Infection win32.tdss.rtk

Résolu
mireille -  
 Mireille -
Bonjour,

Depuis la semaine dernière je suis infectée sur mon toshiba tecra A10 - sous vista professionel
J,ai pu nettoyer en parti grace a des outils tel malwarebyte, mais je n'arrive pas à me débarasser de win32-tdss.rtk!
spybot me le trouve toujours dans les drivers bien caché idem pour Avg!
Mon navigateur est parfois redirigé et je n'arrive plus a rien graver sur mon graveur..les logiciel ne trouvent ou ne reconnaissent pas le graveur!

Je suis nulle dans ce genre de truc mais je veux essayer si je peux avoir de l'aide de nettoyer au lieu de tout faire reformatter! (c'est mon pc de travail et ce m'apparait galère)
L'ona m'a conseillé de faire un hijackthis et le poster ici!

Merci!
Mireille

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:03:07, on 2009-08-15
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\explorer.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ltmoh\ltmoh.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TrueSuite Access Manager\usbnotify.exe
C:\Program Files\TrueSuite Access Manager\PwdBank.exe
C:\Program Files\TOSHIBA\TPHM\TPCHWMsg.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\McAfee\VirusScan Enterprise\shstat.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Calibrize\CalibrizeResume.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\system32\wuauclt.exe
C:\Users\NICOLE~1\AppData\Local\THINST~1\Cache\Stubs\4D7BDE~1\NMSAccessU.exe
C:\Users\Nicole Lessard\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.shoptoshiba.ca/welcome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=explorer.exe
O1 - Hosts: ::1 localhost
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [cfFncEnabler.exe] cfFncEnabler.exe
O4 - HKLM\..\Run: [ThpSrv] C:\Windows\system32\thpsrv /logon
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe" /start
O4 - HKLM\..\Run: [UsbMonitor] "C:\Program Files\TrueSuite Access Manager\usbnotify.exe"
O4 - HKLM\..\Run: [PwdBank] "C:\Program Files\TrueSuite Access Manager\PwdBank.exe"
O4 - HKLM\..\Run: [TPCHWMsg] %ProgramFiles%\TOSHIBA\TPHM\TPCHWMsg.exe
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TOSDCR] %ProgramFiles%\TOSHIBA\PasswordUtility\TOSDCR.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CGFLoader] C:\Program Files\Calibrize\CalibrizeLoader.exe
O4 - HKCU\..\Run: [CalibrizeResume] C:\Program Files\Calibrize\CalibrizeResume.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\system32\Adobe\Shockwave 11\SwHelper_1150595.exe -Update -1150595 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.5.30729; .NET CLR 3.0.30618)" -"http://pages.videotron.com/biogest/biologietotale/fr_index.html"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Authentec memory manager service (Authentec memory manager) - AuthenTec Inc. - C:\Windows\system32\TAMSvr.exe
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - c:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Update Service (gupdate1c9e60739a5b350) (gupdate1c9e60739a5b350) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SmartFaceVWatchSrv - Toshiba - C:\Program Files\TOSHIBA\SmartFaceV\SmartFaceVWatchSrv.exe
O23 - Service: TOSHIBA HDD Protection (Thpsrv) - TOSHIBA Corporation - C:\Windows\system32\ThpSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA SMART Log Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe

--
End of file - 10655 bytes
Configuration: Windows Vista professionel
Firefox 3.0.13

36 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Désolé c'était pour faire avancer le Smilblick. 


    ok ;))

    mireille :

    /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour mireille, il n'est pas transposable sur un autre ordinateur !

    Toujours avec toutes les protections désactivées, fais ceci :

    • Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt

    CFScript

    • Fais un glisser/déposer de ce fichier CFScript sur le fichier mireille.exe (combofix) comme sur ce lien : comme ceci

    • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    • Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

    ENSUITE

    J'ai un doute aussi sur un fichier, pour s'assurer qi'il soit sain ou non, fais ce qui suit (virus total regroupe une quarantaine d'antivirus)

    • Rends toi sur le site https://www.virustotal.com/gui/
    • Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide :
    c:\windows\system32\208E829D73.sys
    • Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
    • Fais un copier/coller du rapport sur le forum.

    Si tu ne trouves pas le fichier, fais ceci :
    • Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
    • Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
    • Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

    1
  2. Utilisateur anonyme
     
    slt mireille

    N'oublies pas ce que je t'ai demandé sur virustotal !! (la 2eme procedure)

    pour tes 2 fichiers suspects, je voudrais pas te shooter 2 fichiers legitimes comme je voudrais pas te laisser repartir avec 2 fichiers infectieux donc fais ceci stp :

    • Ouvre ce dossier : c:\programdata\is-1URSM
    • A l'intérieur, il y aura deux fichiers (~PRCustomProps#122.dat et ~PRObjects#122.dat) : sélectionne les tous les deux
    • Fais un clic-droit sur ces fichiers --> Envoyer vers --> Dossier Compressé --> Choisis le Bureau comme destination.
    • Un dossier compressé va se créer sur le Bureau, envoie le à l'adresse anthony5151@trashmail.net (c'est une adresse jetable)

    Si tu ne trouves pas les fichiers, fais ceci :
    • Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
    • Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
    • Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
    1
  3. Utilisateur anonyme
     
    bonjour mireille

    /!\ Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur vous l'a recommandé. /!\

    Ce logiciel est très puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :

    Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans la fenêtre qui s'ouvre et valide.

    Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus...
    (qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )

    Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    postes le rapport stp

    (ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)
    0
  4. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    bonjour,

    ▶ Télécharge Random's System Information Tool (RSIT).

    ▶ Un tutoriel est à ta disposition pour l'installer et l'utiliser correctement ici

    ▶ Double clique sur RSIT.exe pour lancer l'outil.

    ▶ Clique sur 'Continue' à l'écran Disclaimer.

    ▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

    ▶ Une fois le scan fini , 2 rapports vont apparaitre. ▶ Héberge le contenu des 2 rapports.

    ( C:\RSIT\log.txt et C:\RSIT\info.txt )

    CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

    Petite chose à faire pour les rapports générés par RSIT avant de continuer

    ▶ Vous devez fusionner les deux rapports.
    ▶ C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt pour ne faire qu'un seul rapport.
    ▶ Ensuite enregistrer le rapport log.txt.

    Ensuite :

    ▶ Rendez-vous à cette adresse d'hébergement gratuit : https://www.cjoint.com/

    ▶ Cliquez sur parcourir, puis sur créer le lien cjoint

    ▶ Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    slt pimprenelle

    dommage 1 minute c'est rien :)

    a+
    0
  7. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    ouais dommage. je te laisse je suivrais quand même.
    0
  8. mireille
     
    bonjour,

    Merci pour votre aide appréciée!
    J'ai retenté tenté la procédure avec Combofix comme demandé en ayant fermé toutes applications, anti-virus et firewall!
    comme cette semaine..ca ne fonctionne pas..
    le panneau de commande se referme automatiquement aussitôt ouvert! Impossible donc de tapper la commande!

    Merci
    J'attends nouvelle directive
    0
  9. Utilisateur anonyme
     
    pimprenelle tu as plusieurs sujets en cours, ocuppe toi de ceux la stp

    mireille essaies la meme procedure depuis ce lien ci dessous, Le rootkit tdss (comme beaucoup de rootkits) a la particularité de bloquer certains fix (outils) et le lien ci dessous est renommé et hebergé , il ne devrait donc pas te poser de problemes ;)

    Télécharge mireillefix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... "et valide.

    Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus...
    (qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )

    Important : Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    postes le rapport stp

    (ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)
    0
    1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
       
      Désolé c'était pour faire avancer le Smilblick.
      0
  10. Utilisateur anonyme
     
    quand tu dis :
    mais je n'arrive pas à me débarasser de win32-tdss.rtk! 


    quel logiciel te dis ca? poste le rapport stp

    ensuite

    fais la procedure post 7 stp
    0
  11. mireille
     
    Pour la question:

    Spybot a été le seul a trouver toutes les infections du rootkit ..sans pouvoir les nettoyer!
    AVG me renvoyait toujours l'avis d'infection par le rootkit..que je supprimais et qui revenait!
    Mac Afee..performance nulle
    A2Square a rien vu!

    Donc procédure refaite avec Combofix renomé!
    Exécuté sans aucun problème!

    C'est un outil fantastique..j'ai l'impression que tout est nettoyé. mais vous saurez certainement mieux que moi si c'est le cas! Voici donc le log combofix:

    http://ww38.toofiles.com/fr/oip/documents/txt/9055_combofix.html
    0
  12. Utilisateur anonyme
     
    c'est bien combo a fait du menage en effet mais il en reste !

    je taffe demain donc je te laisse pour ce soir, je regarde au complet ton rapport et te tiens au courant demain, ne t'inquiete pas je ne t'oublie pas, lol

    bonne soirée / nuit
    0
  13. mireille
     
    Merci beaucoup c'est très apprécié!

    je reviendrai demain ou Lundi et je considère mon pc non encore sécuritaire pour l'instant!

    Bonne nuit ;)
    0
  14. mireille
     
    Salut,

    Je te cites:
    N'oublies pas ce que je t'ai demandé sur virustotal !! (la 2eme procedure)

    Désolée..je ne comprends pas ni ne retrouve une procédure que j'aurais manquée!
    Svp me la redonner!

    Je passe à l'autre directive et je reviens
    Merci!
    0
  15. mireille
     
    Voilà j'ai trouvé le s2 fichiers et fait la procédure!

    J'ai envoyé un dossier compressé sur le bureau et ils sont restés aussi dans le dossier programdata
    0
  16. mireille
     
    Voici le rapport de spybot que je recevais avant que nous débutions les procédures
    au cas ou ce serait ce quej'ai oublié de mettre

    --- Report generated: 2009-08-11 21:41 ---

    Win32.TDSS.rtk: [SBI $79B0E3AB] File (Fichier, nothing done)
    C:\Windows\System32\drivers\SKYNETxpmqqrjx.sys
    Properties.size=0
    Properties.md5=0F6C6EE38847520768D0D306B8597FAC

    Win32.TDSS.rtk: [SBI $49F1C28A] File (Fichier, nothing done)
    C:\Windows\System32\SKYNETiyynmpwn.dll
    Properties.size=0
    Properties.md5=6DD292B69ADEE79F4A90FAED5091B2E7

    Win32.TDSS.rtk: [SBI $49F1C28A] File (Fichier, nothing done)
    C:\Windows\System32\SKYNETpilivesi.dll
    Properties.size=0
    Properties.md5=4CF965D4727F0945BB974C39E859289E

    Win32.TDSS.rtk: [SBI $00122603] File (Fichier, nothing done)
    C:\Windows\temp\SKYNETdkxmkswlny.tmp
    Properties.size=0
    Properties.md5=00E5C3F20ECF222001DC7B9E48233B22

    Win32.TDSS.rtk: [SBI $1A7ABF3C] File (Fichier, nothing done)
    C:\Windows\System32\SKYNETmcbartuh.dat
    Properties.size=0
    Properties.md5=3698C9EBAFB3BB4AA18B5E1D52DD2D00

    Win32.TDSS.rtk: [SBI $1A7ABF3C] File (Fichier, nothing done)
    C:\Windows\System32\SKYNEToewtrgse.dat
    Properties.size=0
    Properties.md5=00E5C3F20ECF222001DC7B9E48233B22

    Adviva: Cookie traceur (Internet Explorer: Nicole Lessard) (Cookie, nothing done)

    MediaPlex: Cookie traceur (Internet Explorer: Nicole Lessard) (Cookie, nothing done)

    MediaPlex: Cookie traceur (Internet Explorer: Nicole Lessard) (Cookie, nothing done)

    Statcounter: Cookie traceur (Firefox: Nicole Lessard (default)) (Cookie, nothing done)

    --- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

    2009-01-26 blindman.exe (1.0.0.8)
    2009-01-26 SDFiles.exe (1.6.1.7)
    2009-01-26 SDMain.exe (1.0.0.6)
    2009-01-26 SDShred.exe (1.0.2.5)
    2009-01-26 SDUpdate.exe (1.6.0.12)
    2009-01-26 SDWinSec.exe (1.0.0.12)
    2009-01-26 SpybotSD.exe (1.6.2.46)
    2009-03-05 TeaTimer.exe (1.6.6.32)
    2009-08-10 unins000.exe (51.49.0.0)
    2009-01-26 Update.exe (1.6.0.7)
    2009-07-28 advcheck.dll (1.6.3.17)
    2007-04-02 aports.dll (2.1.0.0)
    2008-06-14 DelZip179.dll (1.79.11.1)
    2009-01-26 SDHelper.dll (1.6.2.14)
    2008-06-19 sqlite3.dll
    2009-01-26 Tools.dll (2.1.6.10)
    2009-01-16 UninsSrv.dll (1.0.0.0)
    2009-05-19 Includes\Adware.sbi (*)
    2009-07-30 Includes\AdwareC.sbi (*)
    2009-01-22 Includes\Cookies.sbi (*)
    2009-05-19 Includes\Dialer.sbi (*)
    2009-08-04 Includes\DialerC.sbi (*)
    2009-01-22 Includes\HeavyDuty.sbi (*)
    2009-05-26 Includes\Hijackers.sbi (*)
    2009-08-04 Includes\HijackersC.sbi (*)
    2009-06-23 Includes\Keyloggers.sbi (*)
    2009-07-30 Includes\KeyloggersC.sbi (*)
    2004-11-29 Includes\LSP.sbi (*)
    2009-07-14 Includes\Malware.sbi (*)
    2009-08-05 Includes\MalwareC.sbi (*)
    2009-03-25 Includes\PUPS.sbi (*)
    2009-08-04 Includes\PUPSC.sbi (*)
    2009-01-22 Includes\Revision.sbi (*)
    2009-01-13 Includes\Security.sbi (*)
    2009-07-30 Includes\SecurityC.sbi (*)
    2008-06-03 Includes\Spybots.sbi (*)
    2008-06-03 Includes\SpybotsC.sbi (*)
    2009-04-07 Includes\Spyware.sbi (*)
    2009-08-04 Includes\SpywareC.sbi (*)
    2009-06-08 Includes\Tracks.uti
    2009-07-22 Includes\Trojans.sbi (*)
    2009-08-05 Includes\TrojansC.sbi (*)
    2008-03-04 Plugins\Chai.dll
    2008-03-05 Plugins\Fennel.dll
    2008-02-26 Plugins\Mate.dll
    2007-12-24 Plugins\TCPIPAddress.dll
    0
  17. Utilisateur anonyme
     
    bjr mireille

    je parlais de ce qu'il y a marqué en dessous de :ENSUITE ;)
    ici je te redonne :

    J'ai un doute aussi sur un fichier, pour s'assurer qi'il soit sain ou non, fais ce qui suit (virus total regroupe une quarantaine d'antivirus)

    • Rends toi sur le site https://www.virustotal.com/gui/
    • Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide :
    c:\windows\system32\208E829D73.sys
    • Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
    • Fais un copier/coller du rapport sur le forum.

    Si tu ne trouves pas le fichier, fais ceci :
    • Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
    • Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
    • Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
    --
    On réfléchit et on clique : PAS L' INVERSE : sinon direction CCM 
    0
  18. mireille
     
    Bjr Neophyte

    Désolée pour cette directive je n'avais pas ouvert le panneau au bas du message pour voir la totalité!
    Voici le rapport du scan du fichier :

    Fichier 208E829D73.sys reçu le 2009.08.17 16:21:53 (UTC)
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.24 2009.08.17 -
    AhnLab-V3 5.0.0.2 2009.08.17 -
    AntiVir 7.9.1.1 2009.08.17 -
    Antiy-AVL 2.0.3.7 2009.08.17 -
    Authentium 5.1.2.4 2009.08.17 -
    Avast 4.8.1335.0 2009.08.17 -
    AVG 8.5.0.406 2009.08.17 -
    BitDefender 7.2 2009.08.17 -
    CAT-QuickHeal 10.00 2009.08.17 -
    ClamAV 0.94.1 2009.08.17 -
    Comodo 2002 2009.08.17 -
    DrWeb 5.0.0.12182 2009.08.17 -
    eSafe 7.0.17.0 2009.08.17 -
    eTrust-Vet 31.6.6681 2009.08.17 -
    F-Prot 4.4.4.56 2009.08.16 -
    F-Secure 8.0.14470.0 2009.08.17 -
    Fortinet 3.120.0.0 2009.08.17 -
    GData 19 2009.08.17 -
    Ikarus T3.1.1.68.0 2009.08.17 -
    Jiangmin 11.0.800 2009.08.17 -
    K7AntiVirus 7.10.820 2009.08.17 -
    Kaspersky 7.0.0.125 2009.08.17 -
    McAfee 5712 2009.08.17 -
    McAfee+Artemis 5712 2009.08.17 -
    McAfee-GW-Edition 6.8.5 2009.08.17 -
    Microsoft 1.4903 2009.08.17 -
    NOD32 4342 2009.08.17 -
    Norman 6.01.09 2009.08.17 -
    nProtect 2009.1.8.0 2009.08.17 -
    Panda 10.0.0.14 2009.08.16 -
    PCTools 4.4.2.0 2009.08.17 -
    Prevx 3.0 2009.08.17 -
    Rising 21.43.04.00 2009.08.17 -
    Sophos 4.44.0 2009.08.17 -
    Sunbelt 3.2.1858.2 2009.08.16 -
    Symantec 1.4.4.12 2009.08.17 -
    TheHacker 6.3.4.3.383 2009.08.13 -
    TrendMicro 8.950.0.1094 2009.08.17 -
    VBA32 3.12.10.9 2009.08.17 -
    ViRobot 2009.8.17.1887 2009.08.17 -
    VirusBuster 4.6.5.0 2009.08.17 -
    Information additionnelle
    File size: 88 bytes
    MD5...: 87d9ba573279772414c732ff25b877cd
    SHA1..: 0ebb06e6a8264580f597a8ba01d6c1157dc03a9b
    SHA256: c3e8074381c77b6e99059884b76bd84bdb93daba9dee4739b07b451fe895a57e
    ssdeep: 3:hl/hdYfjn:9dc<br>
    PEiD..: -
    TrID..: File type identification<br>MS Flight Simulator Aircraft Performance Info (100.0%)
    PEInfo: -
    PDFiD.: -
    RDS...: NSRL Reference Data Set<br>-

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.24 2009.08.17 -
    AhnLab-V3 5.0.0.2 2009.08.17 -
    AntiVir 7.9.1.1 2009.08.17 -
    Antiy-AVL 2.0.3.7 2009.08.17 -
    Authentium 5.1.2.4 2009.08.17 -
    Avast 4.8.1335.0 2009.08.17 -
    AVG 8.5.0.406 2009.08.17 -
    BitDefender 7.2 2009.08.17 -
    CAT-QuickHeal 10.00 2009.08.17 -
    ClamAV 0.94.1 2009.08.17 -
    Comodo 2002 2009.08.17 -
    DrWeb 5.0.0.12182 2009.08.17 -
    eSafe 7.0.17.0 2009.08.17 -
    eTrust-Vet 31.6.6681 2009.08.17 -
    F-Prot 4.4.4.56 2009.08.16 -
    F-Secure 8.0.14470.0 2009.08.17 -
    Fortinet 3.120.0.0 2009.08.17 -
    GData 19 2009.08.17 -
    Ikarus T3.1.1.68.0 2009.08.17 -
    Jiangmin 11.0.800 2009.08.17 -
    K7AntiVirus 7.10.820 2009.08.17 -
    Kaspersky 7.0.0.125 2009.08.17 -
    McAfee 5712 2009.08.17 -
    McAfee+Artemis 5712 2009.08.17 -
    McAfee-GW-Edition 6.8.5 2009.08.17 -
    Microsoft 1.4903 2009.08.17 -
    NOD32 4342 2009.08.17 -
    Norman 6.01.09 2009.08.17 -
    nProtect 2009.1.8.0 2009.08.17 -
    Panda 10.0.0.14 2009.08.16 -
    PCTools 4.4.2.0 2009.08.17 -
    Prevx 3.0 2009.08.17 -
    Rising 21.43.04.00 2009.08.17 -
    Sophos 4.44.0 2009.08.17 -
    Sunbelt 3.2.1858.2 2009.08.16 -
    Symantec 1.4.4.12 2009.08.17 -
    TheHacker 6.3.4.3.383 2009.08.13 -
    TrendMicro 8.950.0.1094 2009.08.17 -
    VBA32 3.12.10.9 2009.08.17 -
    ViRobot 2009.8.17.1887 2009.08.17 -
    VirusBuster 4.6.5.0 2009.08.17 -

    Information additionnelle
    File size: 88 bytes
    MD5...: 87d9ba573279772414c732ff25b877cd
    SHA1..: 0ebb06e6a8264580f597a8ba01d6c1157dc03a9b
    SHA256: c3e8074381c77b6e99059884b76bd84bdb93daba9dee4739b07b451fe895a57e
    ssdeep: 3:hl/hdYfjn:9dc<br>
    PEiD..: -
    TrID..: File type identification<br>MS Flight Simulator Aircraft Performance Info (100.0%)
    PEInfo: -
    PDFiD.: -
    RDS...: NSRL Reference Data Set<br>-
    0
  • 1
  • 2