter et SmitfraudFix, puis CCleaner, Firefox et Malwarebytes redémarrent normalement et les mises à jour reprennent. Des échanges précisent que TDSS est un rootkit complexe nécessitant des outils spécialisés; des infections récentes ont été détectées puis supprimées par Avira et Malwarebytes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bonjour,

    C'est une infection TDSS, pas un Bagle : Elibagla ne servira à rien.

    Nobuko, je t'envoie un message privé avec une manip' à faire, regarde ton courrier (en haut à droite de la page).

    2
  2. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    re

    poste moi bien les rapports après les scans
    1
  3. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    bonsoir,

    tu as un beau rootkit pas trés sympa

    desactive tes defense antivirus, deconnecte toi d'internet et ferme tout tes programes

    telecharge combofix sur ton bureau http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    lance le ne touche + a rien et poste le rapport à la fin stp

    puis telecharge hijackthis

    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

    choisit do a scan and save the log et poste le rapport
    0
  4. Nobuko Messages postés 37 Date d'inscription   Statut Membre
     
    Merci de votre réponse.

    Je n'arrive ni à télécharger les programmes ni à accéder à leur site.

    Comment je fais ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. loloetseb Messages postés 5684 Statut Membre 174
     
    Excuse plopus,je te laisse faire
    0
  7. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    bonjour,

    as tout hasard tu arrive a faire marcher GMER au poste 3 si oui aide toi du lien du poste 5 pour le faire marcher et supprime toutes les lignes rouges.

    sinon

    * Téléchargez Elibagla (de SATINFO) en bas de cette page :
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    * Cliquez sur le bouton Descargar Elibagla pour télécharger le fichier, placez-le sur votre Bureau.
    * Double-cliquez dessus pour l'ouvrir (Sous Vista, il faut cliquer droit sur Elibagla et choisir Exécuter en tant qu'administrateur).
    * Assurez-vous que dans le menu déroulant Unidad, vous avez bien C: (ou la partition contenant le système d'exploitation).
    * Vérifiez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée.
    * Cliquez sur le bouton Explorar pour lancer l'analyse. A la fin du scan, un rapport est généré, nommé infosat.txt, il est en outre sauvegardé sous la racine : C:\infosat.txt
    0
  8. Nobuko Messages postés 37 Date d'inscription   Statut Membre
     
    Merci de vos réponses et de votre aide à tous.

    J'ai beau essayer, je n'arrive à accéder à aucun des sites. -_-,

    Je vais essayer avec l'aide d'anthony5151.
    0
  9. loloetseb Messages postés 5684 Statut Membre 174
     
    D'accord nobuko,

    T'es entre de bonnes mains avec antony
    0
  10. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    bonsoir a vous

    merci anthony5151, il faudra que tu m'explique... ;)
    0
  11. loloetseb Messages postés 5684 Statut Membre 174
     
    A ma connaissance une infection tdss est un rootkit et pas un bagle
    0
  12. Nobuko Messages postés 37 Date d'inscription   Statut Membre
     
    Avec l'aide d'Anthony, voici le dernier rapport avec Rooter :

    Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Uniprocessor Free : AMD Sempron(tm) 2500+ )
    BIOS : Default System BIOS
    USER : Marc ( Administrator )
    BOOT : Normal boot

    Antivirus : Avira AntiVir PersonalEdition 8.0.1.15 (Not Activated)

    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:140 Go (Free:107 Go)
    D:\ (CD or DVD)
    E:\ (CD or DVD)
    G:\ (Local Disk) - NTFS - Total:465 Go (Free:115 Go)

    28/01/2009|20:46

    ----------------------\\ Search..

    No infections found !

    1 - "C:\Rooter$\Rooter_1.txt" - 27/01/2009|21:24
    2 - "C:\Rooter$\Rooter_2.txt" - 28/01/2009|20:47

    ----------------------\\ Scan completed at 20:47

    Apparement, tout à l'air ok !
    Firefox remarche normalement, Malewaresbytes se met à jour correctement.

    Je te remercie sincèrement de ton aide ! ^^

    0
  13. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    bonsoir,

    poste quand meme un rapport hijackthis pour controle
    0
  14. Nobuko Messages postés 37 Date d'inscription   Statut Membre
     
    Voilà : ^^

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:27:33, on 28/01/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Dell AIO 810\dlcgmon.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Electronic Arts\EADM\Core.exe
    C:\Program Files\DNA\btdna.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.bin
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\dlcgcoms.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Icecast2 Win32\icecastService.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Maxtor\Sync\SyncServices.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Marc\Bureau\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [mxomssmenu] "C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe"
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [dlcgmon.exe] "C:\Program Files\Dell AIO 810\dlcgmon.exe"
    O4 - HKLM\..\Run: [DLCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCGtime.dll,_RunDLLEntry@16
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
    O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
    O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe (file missing)
    O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: dlcg_device - - C:\WINDOWS\system32\dlcgcoms.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Icecast-trunk Streaming Media Server (Icecast-trunk) - Unknown owner - C:\Program Files\Icecast2 Win32\icecastService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Program Files\Maxtor\Sync\SyncServices.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  15. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    re

    tu connais sa C:\Program Files\Icecast2 ?

    puis pour verif

    config antivir comme sa :
    double clic sur le parapluie rouge dans la barre des tache en bas a droite :
    - a l'ecran d'accueil clic sur F8
    - ensuite coche en haut a gauche "expert mode"
    - ensuite selectionne dessous SCANNER
    - ensuite dans le cadre de droite tu coche "tous les fichiers" et " Rech.rootkit au dem. de la recherche" puis met ok

    puis fait un scan et supprime tout ce qu'il trouve et poste le rapport

    puis insatlle malware byte (logiciel a garder) met le a jour :
    http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware

    lance un scan et à la fin clic sur afficher resultat et clic sur suppression et poste le rapport
    0
  16. Nobuko Messages postés 37 Date d'inscription   Statut Membre
     
    Avira m'a supprimé une infection.

    Je l'avais déjà passé auparavant d'ailleurs et il m'avait visiblement repéré le rootkit.

    J'ai aussi déjà passé malewarbytes avant et il m'a aussi supprimé 10 saloperies.

    Par contre, comme il a mit 2h30 pour tout scanner, je le passerai pas ce soir. XD
    0
  17. Nobuko Messages postés 37 Date d'inscription   Statut Membre
     
    Voici le rapport après passage de Malwarebytes.
    Je n'ai passé le log que sur mon DD interne pour le moment. Je posterai le rapport pour le DD externe plus tard.

    Malwarebytes' Anti-Malware 1.33
    Version de la base de données: 1709
    Windows 5.1.2600 Service Pack 2

    30/01/2009 21:00:41
    mbam-log-2009-01-30 (21-00-35).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 130894
    Temps écoulé: 37 minute(s), 24 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\drivers\beep.sys (Trojan.Patched) -> No action taken.
    C:\WINDOWS\system32\dllcache\beep.sys (Trojan.Patched) -> No action taken.
    0
  18. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    re

    as tu supprimé ce qye malwarebyte a trouvé ?

    tu ne m'as pas repondu tu connais sa : C:\Program Files\Icecast2
    si non clic ici https://www.virustotal.com/gui/ puis clic sur parcourir et va chercher ce fichier
    C:\Program Files\Icecast2 Win32\ icecastService.exe et fait le analyser et poste le rapport

    puis double clic sur le parapluie rouge d'antivir et clic sur rapport a gauche et poste moi le dernier scan que tu as fait stp
    0
  19. Nobuko Messages postés 37 Date d'inscription   Statut Membre
     
    Oui, j'ai supprimé les spywares trouvé par malwarebytes.

    Et oui, je connais le truc icecast 2. C'est un serveur pour webradio. ^^
    0
  • 1
  • 2