Impossible de se connecter au serveur pr MAJ Fermé

Question

Bonjour,

Voilà un bon mois que j'ai un virus, je ne sais toujours pas où je l'ai attrapé, j'ai fait tous les scans possibles imaginables proposés sur ce site (hijack, ad aware, findy kill ...) et ai finalement téléchargé la version d'essai de Kasperspy 2009. 

J'essaie de telecharger les MAJ, mais il me met qu'il n'y a pas de connexion. J'ai le même problème avec spybot. De plus, Kasperspy (tjs la version d'essai) ne veut pas réparer mes erreurs ... 

Quelqu'un sait il m'aider?

loloetseb · Answer

Salut, 

Fais un scan hijack this,

Fais "do a scan and save a log",copies le rapport (ctrl+c) et postes le (ctrl+v) sur cette page 


http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

loloetseb · Answer

1/ Relances hijack this,cliques sur "do a scan only" puis coches les cases ci dessous et cliques sur fix


R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file) 
R3 - URLSearchHook: (no name) - - (no file) 
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file) 
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing) 
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing) 
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file) 
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - 

Postes moi le rapport

Ensuite

2/ Télécharge Lop S&D (de Angeldark et Eric71) sur le Bureau : 

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2 

.Double-cliques sur Lop S&D.exe pour lancer l'installation, 
.Puis double-cliques sur le raccourci Lop S&D présent sur le Bureau. 
.Séléctionnes la langue souhaitée , puis choisis l'Option 1 (Recherche) 
Le scan prend moins d'une minute. 
.A l'issue du scan, le bloc-notes va s'ouvrir avec le résultat de la recherche. 
.Enregistres le rapport LopR.txt sur le Bureau pour le retrouver facilement, sinon il est sauvegardé à la racine de la partition système : C:\LopR.txt 

TUTO: http://bibou0007.com/outils-specifiques-f78/tutorial-lop-sd-t956.htm#11431 

Relances lopS&D et option 2 tu postes le rapport et puis tu passes malwarebytes en mode sans echec et tu posteras le rapport aussi, Merci 

Relance Lop S&D 
· Choisis cette fois ci l'Option 2 ( Suppression ) 
· Ne ferme pas la fenêtre lors de la suppression ! 
· Poste le rapport généré ( C:\lopR.txt ) 

( Si le Bureau ne réapparît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide ) 

3/Ensuite supprimes Kaspersky et installes antivir (le meilleur logiciel gratuit),fais un scan complet et postes le rapport

Desinstaller kaspersky ici

http://kb.kaspersky.fr/article/corporate/3008.html

Installer antivir ici

http://www.commentcamarche.net/telecharger/telecharger 55 antivir

Tutorial antivir ici

http://www.libellules.ch/tuto_antivir.php

4/ Scan complet avec Malwarebytes


Télécharge Malwarebytes’ Anti-Malware 

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

- Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware 
- Enregistres le sur le bureau 
- Double cliques sur le fichier téléchargé pour lancer le processus d’installation 
- Lorsqu’il te le sera demandé, met à jour Malwarebytes anti malware 
- Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes 
- Une fois la mise à jour terminée, ferme Malwarebytes 
- Double-cliques sur l’icône de malwarebytes pour le relancer 
- Dans l’onglet, Recherche, probablement ouvert par défaut, 
- Sélectionne Exécuter un examen complet 
- Clique sur Rechercher 
- Le scan démarre 
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés. 
- Cliques sur Ok pour poursuivre. 
- Si des malwares ont été détectés, cliques sur Afficher les résultats 
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse. 
- Rends toi dans l’onglet rapport/log 
- Tu cliques dessus pour l’afficher une fois affiché 
- Tu cliques sur édition en haut du bloc notes, et puis sur sélectionner tout 
- Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse 
- Tu cliques droit dans le cadre de la réponse et coller 

Si tu as besoin d’aide regarde ce tutorial 

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

cestrare · Answer

Voilà déjà le premier rapport ....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:28:19, on 19/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\NotifyPhoneBook.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hoolight.com/be
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Installer] C:\Documents and Settings\Julien\Bureau\setup_246_3777_.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} - 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://belgacom.extrafilm.be/ImageUploader5.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} - http://static.zangocash.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCD45DA8-EC3B-4827-836D-DEB83E1259B4}: NameServer = 195.238.2.21 195.238.2.22
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - rundll32.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE

loloetseb · Answer

Ok tu peux faire Lop SD

cestrare · Answer

Et voila le deuxième rapport ....


   --------------------\  Lop S&D 4.2.5-0   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP )
   BIOS : Version 07.00T
   USER : Julien ( Administrator )
   BOOT : Normal boot
   Antivirus : Kaspersky Anti-Virus 8.0.0.357 (Not Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:74 Go (Free:29 Go)
   D:\ (CD or DVD)
   E:\ (CD or DVD)
   F:\ (CD or DVD)

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [2] ( 19/02/2009|17:40 )


   \\\\\\\\\\\\\\\ SUPPRESSION

   Supprime! - C:\DOCUME~1\Julien\Cookies\julien@adopt.euroclick[1].txt
   Supprime! - C:\DOCUME~1\Julien\Cookies\julien@partypoker[2].txt
   Supprime! - C:\DOCUME~1\Julien\Cookies\julien@partypoker[3].txt
   Supprime! - C:\WINDOWS\Tasks\B0770CE893948480.job 
   -
   [ Fichier Hosts ] .. Restaure!
 
   \\\\\\\\\\\\\\\ 

 
   --------------------\  Listing des dossiers dans APPLIC~1

   [15/07/2004|22:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
   [26/12/2005|20:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\DVD Shrink
   [19/02/2009|17:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab
   [16/10/2004|06:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Knobfileaceblue
   [29/01/2006|16:15] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kodak
   [08/01/2009|20:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
   [22/08/2007|17:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [19/02/2009|11:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
   [17/02/2004|16:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSN6
   [15/07/2004|21:35] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
   [07/01/2009|00:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Solt Lake Software
   [08/01/2009|10:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
   [09/01/2009|12:21] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
   [06/08/2005|12:22] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
   [06/01/2006|12:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion

   [22/01/2004|19:07] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [30/03/2006|18:00] C:\DOCUME~1\Julien\APPLIC~1\.BitTornado
   [05/02/2008|13:17] C:\DOCUME~1\Julien\APPLIC~1\Adobe
   [20/02/2006|21:14] C:\DOCUME~1\Julien\APPLIC~1\Ahead
   [19/07/2005|11:59] C:\DOCUME~1\Julien\APPLIC~1\ArcSoft
   [14/04/2006|20:57] C:\DOCUME~1\Julien\APPLIC~1\Block Checker
   [22/12/2008|12:09] C:\DOCUME~1\Julien\APPLIC~1\Canon
   [20/11/2008|22:43] C:\DOCUME~1\Julien\APPLIC~1\ChessBase
   [15/07/2004|22:37] C:\DOCUME~1\Julien\APPLIC~1\CyberLink
   [03/11/2008|16:39] C:\DOCUME~1\Julien\APPLIC~1\DivX
   [18/02/2009|14:38] C:\DOCUME~1\Julien\APPLIC~1\dvdcss
   [18/05/2004|15:32] C:\DOCUME~1\Julien\APPLIC~1\Help
   [22/01/2004|19:13] C:\DOCUME~1\Julien\APPLIC~1\Identities
   [14/09/2007|15:25] C:\DOCUME~1\Julien\APPLIC~1\InstallShield Installation Information
   [01/05/2004|10:47] C:\DOCUME~1\Julien\APPLIC~1\InterTrust
   [09/12/2007|17:01] C:\DOCUME~1\Julien\APPLIC~1\KompoZer
   [08/01/2009|20:04] C:\DOCUME~1\Julien\APPLIC~1\Lavasoft
   [09/07/2004|22:38] C:\DOCUME~1\Julien\APPLIC~1\Macromedia
   [15/12/2004|18:54] C:\DOCUME~1\Julien\APPLIC~1\mapieachreal
   [13/12/2008|14:09] C:\DOCUME~1\Julien\APPLIC~1\Microsoft
   [30/01/2006|01:19] C:\DOCUME~1\Julien\APPLIC~1\Mozilla
   [04/10/2004|18:27] C:\DOCUME~1\Julien\APPLIC~1\MSN6
   [05/01/2006|19:57] C:\DOCUME~1\Julien\APPLIC~1\NeroVision
   [01/04/2006|12:04] C:\DOCUME~1\Julien\APPLIC~1\vlc

   [22/08/2007|17:04] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

   [22/01/2004|19:07] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
 
   --------------------\  Tâches planifiées dans C:\WINDOWS	asks

   [19/02/2009 17:12][--ah-----] C:\WINDOWS	asks\SA.DAT
   [28/08/2001 13:00][-r-h-----] C:\WINDOWS	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [01/05/2004|10:47] C:\Program Files\Adobe
   [02/08/2004|12:35] C:\Program Files\ADYSOFT
   [10/02/2006|23:26] C:\Program Files\Ahead
   [07/01/2009|21:29] C:\Program Files\Alwil Software
   [19/07/2005|11:52] C:\Program Files\ArcSoft
   [09/01/2009|00:53] C:\Program Files\a-squared Free
   [30/03/2006|19:45] C:\Program Files\AVSMedia
   [19/07/2005|11:54] C:\Program Files\Canon
   [20/11/2008|22:43] C:\Program Files\ChessBase
   [22/01/2004|19:17] C:\Program Files\C-Media 3D Audio
   [31/08/2004|00:23] C:\Program Files\Common Files
   [22/01/2004|19:04] C:\Program Files\ComPlus Applications
   [02/08/2004|16:44] C:\Program Files\CyberLink
   [21/10/2008|22:41] C:\Program Files\DivX
   [19/02/2009|11:50] C:\Program Files\eMule
   [08/01/2009|22:20] C:\Program Files\Fichiers communs
   [08/01/2009|17:52] C:\Program Files\FindyKill
   [18/02/2005|00:44] C:\Program Files\Foreignword
   [01/05/2004|10:38] C:\Program Files\Gravurom
   [22/01/2004|21:35] C:\Program Files\HighMAT CD Writing Wizard
   [20/01/2006|22:48] C:\Program Files\Ingava.com
   [11/10/2008|15:20] C:\Program Files\InstallShield Installation Information
   [15/02/2007|19:26] C:\Program Files\Internet Explorer
   [23/01/2004|14:52] C:\Program Files\JavaSoft
   [18/02/2009|22:37] C:\Program Files\Kaspersky Lab
   [08/01/2009|20:04] C:\Program Files\Lavasoft
   [13/02/2005|00:15] C:\Program Files\Messenger
   [22/01/2004|19:08] C:\Program Files\microsoft frontpage
   [19/02/2009|11:37] C:\Program Files\Microsoft Office
   [28/11/2005|21:08] C:\Program Files\Microsoft Visual Studio
   [19/02/2009|11:37] C:\Program Files\Microsoft Works
   [28/11/2005|21:07] C:\Program Files\Microsoft.NET
   [08/10/2004|20:52] C:\Program Files\Movie Maker
   [19/02/2009|13:49] C:\Program Files\Mozilla Firefox
   [22/01/2004|19:04] C:\Program Files\MSN Gaming Zone
   [11/03/2007|23:01] C:\Program Files\MSN Messenger
   [19/11/2006|12:44] C:\Program Files\MSXML 4.0
   [29/01/2006|16:04] C:\Program Files\NetMeeting
   [28/11/2005|21:27] C:\Program Files\OfficeUpdate11
   [13/12/2006|23:15] C:\Program Files\Outlook Express
   [12/01/2005|18:33] C:\Program Files\Parsec LAN-Test
   [12/02/2009|23:36] C:\Program Files\RomStation
   [19/07/2005|11:53] C:\Program Files\ScanSoft
   [22/01/2004|19:06] C:\Program Files\Services en ligne
   [08/01/2009|10:30] C:\Program Files\Spybot - Search & Destroy
   [09/01/2009|12:21] C:\Program Files\SpywareBlaster
   [23/10/2004|07:21] C:\Program Files	est
   [08/01/2009|16:38] C:\Program Files\Trend Micro
   [06/01/2009|12:01] C:\Program Files\UltraStar Deluxe
   [01/04/2006|12:02] C:\Program Files\VideoLAN
   [22/01/2004|21:44] C:\Program Files\Windows Journal Viewer
   [10/01/2009|13:51] C:\Program Files\Windows Live Safety Center
   [05/03/2008|18:42] C:\Program Files\Windows Media Connect 2
   [06/03/2008|01:44] C:\Program Files\Windows Media Player
   [13/10/2004|22:22] C:\Program Files\Windows NT
   [02/08/2006|00:33] C:\Program Files\WinRAR
   [22/01/2004|19:08] C:\Program Files\xerox

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [01/05/2004|10:47] C:\Program Files\Fichiers communs\Adobe
   [01/05/2004|10:25] C:\Program Files\Fichiers communs\Ahead
   [30/03/2006|19:45] C:\Program Files\Fichiers communs\AVSMedia
   [21/10/2004|21:25] C:\Program Files\Fichiers communs\Designer
   [20/03/2004|17:03] C:\Program Files\Fichiers communs\InstallShield
   [19/02/2009|12:21] C:\Program Files\Fichiers communs\Microsoft Shared
   [22/01/2004|19:05] C:\Program Files\Fichiers communs\MSSoap
   [22/01/2004|19:00] C:\Program Files\Fichiers communs\ODBC
   [22/01/2004|19:05] C:\Program Files\Fichiers communs\Services
   [22/01/2004|18:59] C:\Program Files\Fichiers communs\SpeechEngines
   [19/02/2009|11:32] C:\Program Files\Fichiers communs\System
   [07/06/2004|18:55] C:\Program Files\Fichiers communs	ncnpntb
   [08/01/2009|20:03] C:\Program Files\Fichiers communs\Wise Installation Wizard

   --------------------\  Process

   ( 33 Processes )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
 
   --------------------\  Recherche d'autres infections

   --------------------\  ROOTKIT !!

   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]



   [F:1606][D:22]-> C:\DOCUME~1\Julien\LOCALS~1\Temp
   [F:282][D:0]-> C:\DOCUME~1\Julien\Cookies
   [F:173][D:5]-> C:\DOCUME~1\Julien\LOCALS~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 19/02/2009|17:38 - Option : [1]
   2 - "C:\Lop SD\LopR_2.txt" - 19/02/2009|17:46 - Option : [2]

   --------------------\  Fin du rapport a 17:46:05

loloetseb · Answer

Tu as un joli rootkit (mechante bebete).On va essayer de l'attrapper avec gmer.Dis moi si des lignes rouges apparaissent


Telecharges gmer 

http://www.gmer.net#files 

tutorial ici 

https://www.malekal.com/supprimer-rootkit-windows/ 


Dezippes gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

Les lignes rouges indiquent la presence d'un rootkit

Ensuite 

sur les lignes rouge: 

Services:cliques droit delete service 
Process:cliques droit kill process 
Adl ,file:cliques droit delete files

loloetseb · Answer

Tu es entrain de faire la procedure?

cestrare · Answer

Arf .. impossible de telecharger gmer ...

loloetseb · Answer

Comme par hasard,il aime pas Gmer le rootkit.Bon passe a la procedure Malwarebytes,il pourra peut etre l'avoir sinon on changera d'armes

Tu peux aussi supprimer Kaspersky et mettre Antivir (coches la case detecter rootkit au demarrage) dans configuration de antivir ,puis eteins l'ordinateur et rallumes le et lances le scan

Fais ces deux procedures

loloetseb · Answer

Bon on va utiliser l'arme lourde,je te donne la procedure

loloetseb · Answer

............
/!\ A l'attention de ceux qui passent sur ce sujet /!\ 
Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur du forum vous l'a recommandé. 


On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... Fais exactement ce qui suit : 

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans dans la fenêtre qui s'ouvre, puis choisis le Bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- 
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! 

Dans ton cas, il s'agit de Kaspersky

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre... 

Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
--------------------------------------------------------------------------------------------------------------------------------- 

Ensuite : 
double-clique sur C-Fix.exe (= combofix.exe ) . 

Appuie sur une touche pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer 

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

cestrare · Answer

... il ne veut pas que je telecharge combofix ...

loloetseb · Answer

Bon essaies de telecharger antivir (le fichier executable),ensuite tu supprimes kaspersky et tu installes antivir,mise a jour puis scan complet

cestrare · Answer

Enfin ... si j'ai reussi par megaupload .... Mais j'ai le meme problème que Malwarebytes ... il ne se lance pas ... :-(

loloetseb · Answer

Renommes Combofix en killrootkit et lances le

cestrare · Answer

J'ai lancé antivir .... Je ferai ce que tu m'as dit avec combofix après ... 

Avec le scan, j'ai déjà supprimé deux fichiers malveillants ... Je ferai ce que tu m'asd dit avec la configuration après ... Merci ...

Je te dis quoi ;-)

loloetseb · Answer

D'accord en fin de scan,tu me postes le rapport antivir.Ensuite tu vas dans configuration et tu coches "detecter rootkit au demarrage"

Ensuite ,tu essaie de lancer combofix.Si ca ne marche pas,tu eteins l'ordinateur et tu le rallumes (antivir devrait detecter le rootkit au demarrage de l'ordinateur).

J'attends des nouvelles

loloetseb · Answer

Toujours dans configuration antivir,tu cliques sur recherche,heuristique,puis degres d'identification elevé.

On va y arriver.

cestrare · Answer

Voila le rapport antivir



Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 19 février 2009  19:59

La recherche porte sur 1256204 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme :      Windows XP
Version de Windows :(Service Pack 2)  [5.1.2600]
Mode Boot :       Démarré normalement
Identifiant :     SYSTEM
Nom de l'ordinateur :JULIEN-FXL6600V

Informations de version :
BUILD.DAT     : 8.2.0.52       16931 Bytes  02/12/2008 14:55:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18/11/2008 08:21:00
AVSCAN.DLL    : 8.1.4.1        49921 Bytes  21/07/2008 13:44:27
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:16
LUKERES.DLL   : 8.1.4.0        13057 Bytes  04/07/2008 07:30:27
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11/02/2009 17:37:48
ANTIVIR2.VDF  : 7.1.2.13        2048 Bytes  11/02/2009 17:37:49
ANTIVIR3.VDF  : 7.1.2.49      218112 Bytes  19/02/2009 17:37:50
Version du moteur: 8.2.0.85  
AEVDF.DLL     : 8.1.1.0       106868 Bytes  19/02/2009 17:37:59
AESCRIPT.DLL  : 8.1.1.47      348539 Bytes  19/02/2009 17:37:58
AESCN.DLL     : 8.1.1.7       127347 Bytes  19/02/2009 17:37:57
AERDL.DLL     : 8.1.1.3       438645 Bytes  04/11/2008 13:58:38
AEPACK.DLL    : 8.1.3.8       397684 Bytes  19/02/2009 17:37:57
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  19/02/2009 17:37:56
AEHEUR.DLL    : 8.1.0.95     1606007 Bytes  19/02/2009 17:37:55
AEHELP.DLL    : 8.1.2.0       119159 Bytes  19/02/2009 17:37:52
AEGEN.DLL     : 8.1.1.19      332148 Bytes  19/02/2009 17:37:51
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14/10/2008 10:05:56
AECORE.DLL    : 8.1.6.6       176501 Bytes  19/02/2009 17:37:50
AEBB.DLL      : 8.1.0.3        53618 Bytes  14/10/2008 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  31/07/2008 12:02:15
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  04/07/2008 07:23:16
RCTEXT.DLL    : 8.0.52.1       86273 Bytes  17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, 
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : jeudi 19 février 2009  19:59

La recherche d'objets cachés commence.
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090219-195946-3C0E9E93\AVSCAN-00000006.dll
    [0] Type d'archive: HIDDEN
    [INFO]      Le fichier n'est pas visible.
    --> FIL\\?\C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090219-195946-3C0E9E93\AVSCAN-00000006.dll
      [RESULTAT]  Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.JW
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090219-195946-3C0E9E93\AVSCAN-00000009.sys
    [0] Type d'archive: HIDDEN
    [INFO]      Le fichier n'est pas visible.
    --> FIL\\?\C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20090219-195946-3C0E9E93\AVSCAN-00000009.sys
      [RESULTAT]  Contient le cheval de Troie TR/Rootkit.Gen
Les instructions de réparation ont été écrites dans le fichier 'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20090219-200339-6DA71336.avp'.
c:\windows\system32	dsscfgb.dll
    [INFO]      Le fichier n'est pas visible.
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
    [REMARQUE]  Fichier supprimé.
c:\windows\system32\drivers	dsspqxt.sys
    [RESULTAT]  
    [REMARQUE]  Fichier supprimé.
c:\windows\system32	dssfpmp.dll
    [INFO]      Le fichier n'est pas visible.
c:\windows\system32	dssliqp.dll
    [INFO]      Le fichier n'est pas visible.
    [RESULTAT]  Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.acs
    [INFO]      Aucune entrée SpecVir trouvée !
c:\windows\system32	dssnrse.dll
    [INFO]      Le fichier n'est pas visible.
    [RESULTAT]  Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.adb
    [INFO]      Aucune entrée SpecVir trouvée !
c:\windows\system32	dssoeqh.dll
    [RESULTAT]  
    [INFO]      Aucune entrée SpecVir trouvée !
c:\windows\system32	dssosvn.dat
    [INFO]      Le fichier n'est pas visible.
c:\windows\system32	dsstkdv.log
    [INFO]      Le fichier n'est pas visible.
c:\documents and settings\julien\local settings	emp	dssb86a.tmp
    [INFO]      Le fichier n'est pas visible (Shell).


Fin de la recherche : jeudi 19 février 2009  20:03
Temps nécessaire: 03:56 Minute(s)

La recherche a été effectuée intégralement

      0 Les répertoires ont été contrôlés
      9 Des fichiers ont été contrôlés
      5 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      2 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de contrôler des fichiers
      4 Fichiers non infectés
      0 Les archives ont été contrôlées
      0 Avertissements
      2 Consignes
  81409 Des objets ont été contrôlés lors du Rootkitscan
     19 Des objets cachés ont été trouvés

loloetseb · Answer

As tu essayé combofix?

loloetseb · Answer

Envoies moi le rapport antivir .Mets tout  en quarantaine

cestrare · Answer

Voilà le rapport combofix .. Pour antivir? Je refais une analyse avec recherche de rootkit au démarrage? Ou alors je fais une analyse normale avec l'identification élevée? ComboFix 08-12-17.01 - Julien 2009-02-19 23:21:38.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.255.92 [GMT 1:00] Lancé depuis: c:\documents and settings\Julien\Bureau\rootkit.exe [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . - Mode FONCTIONNALITES REDUITES - . [i] ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams. [/i] (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\All Users\Application Data\Solt Lake Software c:\windows\IE4 Error Log.txt c:\windows\Readme.txt c:\windows\system32\drivers\TDSSpqxt.sys c:\windows\system32\TDSSoeqh.dll . ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-19 au 2009-02-19 )))))))))))))))))))))))))))))))))))) . 2009-02-19 23:18 . 2009-02-19 23:18 d-------- C:\32788R22FWJFW 2009-02-19 20:15 . 2009-02-19 20:16 d-------- C:\killrootkit 2009-02-19 18:35 . 2009-02-19 18:35 d-------- c:\program files\Avira 2009-02-19 18:35 . 2009-02-19 18:35 d-------- c:\documents and settings\All Users\Application Data\Avira 2009-02-19 17:29 . 2009-02-19 17:46 d-------- C:\Lop SD 2009-02-18 22:37 . 2009-02-18 22:37 d-------- c:\program files\Kaspersky Lab 2009-01-19 15:12 . 2009-02-12 23:36 d-------- c:\program files\RomStation . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-19 10:50 --------- d-----w c:\program files\eMule 2009-02-19 10:37 --------- d-----w c:\program files\Microsoft Works 2009-02-19 10:36 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help 2009-02-18 13:38 --------- d-----w c:\documents and settings\Julien\Application Data\dvdcss 2009-01-10 12:51 --------- d-----w c:\program files\Windows Live Safety Center 2009-01-09 11:21 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP 2009-01-09 11:21 --------- d-----w c:\program files\SpywareBlaster 2009-01-08 23:53 --------- d-----w c:\program files\a-squared Free 2009-01-08 19:05 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft 2009-01-08 19:04 --------- d-----w c:\program files\Lavasoft 2009-01-08 19:04 --------- d-----w c:\documents and settings\Julien\Application Data\Lavasoft 2009-01-08 19:03 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard 2009-01-08 16:52 --------- d-----w c:\program files\FindyKill 2009-01-08 15:38 --------- d-----w c:\program files\Trend Micro 2009-01-08 09:30 --------- d-----w c:\program files\Spybot - Search & Destroy 2009-01-08 09:30 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2009-01-07 20:29 --------- d-----w c:\program files\Alwil Software 2009-01-06 11:01 --------- d-----w c:\program files\UltraStar Deluxe 2008-12-22 11:09 --------- d-----w c:\documents and settings\Julien\Application Data\Canon 2008-10-20 16:41 70,200 -c--a-w c:\documents and settings\Julien\Application Data\GDIPFONTCACHEV1.DAT 2008-03-05 20:31 13,122,160 ----a-w c:\program files\MPSetup.exe 2008-01-05 12:51 429,160 ----a-w c:\program files\emoticones-funfamily.exe 2007-02-14 18:00 482,926 ----a-w c:\program files\PrintKey2000FR.exe 2006-01-30 01:21 5,240,608 ----a-w c:\program files\Firefox Setup 1.5.exe 2006-01-29 18:46 9,192,136 ----a-w c:\program files\INSTALL_MSN_MESSENGER_NT.EXE 2005-11-12 18:02 32 ----a-r c:\documents and settings\All Users\hash.dat 2001-11-23 04:08 712,704 -c--a-w c:\windows\inf\OTHER\AUDIO3D.DLL 2008-12-26 20:38 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll 2008-12-26 20:38 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll 2008-12-26 20:38 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll 2008-12-26 20:39 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll 2008-12-26 20:39 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll 2004-11-23 22:03 56 --sh--r c:\windows\system32\8A30B9F2C9.sys 2005-10-22 15:48 1,001 --sha-w c:\windows\system32\mmf.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208] "msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CloseDNF"="c:\windows\System32\Utility.exe" [2002-06-26 282624] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-10-06 5058560] "InCD"="c:\program files\Ahead\InCD\InCD.exe" [2002-09-12 1101824] "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-11-30 32768] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "nwiz"="nwiz.exe" [2003-10-06 c:\windows\system32\nwiz.exe] "AME_CSA"="amecsa.cpl" [2002-08-10 c:\windows\system32\AmeCSA.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-20 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.VP31"= vp31vfw.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\WINDOWS\system32\rtcshare.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= "c:\Program Files\MSN Messenger\livecall.exe"= R0 BsStor;InCD Storage Helper Driver;c:\windows\system32\DRIVERS\bsstor.sys [2004-05-01 9344] R2 BsUDF;InCD UDF Driver;c:\windows\system32\drivers\BsUDF.sys [2004-05-01 448640] R3 AmeAtmPc;AmeAtmPc;c:\windows\system32\DRIVERS\AmeAtmPc.sys [2004-01-22 110119] R3 AtmElan;Réseau émulant ATM;c:\windows\system32\DRIVERS\atmlane.sys [2001-08-28 55936] S3 AtmLane;Émulation réseau ATM;c:\windows\system32\DRIVERS\atmlane.sys [2001-08-28 55936] . - - - - ORPHELINS SUPPRIMES - - - - HKCU-Run-Installer - c:\documents and settings\Julien\Bureau\setup_246_3777_.exe HKLM-Run-msnappau - c:\program files\MSN Apps\Updater\[u]0[/u]1.02.3000.1001\fr-be\msnappau.exe HKLM-Run-QuickTime Task - c:\program files\QuickTime\qttask.exe HKLM-Run-Cmaudio - cmicnfg.cpl . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.hoolight.com/be uInternet Connection Wizard,ShellNext = iexplore IE: &Google Search - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html IE: Backward &Links - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html IE: Cac&hed Snapshot of Page - c:\program files\Google\GoogleToolbar1.dll/cmcache.html IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Easy-WebPrint Ajouter à la Liste à Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html IE: Si&milar Pages - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\ImageUploader5.ocx O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} hxxp://belgacom.extrafilm.be/ImageUploader5.cab c:\windows\Downloaded Program Files\ImageUploader5.inf FF - ProfilePath - c:\documents and settings\Julien\Application Data\Mozilla\Firefox\Profiles\9c6cqp3n.default\ FF - prefs.js: browser.search.selectedEngine - hoolight FF - prefs.js: browser.startup.homepage - hxxp://www.hoolight.com/be . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-19 23:24:42 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys] "imagepath"="\systemroot\system32\drivers\TDSSpqxt.sys" . ------------------------ Autres processus actifs ------------------------ . c:\program files\Lavasoft\Ad-Aware\aawservice.exe c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\program files\a-squared Free\a2service.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\windows\system32\rundll32.exe c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE c:\windows\system32\nvsvc32.exe c:\windows\system32\ScsiAccess.EXE c:\windows\system32\wdfmgr.exe c:\windows\system32\rundll32.exe c:\windows\system32\rundll32.exe c:\windows\system32\NotifyPhoneBook.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2009-02-19 23:33:45 - La machine a redémarré ComboFix-quarantined-files.txt 2009-02-19 22:33:25 Avant-CF: 32ÿ591ÿ745ÿ024 octets libres AprÞs-CF: 32,956,432,384 octets libres 161

loloetseb · Answer

C'est bon a priori on a fait sauté le rootkit.

Donc en premier refais un scan complet avec malwarebytes et postes le rapport.Les rootkit ont la particularité de camoufller des logiciels malveillants (backdoor,trojans et autres)

loloetseb · Answer

Ensuite,fais un scan complet avec antivir (heuristique elevé et detection rootkit au demarrage) et postes moi le rapport

Ensuite tu refais un Rsit pour controle et tu me postes les rapports(supprimes les anciens rapports avant de lancer le scan)

loloetseb · Answer

Tu n'as pas laissé terminé le scan ( no action taken).T'as plus qu'a relancer le scan (n'arrrettes pas avant la fin).Il y a encore les traces du rootkit,c'est pas terminé.

Lances le scan et laisses le tourner,je vais aller me coucher ,on continue demain.

loloetseb · Answer

Je te remets la procedure malwarebytes,regardes le tutorial afin de bien mettre les objets en quarantaine

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

cestrare · Answer

Voila le rapporty antivir



Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 20 février 2009  01:23

La recherche porte sur 1256204 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme :      Windows XP
Version de Windows :(Service Pack 2)  [5.1.2600]
Mode Boot :       Démarré normalement
Identifiant :     SYSTEM
Nom de l'ordinateur :JULIEN-FXL6600V

Informations de version :
BUILD.DAT     : 8.2.0.52       16931 Bytes  02/12/2008 14:55:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18/11/2008 08:21:00
AVSCAN.DLL    : 8.1.4.1        49921 Bytes  21/07/2008 13:44:27
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:16
LUKERES.DLL   : 8.1.4.0        13057 Bytes  04/07/2008 07:30:27
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11/02/2009 17:37:48
ANTIVIR2.VDF  : 7.1.2.13        2048 Bytes  11/02/2009 17:37:49
ANTIVIR3.VDF  : 7.1.2.49      218112 Bytes  19/02/2009 17:37:50
Version du moteur: 8.2.0.85  
AEVDF.DLL     : 8.1.1.0       106868 Bytes  19/02/2009 17:37:59
AESCRIPT.DLL  : 8.1.1.47      348539 Bytes  19/02/2009 17:37:58
AESCN.DLL     : 8.1.1.7       127347 Bytes  19/02/2009 17:37:57
AERDL.DLL     : 8.1.1.3       438645 Bytes  04/11/2008 13:58:38
AEPACK.DLL    : 8.1.3.8       397684 Bytes  19/02/2009 17:37:57
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  19/02/2009 17:37:56
AEHEUR.DLL    : 8.1.0.95     1606007 Bytes  19/02/2009 17:37:55
AEHELP.DLL    : 8.1.2.0       119159 Bytes  19/02/2009 17:37:52
AEGEN.DLL     : 8.1.1.19      332148 Bytes  19/02/2009 17:37:51
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14/10/2008 10:05:56
AECORE.DLL    : 8.1.6.6       176501 Bytes  19/02/2009 17:37:50
AEBB.DLL      : 8.1.0.3        53618 Bytes  14/10/2008 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  31/07/2008 12:02:15
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  04/07/2008 07:23:16
RCTEXT.DLL    : 8.0.52.1       86273 Bytes  17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, 
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: élevé

Début de la recherche : vendredi 20 février 2009  01:23

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\modules
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\start
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys	ype
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\imagepath
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\group
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\modules
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\start
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys	ype
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\imagepath
    [INFO]      L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\group
    [INFO]      L'entrée d'enregistrement n'est pas visible.
'79768' objets ont été contrôlés, '10' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NotifyPhoneBook.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'InCD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ScsiAccess.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'a2service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'aawservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'33' processus ont été contrôlés avec '33' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '59' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Documents and Settings\Julien\Local Settings\Temporary Internet Files\Content.IE5\W9URO5EV\swflash[1].cab
    [0] Type d'archive: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\System Volume Information\_restore{3D29652F-6EEA-4E73-985A-BB32E2AB8090}\RP798\A0270089.dll
    [RESULTAT]  Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.acs
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49d0007c.qua' !
C:\System Volume Information\_restore{3D29652F-6EEA-4E73-985A-BB32E2AB8090}\RP798\A0270090.dll
    [RESULTAT]  Contient le modèle de détection du programme backdoor (dangereux) BDS/TDSS.adb
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49d0007f.qua' !
C:\WINDOWS\system32\mmf.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !


Fin de la recherche : vendredi 20 février 2009  02:13
Temps nécessaire: 49:36 Minute(s)

La recherche a été effectuée intégralement

   4962 Les répertoires ont été contrôlés
 217813 Des fichiers ont été contrôlés
      2 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      2 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 217809 Fichiers non infectés
   1561 Les archives ont été contrôlées
      3 Avertissements
      2 Consignes
  79768 Des objets ont été contrôlés lors du Rootkitscan
     10 Des objets cachés ont été trouvés

loloetseb · Answer

Relances un scan complet avec Malwarebytes ,mets en quarantaine ce qu'il trouve et postes moi le rapport

loloetseb · Answer

Si tu laisses terminer le scan malwarebytes,il finira d'achever le rootkit (regardes bien la procedure de mise en quarantaine sur le tutorial)

loloetseb · Answer

Non le mode sans echec pour malwarebytes n'est pas conseillé par les developpeur du programme.Par contre termines bien la procedure afin que l'on eradique definitivement le rootkit.

Ensuite,je te donnerais la suite de la procedure.

loloetseb · Answer

1/Quand le scan malwarebytes est terminé,postes moi le rapport.

2/Ensuite supprimes ce que tu as dans la quarantaine de malwarebytes et d'antivir et de tes autres antispywares

3/Supprimes les fichiers temporaires et repares le registre

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 

https://www.commentcamarche.net/telecharger/ 168 ccleaner 

* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre). 
* Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) 

4/Telecharges tool cleaner pour faire un peu le menage dans le logiciel de desinfection

Télécharge ToolsCleaner2 sur ton Bureau. 

http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
Double-clique sur ToolsCleaner2.exe pour le lancer. 
* Clique sur Recherche et laisse le scan agir. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives. 
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 
_________________________________________________ 

5/ Ensuite fais un scan complet (apres mise a jour) avec superantispyware.Postes le rapport

http://www.commentcamarche.net/telecharger/telecharger 34055294 superantispyware

http://www.bibou0007.com/antispywares-f77/tuto-superantispyware-t1122.htm

6/Ensuite controle avec Mks

7/ Fais un scan en ligne avec mks anti trojans ,malwares et vers divers 


http://www.mks.com.pl/skaner/skaner.html 


Utilises ie car tu dois accepter un active x,installe le programme,une fenetre de scan et la mise a jour de la base doit s'effectuer (si elle ne s'effectue pas,cliques sur scan (skanej)sans cocher de case,la mise a jour va s'effectuer). 

Ensuite coches,c et d et lances le scan. 

Si mks te trouve des infections,il te proposera 5 choix (vacciner,renommer,supprimer,déplacer,ignorer).Cliques sur supprimer (skasuj). 

Supprimes tout ce qu'il te trouve

Le site est en polonais.

loloetseb · Answer

Lien ccleaner

http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner

loloetseb · Answer

Je t'ai mis le lien de ccleaner

loloetseb · Answer

Tu en es ou sur la procedure 5,6 et 7

loloetseb · Answer

Supprimes tout ce que tu as en quarantaine et postes moi le rapport superantispyware,tu vas dans preferences ,rapport et log et tu me postes le rapport avec rootkit (classé par date et heure)

Impossible de se connecter au serveur pr MAJ

35 réponses

Discussions similaires

Newsletters