Cheval de troie TDSSServ.Q

Fermé
nuiopy Messages postés 23 Statut Membre -  
baladur13 Messages postés 50235 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,


Voila mon antivirus norman, a détecter un cheval de troie TDSSServ.Q qui infecte le fichier
C:\windows\explorer.exe


Comment faire Voici log Hijack


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:04:04, on 17/04/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Norman\Npm\Bin\Elogsvc.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Norman\Npm\Bin\Zanda.exe
C:\Program Files\Norman\npm\bin\nvoy.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\IoctlSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Norman\Npm\bin\NJEEVES.EXE
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Norman\Npm\bin\NVCSCHED.EXE
C:\Program Files\Norman\npc\bin\npcsvc32.exe
C:\Program Files\Norman\Nse\bin\NSESVC.EXE
C:\Program Files\Norman\npc\bin\nuaa.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Fujitsu Siemens Computers\Energy Settings\EnergySettings.exe
C:\Program Files\Fujitsu Siemens Computers\Key Configuration Tool\KeyConfigurationTool.exe
C:\Program Files\Norman\Npm\Bin\Zlh.exe
C:\Program Files\CyberLink\Shared Files\brs.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Hercules\WiFi Station\WiFiStation.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Program Files\Norman\Nvc\bin\nvcoas.exe
C:\Program Files\Norman\Nvc\Bin\Nip.exe
C:\Program Files\Norman\Nvc\Bin\cclaw.exe
C:\Windows\system32\conime.exe
C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EnergySettings] C:\Program Files\Fujitsu Siemens Computers\Energy Settings\EnergySettings.exe
O4 - HKLM\..\Run: [FSCRecovery] c:\Program Files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecoveryReminder.exe
O4 - HKLM\..\Run: [KeyConfiguration] C:\Program Files\Fujitsu Siemens Computers\Key Configuration Tool\KeyConfigurationTool.exe /silent
O4 - HKLM\..\Run: [Norman ZANDA] "C:\Program Files\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH
O4 - HKLM\..\Run: [NPCTray] C:\Program Files\Norman\npc\bin\npc_tray.exe /LOAD
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [fsc-reg] C:\fsc-reg\fscreg.exe 20090410
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [fsc-reg] c:\fsc-reg\fscreg.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [fsc-reg] c:\fsc-reg\fscreg.exe (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: WiFi Station.lnk = C:\Program Files\Hercules\WiFi Station\WiFiStation.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\program files\norman\npc\bin\nlf.dll
O10 - Unknown file in Winsock LSP: c:\program files\norman\npc\bin\nlf.dll
O10 - Unknown file in Winsock LSP: c:\program files\norman\npc\bin\nlf.dll
O10 - Unknown file in Winsock LSP: c:\program files\norman\npc\bin\nlf.dll
O10 - Unknown file in Winsock LSP: c:\program files\norman\npc\bin\nlf.dll
O10 - Unknown file in Winsock LSP: c:\program files\norman\npc\bin\nlf.dll
O10 - Unknown file in Winsock LSP: c:\program files\norman\npc\bin\nlf.dll
O10 - Unknown file in Winsock LSP: c:\program files\norman\npc\bin\nlf.dll
O10 - Unknown file in Winsock LSP: c:\program files\norman\npc\bin\nlf.dll
O10 - Unknown file in Winsock LSP: c:\program files\norman\npc\bin\nlf.dll
O10 - Unknown file in Winsock LSP: c:\program files\norman\npc\bin\nlf.dll
O13 - Gopher Prefix:
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Program Files\Norman\Npm\Bin\Elogsvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Norman NJeeves - Norman ASA - C:\Program Files\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Program Files\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Parental Control (NPC) - Norman ASA - C:\Program Files\Norman\npc\bin\npcsvc32.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Program Files\Norman\Nse\bin\NSESVC.EXE
O23 - Service: Norman User Activity Agent (NUAA) - Norman ASA - C:\Program Files\Norman\npc\bin\nuaa.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Program Files\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Program Files\Norman\Npm\bin\NVCSCHED.EXE
O23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\Program Files\Norman\npm\bin\nvoy.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
A voir également:

11 réponses

Réponse 1 / 11
kevin05 Messages postés 3814 Statut Contributeur sécurité 147
 
Salut
gras>/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

____________________________________________________________­_____
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================</gras>

Lors de son exécution,

ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles.
Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows

et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

Sous XP

Sous Vista

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.


[=========> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix A Lire , Impératif !!!!<=========]

Télécharges Combofix :


Et important, enregistre le sous "moi.exe" sur le bureau.

Avant d'utiliser ComboFix :
______________________________________________________________________
? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Une fois fait, sur ton bureau double-clic sur "moi.exe"

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc ni de tout autre periphérique ,et n'ouvre aucun programme.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
1
nuiopy Messages postés 23 Statut Membre
 
Suite à ce log de Hijack,

J'ai passer malwarebytes qui n'as rien trouvé et maintenant combo fix voici le rapport



AV: Norman Security Suite ver. 7.00 *On-access scanning enabled* (Updated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\pthreadGC2.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-18 au 2009-04-18 ))))))))))))))))))))))))))))))))))))
.

2009-04-17 15:02 . 2009-04-17 15:02 -------- d-----w c:\users\Vince\AppData\Roaming\Malwarebytes
2009-04-17 15:02 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-17 15:02 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-17 15:02 . 2009-04-17 15:02 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-17 15:02 . 2009-04-17 15:02 -------- d-----w c:\users\All Users\Malwarebytes
2009-04-17 15:02 . 2009-04-17 15:02 -------- d-----w c:\programdata\Malwarebytes
2009-04-17 00:03 . 2009-04-17 00:03 -------- d-----w c:\program files\Trend Micro
2009-04-16 23:51 . 2009-04-16 23:53 -------- d-----w c:\program files\Spybot - Search & Destroy
2009-04-16 23:51 . 2009-04-16 23:53 -------- d-----w c:\users\All Users\Spybot - Search & Destroy
2009-04-16 23:51 . 2009-04-16 23:53 -------- d-----w c:\programdata\Spybot - Search & Destroy
2009-04-14 22:48 . 2008-12-06 04:42 376832 ----a-w c:\windows\system32\winhttp.dll
2009-04-14 22:48 . 2008-06-06 03:27 38912 ----a-w c:\windows\system32\xolehlp.dll
2009-04-14 22:48 . 2008-06-06 03:27 562176 ----a-w c:\windows\system32\msdtcprx.dll
2009-04-14 21:56 . 2008-05-14 12:48 49448 ----a-w c:\windows\system32\msxmd925.rra
2009-04-14 21:19 . 2008-05-14 12:48 49448 ----a-w c:\windows\system32\msxmc843.rra
2009-04-14 17:43 . 2009-04-14 17:48 -------- d-----w c:\users\Vince\AppData\Roaming\Template
2009-04-14 17:43 . 2009-04-14 17:43 0 ----a-w c:\users\Vince\AppData\Roaming\wklnhst.dat
2009-04-14 16:41 . 2009-04-15 19:59 -------- d-----w c:\users\All Users\HDBR31
2009-04-14 16:41 . 2009-04-15 19:59 -------- d-----w c:\programdata\HDBR31
2009-04-12 20:46 . 2009-04-12 20:47 -------- d-----w C:\temp
2009-04-12 02:09 . 2008-07-27 18:03 96760 ----a-w c:\windows\system32\dfshim.dll
2009-04-12 02:09 . 2008-07-27 18:03 282112 ----a-w c:\windows\system32\mscoree.dll
2009-04-12 02:09 . 2008-07-27 18:03 41984 ----a-w c:\windows\system32\netfxperf.dll
2009-04-12 02:09 . 2008-07-27 18:03 158720 ----a-w c:\windows\system32\mscorier.dll
2009-04-12 02:09 . 2008-07-27 18:03 83968 ----a-w c:\windows\system32\mscories.dll
2009-04-11 22:46 . 2009-04-11 22:46 -------- d-----w c:\users\Public\CyberLink
2009-04-11 22:43 . 2009-04-11 22:43 -------- d-----w c:\users\Vince\AppData\Roaming\CyberLink
2009-04-11 22:04 . 2009-04-11 22:04 -------- d-----w c:\users\Vince\AppData\Local\Ahead
2009-04-11 22:01 . 2009-04-11 22:01 -------- d-----w c:\users\Vince\AppData\Roaming\Nero
2009-04-11 21:51 . 2009-04-11 21:51 -------- d-----w c:\users\Vince\AppData\Roaming\Media Player Classic
2009-04-11 21:46 . 2008-09-16 19:23 168448 ----a-w c:\windows\system32\unrar.dll
2009-04-11 21:46 . 2009-04-11 21:46 -------- d-----w c:\program files\K-Lite Codec Pack
2009-04-10 22:25 . 2009-04-10 22:25 -------- d-----w c:\program files\MSXML 4.0
2009-04-10 18:23 . 2008-10-22 03:57 241152 ----a-w c:\windows\system32\PortableDeviceApi.dll
2009-04-10 18:19 . 2008-06-23 01:59 2868736 ----a-w c:\windows\system32\mf.dll
2009-04-10 18:19 . 2008-06-23 01:59 996352 ----a-w c:\windows\system32\WMNetMgr.dll
2009-04-10 18:19 . 2008-06-23 01:58 94720 ----a-w c:\windows\system32\logagent.exe
2009-04-10 18:19 . 2008-10-21 05:25 1645568 ----a-w c:\windows\system32\connect.dll
2009-04-10 18:19 . 2009-02-09 03:10 2033152 ----a-w c:\windows\system32\win32k.sys
2009-04-10 08:52 . 2009-04-10 08:52 -------- d-----w c:\users\Vince\AppData\Local\Mozilla
2009-04-10 00:04 . 2008-10-22 01:22 2048 ----a-w c:\windows\system32\tzres.dll
2009-04-09 16:12 . 2009-04-09 16:12 70176 ----a-w c:\users\Vince\AppData\Local\GDIPFONTCACHEV1.DAT
2009-04-09 16:03 . 2009-04-09 16:03 -------- d-----w c:\program files\Common Files\Fujitsu Siemens Computers
2009-04-09 16:02 . 2006-10-26 17:56 32592 ----a-w c:\windows\system32\msonpmon.dll
2009-04-09 16:02 . 2009-04-09 16:12 -------- d-----w c:\program files\Microsoft Works
2009-04-09 16:01 . 2009-04-09 16:01 -------- d-----w c:\windows\PCHEALTH
2009-04-09 16:01 . 2009-04-09 16:01 -------- d-----w c:\program files\Microsoft.NET
2009-04-09 16:00 . 2009-04-09 16:02 -------- d-----w c:\users\All Users\Microsoft Help
2009-04-09 16:00 . 2009-04-09 16:02 -------- d-----w c:\programdata\Microsoft Help
2009-04-09 15:59 . 2009-04-09 15:59 -------- d--h--r C:\MSOCache
2009-04-09 15:59 . 2009-01-22 10:41 19512 ----a-w c:\windows\system32\drivers\nvcv32mf.sys
2009-04-09 15:59 . 2008-05-16 08:28 212024 ----a-w c:\windows\system32\nscrnsav.scr
2009-04-09 15:59 . 2009-04-17 15:35 -------- d-----w c:\program files\Norman
2009-04-09 15:58 . 2009-04-09 16:03 -------- d-----r c:\windows\system32\config\systemprofile\Documents
2009-04-09 15:58 . 2009-04-09 15:58 1024 ----a-w C:\.rnd
2009-04-09 15:57 . 2009-04-09 15:57 -------- d-----w c:\program files\Common Files\Nero
2009-04-09 15:57 . 2009-04-09 15:57 -------- d-----w c:\users\All Users\Nero
2009-04-09 15:57 . 2009-04-09 15:57 -------- d-----w c:\programdata\Nero
2009-04-09 15:57 . 2009-04-09 15:57 -------- d-----w c:\program files\Nero
2009-04-09 15:55 . 2008-06-20 10:02 14848 ----a-w c:\windows\system32\Fujitsu-Siemens.scr
2009-04-09 15:55 . 2009-04-09 15:55 -------- d-----w c:\windows\system32\Macromed
2009-04-09 15:55 . 2009-04-09 16:03 -------- d-----w c:\program files\Fujitsu Siemens Computers
2009-04-09 15:54 . 2009-04-09 15:54 -------- d-----w c:\users\All Users\Adobe
2009-04-09 15:54 . 2009-04-09 15:54 -------- d-----w c:\program files\Common Files\Adobe
2009-04-09 15:54 . 2009-04-10 22:25 -------- d-sh--w c:\windows\Installer
2009-04-09 15:48 . 2009-04-09 15:48 -------- d-----r c:\windows\system32\config\systemprofile\Contacts

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-17 15:46 . 2008-04-09 09:32 669328 ----a-w c:\windows\System32\perfh00C.dat
2009-04-17 15:46 . 2008-04-09 09:32 123350 ----a-w c:\windows\System32\perfc00C.dat
2009-04-17 00:44 . 2006-11-02 10:25 86016 ----a-w c:\windows\Inf\infstor.dat
2009-04-17 00:44 . 2006-11-02 10:25 51200 ----a-w c:\windows\Inf\infpub.dat
2009-04-17 00:44 . 2006-11-02 10:25 86016 ----a-w c:\windows\Inf\infstrng.dat
2009-04-15 07:25 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
2009-04-14 22:04 . 2009-04-09 16:12 -------- d-----w c:\programdata\CyberLink
2009-04-14 21:57 . 2009-04-09 16:03 -------- d-----w c:\program files\Common Files\InstallShield
2009-04-14 21:56 . 2009-04-09 16:03 -------- d-----w c:\program files\CyberLink
2009-04-14 21:19 . 2009-04-09 16:03 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-09 22:19 . 2009-04-09 22:19 -------- d-----w c:\users\Vince\AppData\Roaming\InstallShield
2009-04-09 16:12 . 2008-10-08 21:39 -------- d-----w c:\programdata\NVIDIA
2009-04-09 16:12 . 2009-04-09 16:12 -------- d-----w c:\programdata\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
2009-04-09 16:12 . 2009-04-09 16:12 -------- d-----w c:\program files\Activation Assistant for the 2007 Microsoft Office suites
2009-03-17 03:38 . 2009-04-14 22:49 40960 ----a-w c:\windows\AppPatch\apihex86.dll
2009-03-17 03:38 . 2009-04-14 22:49 13824 ----a-w c:\windows\System32\apilogen.dll
2009-03-17 03:38 . 2009-04-14 22:49 24064 ----a-w c:\windows\System32\amxread.dll
2009-03-03 04:46 . 2009-04-14 22:49 3599328 ----a-w c:\windows\System32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-14 22:49 3547632 ----a-w c:\windows\System32\ntoskrnl.exe
2009-03-03 04:40 . 2009-04-14 22:49 827392 ----a-w c:\windows\System32\wininet.dll
2009-03-03 04:39 . 2009-04-14 22:49 183296 ----a-w c:\windows\System32\sdohlp.dll
2009-03-03 04:39 . 2009-04-14 22:49 551424 ----a-w c:\windows\System32\rpcss.dll
2009-03-03 04:39 . 2009-04-14 22:49 26112 ----a-w c:\windows\System32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-14 22:49 78336 ----a-w c:\windows\System32\ieencode.dll
2009-03-03 04:37 . 2009-04-14 22:49 98304 ----a-w c:\windows\System32\iasrecst.dll
2009-03-03 04:37 . 2009-04-14 22:49 54784 ----a-w c:\windows\System32\iasads.dll
2009-03-03 04:37 . 2009-04-14 22:49 44032 ----a-w c:\windows\System32\iasdatastore.dll
2009-03-03 03:04 . 2009-04-14 22:49 666624 ----a-w c:\windows\System32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-14 22:49 17408 ----a-w c:\windows\System32\iashost.exe
2009-03-03 02:28 . 2009-04-14 22:49 26624 ----a-w c:\windows\System32\ieUnatt.exe
2009-02-13 08:49 . 2009-04-14 22:49 72704 ----a-w c:\windows\System32\secur32.dll
2009-02-13 08:49 . 2009-04-14 22:49 1255936 ----a-w c:\windows\System32\lsasrv.dll
2008-01-21 02:43 . 2006-11-02 12:50 174 --sha-w c:\program files\desktop.ini
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"fsc-reg"="c:\fsc-reg\fscreg.exe" [2008-08-01 380688]
"WindowsWelcomeCenter"="oobefldr.dll" - c:\windows\System32\oobefldr.dll [2008-01-21 2153472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-08 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-08 92704]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"EnergySettings"="c:\program files\Fujitsu Siemens Computers\Energy Settings\EnergySettings.exe" [2008-09-19 113664]
"FSCRecovery"="c:\program files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecoveryReminder.exe" [2008-06-18 268096]
"KeyConfiguration"="c:\program files\Fujitsu Siemens Computers\Key Configuration Tool\KeyConfigurationTool.exe" [2008-09-04 413184]
"Norman ZANDA"="c:\program files\Norman\Npm\Bin\ZLH.EXE" [2009-02-11 187504]
"NPCTray"="c:\program files\Norman\npc\bin\npc_tray.exe" [2007-09-17 126008]
"BDRegion"="c:\program files\Cyberlink\Shared Files\brs.exe" [2009-03-18 75048]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2008-07-21 87336]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2008-05-14 62760]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-08-27 6281760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"fsc-reg"="c:\fsc-reg\fscreg.exe" [2008-08-01 380688]

c:\users\Vince\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{DADA4F95-6FDE-4866-BF85-656DB4CCAC28}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{42892455-92D8-4DD3-AA60-2C9C9F429F29}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{D6BD3D39-237D-4544-A40F-D83F9FDBAF29}"= c:\program files\CyberLink\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD

R1 NGS;Norman General Security Driver;c:\program files\norman\ngs\bin\ngs.sys [2009-02-11 22712]
R3 netr73;Hercules Wireless USB Dongle Driver for Vista; [x]
R3 NvcMFlt;NvcMFlt;c:\windows\system32\DRIVERS\nvcv32mf.sys [2009-01-22 19512]
R3 nvcoas;Norman Virus Control on-access component;c:\program files\Norman\Nvc\bin\nvcoas.exe [2009-02-05 195640]
S2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};Power Control [2009/04/14 23:56];c:\program files\CyberLink\PowerDVD\[u]0/u00.fcl [2009-03-18 12:56 87536]
S2 Ndiskio;Ndiskio;c:\program files\Norman\Nse\bin\NDISKIO.SYS [2007-01-02 20448]
S2 NVOY;Norman Resource Provider;c:\program files\Norman\npm\bin\nvoy.exe [2009-01-20 126008]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 netr28u;RT2870 USB Wireless LAN Card Driver for Vista;c:\windows\system32\DRIVERS\netr28u.sys [2008-07-31 641024]
S3 NPC;Norman Parental Control;c:\program files\Norman\npc\bin\npcsvc32.exe [2008-04-17 416880]
S3 nsesvc;Norman Scanner Engine Service;c:\program files\Norman\Nse\bin\NSESVC.EXE [2008-11-27 183352]
S3 NUAA;Norman User Activity Agent;c:\program files\Norman\npc\bin\nuaa.exe [2008-04-30 117816]
S3 NVCScheduler;Norman Virus Control Scheduler;c:\program files\Norman\Npm\bin\NVCSCHED.EXE [2007-09-18 154680]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv
.
Contenu du dossier 'Tâches planifiées'

2009-04-17 c:\windows\Tasks\User_Feed_Synchronization-{EC55BF20-0B32-4C8B-8E0D-E13E40EA44C7}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\program files\Norman\npc\bin\nlf.dll
FF - ProfilePath - c:\users\Vince\AppData\Roaming\Mozilla\Firefox\Profiles\qerw70sm.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.gazzetta.it
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-17 22:37
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-04-17 22:38
ComboFix-quarantined-files.txt 2009-04-17 20:38

Avant-CF: 68.231.004.160 octets libres
Après-CF: 68.087.263.232 octets libres

191 --- E O F --- 2009-04-16 23:17
0
Réponse 2 / 11
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Salut,

--> Désactive l'UAC le temps de la désinfection.

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Clique droit sur ComboFix.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur afin de le lancer.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
0
Réponse 3 / 11
nuiopy Messages postés 23 Statut Membre
 
pourquoi l'enregistrer sous moi.exe
0
Réponse 4 / 11
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Car le rootkit TDSSServ peut empêcher l'exécution de ComboFix si ComboFix n'est pas renommé.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
shadowsafer
 
Greetings,

I have encountered the same virus, however my french skills are unfortunately not so well.

If you have a solution for this virus, could you be so kind to translate this to english?

Kind regards,

Shadowsafer
0
guest123
 
Me too !

But no other Virus / Spyware program found anything !

I´ve no TDSSServ.* on the disk nor in registry or as driver or process...

Even MalwareBytes, SpywareDoctor and HijackThis found nothing.

I have this "problem" since last night --> Like everybody i found by searching with google !

May this be a failure by NORMAN after an automatic update ?? Is this possible ?

Thanks for answers.
0
dgchawaya > guest123
 
Hello, this seems to be a mistake from Norman site, (altough not confirmed) try to run another norman update and it should been fixed. Norman Scan Engine update should be 2009/04/16 23:06. If in case your PC doesnt boot to desktop anymore cause of the file has been put in quarantine, press ctrl+alt+delete, open taskmanger -> click file -> run program -> search for the norman update exe, usually c:\norman\npm\bin\niu.exe or c:\program files\norman\npm\bin\niu.exe.

Incase of a distrubution server, update your server and wait till the clients are updated, usually it takes about 5-10mins. Unless you force it with zanda /test in command browser.

Goodluck

Sincerely,

dgchawaya
0
shadowsafer > dgchawaya
 
Awesome, this was indeed the cause! I don't have any error message popping up anymore now.

I've also wasted an entire morning I was supposed to work on trying to fix this problem that was apperantly not even a problem.

I'm glad it's gone now and in the process I also found another trojan on my system that I didn't know was there.

Thanks for the help. :-D
0
Réponse 6 / 11
nuiopy Messages postés 23 Statut Membre
 
Salut ,

je n'ai plus rien fais depuis hier soir, et ce matin mon ordi me demande de m'identifier pour ouvrir
ma session puis ecran noir???????????????????

J'en ai marre
0
Réponse 7 / 11
dgchawaya
 
Follow the tip i provided at response 7

If your not able to do this, ask a friend who is handy with computers or call your Norman Reseller.
0
Réponse 8 / 11
nuiopy Messages postés 23 Statut Membre
 
i don't speak english but i will try
0
Réponse 9 / 11
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
salut
norman va faire que dalle,il ne verra qu'une partie du rootkit

tu devrais suivre ce que dit destrio et passer combofix
0
Réponse 10 / 11
mzungu27 Messages postés 4 Statut Membre
 
Salut, j'ai eu le même souci. G résolu comme ceci :
Menu démarrer dans "rechercher" tu tapes ton antivirus "NORMAN" et choisis "NORMAN SECURITY SUITE". Ensuite click sur "Protection antivirus et anti-espions" , "Fichiers en quarantaine". Tu as certainement quelque chose... 2, 3 fichiers ? ou + ??? Tu supprimes, tout simplement..
0
Réponse 11 / 11
baladur13 Messages postés 50235 Date d'inscription   Statut Modérateur Dernière intervention   13 753
 
Bonsoir
Doublon
Poursuivre ici
http://www.commentcamarche.net/forum/affich 12040827 help prob virus log hijack
0

Discussions similaires

expressions francaises
bifaka -
lanonyme -

4 réponses
Cheval de troie comment le supprimer?
sonia -
^^Marie^^ -

28 réponses
virus: comment supprimer ccxprocess (virus cheval de troie)
grrlesang -
bazfile -

1 réponse
cheval dans oblivion
sernaldo53 -
sernaldo53 -

12 réponses
comment se debarasser d un cheval de troie
jennyfer1 -
MrMaDGaME -

66 réponses