infection win32.tdss.rtk Résolu

Question

Bonjour,

Depuis la semaine dernière je suis infectée sur mon toshiba tecra A10 - sous vista professionel
J,ai pu nettoyer en parti grace a des outils tel malwarebyte, mais je n'arrive pas à me débarasser de win32-tdss.rtk!
spybot me le trouve toujours dans les drivers bien caché idem pour Avg!
Mon navigateur est parfois redirigé et je n'arrive plus a rien graver sur mon graveur..les logiciel ne trouvent ou ne reconnaissent pas le graveur!

Je suis nulle dans ce genre de truc mais je veux essayer si je peux avoir de l'aide de nettoyer au lieu de tout faire reformatter! (c'est mon pc de travail et ce m'apparait galère)
L'ona m'a conseillé de faire un hijackthis et le poster ici! 

Merci!
Mireille


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:03:07, on 2009-08-15
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\explorer.exe
C:\Windows\system32	askeng.exe
C:\Program Files\ltmoh\ltmoh.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TrueSuite Access Manager\usbnotify.exe
C:\Program Files\TrueSuite Access Manager\PwdBank.exe
C:\Program Files\TOSHIBA\TPHM\TPCHWMsg.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\McAfee\VirusScan Enterprise\shstat.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Calibrize\CalibrizeResume.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\system32\wuauclt.exe
C:\Users\NICOLE~1\AppData\Local\THINST~1\Cache\Stubs\4D7BDE~1\NMSAccessU.exe
C:\Users\Nicole Lessard\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.shoptoshiba.ca/welcome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: Shell=explorer.exe 
O1 - Hosts: ::1 localhost
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [cfFncEnabler.exe] cfFncEnabler.exe
O4 - HKLM\..\Run: [ThpSrv] C:\Windows\system32	hpsrv /logon
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe" /start
O4 - HKLM\..\Run: [UsbMonitor] "C:\Program Files\TrueSuite Access Manager\usbnotify.exe"
O4 - HKLM\..\Run: [PwdBank] "C:\Program Files\TrueSuite Access Manager\PwdBank.exe"
O4 - HKLM\..\Run: [TPCHWMsg] %ProgramFiles%\TOSHIBA\TPHM\TPCHWMsg.exe
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TOSDCR] %ProgramFiles%\TOSHIBA\PasswordUtility\TOSDCR.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CGFLoader] C:\Program Files\Calibrize\CalibrizeLoader.exe
O4 - HKCU\..\Run: [CalibrizeResume] C:\Program Files\Calibrize\CalibrizeResume.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\system32\Adobe\Shockwave 11\SwHelper_1150595.exe -Update -1150595 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.5.30729; .NET CLR 3.0.30618)" -"http://pages.videotron.com/biogest/biologietotale/fr_index.html"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Authentec memory manager service (Authentec memory manager) - AuthenTec Inc. - C:\Windows\system32\TAMSvr.exe
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - c:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Update Service (gupdate1c9e60739a5b350) (gupdate1c9e60739a5b350) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SmartFaceVWatchSrv - Toshiba - C:\Program Files\TOSHIBA\SmartFaceV\SmartFaceVWatchSrv.exe
O23 - Service: TOSHIBA HDD Protection (Thpsrv) - TOSHIBA Corporation - C:\Windows\system32\ThpSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA SMART Log Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe

Utilisateur anonyme · Answer

bonjour mireille

/!\ Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur vous l'a recommandé. /!\ 

Ce logiciel est très puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix  dans la fenêtre qui s'ouvre et valide.

Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus... 
(qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )


Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

postes le rapport stp

(ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)

pimprenelle27 · Answer

bonjour,

&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel est  à ta disposition pour l'installer et l'utiliser correctement ici

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. &#x25B6; Héberge le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller


Petite chose à faire pour les rapports générés par RSIT avant de continuer

&#x25B6; Vous devez fusionner les deux rapports.
&#x25B6; C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt pour ne faire qu'un seul rapport.
&#x25B6; Ensuite enregistrer le rapport log.txt.

 Ensuite : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : https://www.cjoint.com/

&#x25B6; Cliquez sur parcourir,  puis sur créer le lien cjoint

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

Utilisateur anonyme · Answer

slt pimprenelle

dommage 1 minute c'est rien :)

a+

pimprenelle27 · Answer

ouais dommage. je te laisse je suivrais quand même.

mireille · Answer

bonjour,

Merci pour votre aide appréciée!
J'ai retenté tenté la procédure avec Combofix comme demandé en ayant fermé toutes applications, anti-virus et firewall!
comme cette semaine..ca ne fonctionne pas..
le panneau de commande se referme automatiquement aussitôt ouvert!  Impossible donc de tapper la commande!

Merci
J'attends nouvelle directive

pimprenelle27 · Answer

Essayez de faire le RSIT ici : https://forums.commentcamarche.net/forum/affich-13896510-infection-win32-tdss-rtk#2


On y verra plus que dans le hijackthis.

Utilisateur anonyme · Answer

pimprenelle tu as plusieurs sujets en cours, ocuppe toi de ceux la stp 

mireille essaies la meme procedure depuis ce lien ci dessous, Le rootkit tdss (comme beaucoup de rootkits) a la particularité de bloquer certains fix (outils) et le lien ci dessous est renommé et hebergé , il ne devrait donc pas te poser de problemes ;)


Télécharge mireillefix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... "et valide.

Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus...
(qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )


Important : Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

postes le rapport stp

(ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)

mireille · Answer

Bonjour et merci!

J'ai fait la procédure, 2 fois et je n'ai eu qu'un seul rapport log que je vous mets ici!
La procédure s'est bien déroulé mais je ne reçois pas 2 rapports!
Merci

http://ww38.toofiles.com/fr/oip/documents/txt/logno1.html

Utilisateur anonyme · Answer

quand tu dis :
mais je n'arrive pas à me débarasser de win32-tdss.rtk! 

quel logiciel te dis ca? poste le rapport stp 

ensuite 

fais la procedure post 7 stp

mireille · Answer

Pour la question:

Spybot a été le seul a trouver toutes les infections du rootkit ..sans pouvoir les nettoyer!
AVG me renvoyait toujours l'avis d'infection par le rootkit..que je supprimais et qui revenait!
Mac Afee..performance nulle
A2Square a rien vu!

Donc procédure refaite avec Combofix renomé!
Exécuté sans aucun problème!

C'est un outil fantastique..j'ai l'impression que tout est nettoyé. mais vous saurez certainement mieux que moi si c'est le cas!  Voici donc le log combofix:

http://ww38.toofiles.com/fr/oip/documents/txt/9055_combofix.html

Utilisateur anonyme · Answer

c'est bien combo a fait du menage en effet mais il en reste !

je taffe demain donc je te laisse pour ce soir, je regarde au complet ton rapport et te tiens au courant demain, ne t'inquiete pas je ne t'oublie pas, lol 

bonne soirée / nuit

mireille · Answer

Merci beaucoup c'est très apprécié!

je reviendrai demain ou Lundi et je considère mon pc non encore sécuritaire pour l'instant!

Bonne nuit  ;)

Utilisateur anonyme · Answer

Désolé c'était pour faire avancer le Smilblick. 

ok ;))

mireille :

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour mireille, il n'est pas transposable sur un autre ordinateur !


Toujours avec toutes les protections désactivées, fais ceci :

• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt

CFScript


• Fais un glisser/déposer de ce fichier CFScript sur le fichier mireille.exe (combofix) comme sur ce lien : comme ceci

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt 


ENSUITE 

J'ai un doute aussi sur un fichier, pour s'assurer qi'il soit sain ou non, fais ce qui suit (virus total regroupe une quarantaine d'antivirus)

• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : 
c:\windows\system32\208E829D73.sys
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

mireille · Answer

rebonjour,
Merci de continuer à M'aider!

Voilà le log de la procédure bien exécutée:

http://ww38.toofiles.com/fr/oip/documents/txt/combofix2.html

Bonne Soirée ;)

Utilisateur anonyme · Answer

slt mireille

N'oublies pas ce que je t'ai demandé sur virustotal !! (la 2eme procedure)

pour tes 2 fichiers suspects, je voudrais pas te shooter 2 fichiers legitimes comme je voudrais pas te laisser repartir avec 2 fichiers infectieux donc fais ceci stp :

• Ouvre ce dossier : c:\programdata\is-1URSM
• A l'intérieur, il y aura deux fichiers (~PRCustomProps#122.dat et ~PRObjects#122.dat) : sélectionne les tous les deux
• Fais un clic-droit sur ces fichiers --> Envoyer vers --> Dossier Compressé --> Choisis le Bureau comme destination.
• Un dossier compressé va se créer sur le Bureau, envoie le à l'adresse anthony5151@trashmail.net (c'est une adresse jetable)

Si tu ne trouves pas les fichiers, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

mireille · Answer

Salut,

Je te cites:  
N'oublies pas ce que je t'ai demandé sur virustotal !! (la 2eme procedure) 

Désolée..je ne comprends pas ni ne retrouve une procédure que j'aurais manquée!
Svp me la redonner! 

Je passe à l'autre directive et je reviens
Merci!

mireille · Answer

Voilà j'ai trouvé le s2 fichiers et fait la procédure!

J'ai envoyé un dossier compressé sur le bureau et ils sont restés aussi dans le dossier programdata

mireille · Answer

Voici le rapport de spybot que je recevais avant que nous débutions les procédures
au cas ou ce serait ce quej'ai oublié de mettre


--- Report generated: 2009-08-11 21:41 ---

Win32.TDSS.rtk: [SBI $79B0E3AB]  File (Fichier, nothing done)
  C:\Windows\System32\drivers\SKYNETxpmqqrjx.sys
  Properties.size=0
  Properties.md5=0F6C6EE38847520768D0D306B8597FAC

Win32.TDSS.rtk: [SBI $49F1C28A]  File (Fichier, nothing done)
  C:\Windows\System32\SKYNETiyynmpwn.dll
  Properties.size=0
  Properties.md5=6DD292B69ADEE79F4A90FAED5091B2E7

Win32.TDSS.rtk: [SBI $49F1C28A]  File (Fichier, nothing done)
  C:\Windows\System32\SKYNETpilivesi.dll
  Properties.size=0
  Properties.md5=4CF965D4727F0945BB974C39E859289E

Win32.TDSS.rtk: [SBI $00122603]  File (Fichier, nothing done)
  C:\Windows	emp\SKYNETdkxmkswlny.tmp
  Properties.size=0
  Properties.md5=00E5C3F20ECF222001DC7B9E48233B22

Win32.TDSS.rtk: [SBI $1A7ABF3C]  File (Fichier, nothing done)
  C:\Windows\System32\SKYNETmcbartuh.dat
  Properties.size=0
  Properties.md5=3698C9EBAFB3BB4AA18B5E1D52DD2D00

Win32.TDSS.rtk: [SBI $1A7ABF3C]  File (Fichier, nothing done)
  C:\Windows\System32\SKYNEToewtrgse.dat
  Properties.size=0
  Properties.md5=00E5C3F20ECF222001DC7B9E48233B22

Adviva: Cookie traceur (Internet Explorer: Nicole Lessard) (Cookie, nothing done)
  

MediaPlex: Cookie traceur (Internet Explorer: Nicole Lessard) (Cookie, nothing done)
  

MediaPlex: Cookie traceur (Internet Explorer: Nicole Lessard) (Cookie, nothing done)
  

Statcounter: Cookie traceur (Firefox: Nicole Lessard (default)) (Cookie, nothing done)
  


--- Spybot - Search & Destroy version: 1.6.2  (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SDWinSec.exe (1.0.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2009-08-10 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-07-28 advcheck.dll (1.6.3.17)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2009-05-19 Includes\Adware.sbi (*)
2009-07-30 Includes\AdwareC.sbi (*)
2009-01-22 Includes\Cookies.sbi (*)
2009-05-19 Includes\Dialer.sbi (*)
2009-08-04 Includes\DialerC.sbi (*)
2009-01-22 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2009-08-04 Includes\HijackersC.sbi (*)
2009-06-23 Includes\Keyloggers.sbi (*)
2009-07-30 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2009-07-14 Includes\Malware.sbi (*)
2009-08-05 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2009-08-04 Includes\PUPSC.sbi (*)
2009-01-22 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2009-07-30 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2009-04-07 Includes\Spyware.sbi (*)
2009-08-04 Includes\SpywareC.sbi (*)
2009-06-08 Includes\Tracks.uti
2009-07-22 Includes\Trojans.sbi (*)
2009-08-05 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

Utilisateur anonyme · Answer

bjr mireille

je parlais de ce qu'il y a marqué en dessous de :ENSUITE ;)
ici je te redonne :

J'ai un doute aussi sur un fichier, pour s'assurer qi'il soit sain ou non, fais ce qui suit (virus total regroupe une quarantaine d'antivirus) 

• Rends toi sur le site https://www.virustotal.com/gui/ 
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : 
c:\windows\system32\208E829D73.sys 
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse. 
• Fais un copier/coller du rapport sur le forum. 

Si tu ne trouves pas le fichier, fais ceci : 
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage 
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide. 
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites. --
On réfléchit et on clique : PAS L' INVERSE : sinon direction CCM

mireille · Answer

Bjr Neophyte Désolée pour cette directive je n'avais pas ouvert le panneau au bas du message pour voir la totalité! Voici le rapport du scan du fichier : Fichier 208E829D73.sys reçu le 2009.08.17 16:21:53 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.24 2009.08.17 - AhnLab-V3 5.0.0.2 2009.08.17 - AntiVir 7.9.1.1 2009.08.17 - Antiy-AVL 2.0.3.7 2009.08.17 - Authentium 5.1.2.4 2009.08.17 - Avast 4.8.1335.0 2009.08.17 - AVG 8.5.0.406 2009.08.17 - BitDefender 7.2 2009.08.17 - CAT-QuickHeal 10.00 2009.08.17 - ClamAV 0.94.1 2009.08.17 - Comodo 2002 2009.08.17 - DrWeb 5.0.0.12182 2009.08.17 - eSafe 7.0.17.0 2009.08.17 - eTrust-Vet 31.6.6681 2009.08.17 - F-Prot 4.4.4.56 2009.08.16 - F-Secure 8.0.14470.0 2009.08.17 - Fortinet 3.120.0.0 2009.08.17 - GData 19 2009.08.17 - Ikarus T3.1.1.68.0 2009.08.17 - Jiangmin 11.0.800 2009.08.17 - K7AntiVirus 7.10.820 2009.08.17 - Kaspersky 7.0.0.125 2009.08.17 - McAfee 5712 2009.08.17 - McAfee+Artemis 5712 2009.08.17 - McAfee-GW-Edition 6.8.5 2009.08.17 - Microsoft 1.4903 2009.08.17 - NOD32 4342 2009.08.17 - Norman 6.01.09 2009.08.17 - nProtect 2009.1.8.0 2009.08.17 - Panda 10.0.0.14 2009.08.16 - PCTools 4.4.2.0 2009.08.17 - Prevx 3.0 2009.08.17 - Rising 21.43.04.00 2009.08.17 - Sophos 4.44.0 2009.08.17 - Sunbelt 3.2.1858.2 2009.08.16 - Symantec 1.4.4.12 2009.08.17 - TheHacker 6.3.4.3.383 2009.08.13 - TrendMicro 8.950.0.1094 2009.08.17 - VBA32 3.12.10.9 2009.08.17 - ViRobot 2009.8.17.1887 2009.08.17 - VirusBuster 4.6.5.0 2009.08.17 - Information additionnelle File size: 88 bytes MD5...: 87d9ba573279772414c732ff25b877cd SHA1..: 0ebb06e6a8264580f597a8ba01d6c1157dc03a9b SHA256: c3e8074381c77b6e99059884b76bd84bdb93daba9dee4739b07b451fe895a57e ssdeep: 3:hl/hdYfjn:9dc
PEiD..: - TrID..: File type identification
MS Flight Simulator Aircraft Performance Info (100.0%) PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set
- Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.24 2009.08.17 - AhnLab-V3 5.0.0.2 2009.08.17 - AntiVir 7.9.1.1 2009.08.17 - Antiy-AVL 2.0.3.7 2009.08.17 - Authentium 5.1.2.4 2009.08.17 - Avast 4.8.1335.0 2009.08.17 - AVG 8.5.0.406 2009.08.17 - BitDefender 7.2 2009.08.17 - CAT-QuickHeal 10.00 2009.08.17 - ClamAV 0.94.1 2009.08.17 - Comodo 2002 2009.08.17 - DrWeb 5.0.0.12182 2009.08.17 - eSafe 7.0.17.0 2009.08.17 - eTrust-Vet 31.6.6681 2009.08.17 - F-Prot 4.4.4.56 2009.08.16 - F-Secure 8.0.14470.0 2009.08.17 - Fortinet 3.120.0.0 2009.08.17 - GData 19 2009.08.17 - Ikarus T3.1.1.68.0 2009.08.17 - Jiangmin 11.0.800 2009.08.17 - K7AntiVirus 7.10.820 2009.08.17 - Kaspersky 7.0.0.125 2009.08.17 - McAfee 5712 2009.08.17 - McAfee+Artemis 5712 2009.08.17 - McAfee-GW-Edition 6.8.5 2009.08.17 - Microsoft 1.4903 2009.08.17 - NOD32 4342 2009.08.17 - Norman 6.01.09 2009.08.17 - nProtect 2009.1.8.0 2009.08.17 - Panda 10.0.0.14 2009.08.16 - PCTools 4.4.2.0 2009.08.17 - Prevx 3.0 2009.08.17 - Rising 21.43.04.00 2009.08.17 - Sophos 4.44.0 2009.08.17 - Sunbelt 3.2.1858.2 2009.08.16 - Symantec 1.4.4.12 2009.08.17 - TheHacker 6.3.4.3.383 2009.08.13 - TrendMicro 8.950.0.1094 2009.08.17 - VBA32 3.12.10.9 2009.08.17 - ViRobot 2009.8.17.1887 2009.08.17 - VirusBuster 4.6.5.0 2009.08.17 - Information additionnelle File size: 88 bytes MD5...: 87d9ba573279772414c732ff25b877cd SHA1..: 0ebb06e6a8264580f597a8ba01d6c1157dc03a9b SHA256: c3e8074381c77b6e99059884b76bd84bdb93daba9dee4739b07b451fe895a57e ssdeep: 3:hl/hdYfjn:9dc
PEiD..: - TrID..: File type identification
MS Flight Simulator Aircraft Performance Info (100.0%) PEInfo: - PDFiD.: - RDS...: NSRL Reference Data Set
-

neo*** · Answer

Mon pseudo a changé mais c'est toujours moi lol :)

Pour t'expliquer un peu que tu puisses suivre^^

Ton rootkit tdss a été viré par combo des le debut (=skynet, c'est une variante) 

il y avait 3 fichiers sur lesquels j'avais un doute, 

VT a confirmé que celui que tu as envoyé est ok
apparemment les 2 autres aussi mais ca merite de creuser un peu 

pour voir ce qu'il reste (s'il reste quelquechose) :

télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau. 

- Double-clique sur RSIT.exe afin de lancer le programme. 

- Clique sur Continue à l'écran Disclaimer. 

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches). 

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

mireille · Answer

Désolé c'est comme la première fois je ne trouves aucun rapport text info sur la barre des tâches 
Voici le rapport log text

http://ww38.toofiles.com/fr/oip/documents/txt/logtxtno2.html

neo*** · Answer

mac affe avg norton, choisis un antivirus et vires les autres, 1 antivirus par pc, sinon ils rentrent en conflit !


==> Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
UAC

 

* Va dans démarrer puis panneau de configuration 
* Double Clique sur l'icône "Comptes d'utilisateurs" 
* Clique ensuite sur désactiver et valide.


Imprime ces instructions ou sauvegarde les sur ton Bureau car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

Télécharge Malwarebytes’ Anti-Malware (tu pourras garder cet antimalware par la suite)

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX)

 

- Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware 
- Enregistres le sur le bureau 
- Double cliques sur le fichier téléchargé pour lancer le processus d’installation 
- Lorsqu’il te le sera demandé, met à jour Malwarebytes anti malware 
- Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes 
- Une fois la mise à jour terminée, ferme Malwarebytes 
- Clic droit en tant qu'administrateur sur l’icône de malwarebytes pour le relancer 
- Dans l’onglet, Recherche, probablement ouvert par défaut, 
- Sélectionne Exécuter un examen complet 
- Clique sur Rechercher 
- Le scan démarre 
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés. 
- Cliques sur Ok pour poursuivre. 
- Si des malwares ont été détectés, cliques sur Afficher les résultats 
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse. 
- Rends toi dans l’onglet rapport/log 
- Tu cliques dessus pour l’afficher une fois affiché 
- Tu cliques sur édition en haut du bloc notes, et puis sur sélectionner tout 
- Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse 
- Tu cliques droit dans le cadre de la réponse et coller 

Si tu as besoin d’aide regarde ce tutorial 

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
ps: s'il te demande de redemarrer : fais le !

mireille · Answer

Pour les anti-virus merci pour l'avis!
J'ai Mac Affee..mais j'ai téléchargé avg en démo pour scanner au moment ou j'ai réalisé cette infection pour une utilisation temporaire - je viens de le désinstaller!
Pour Norton je comprends pas..je n'ai jamais installé Norton sur cette machine..je n'ai plus jamais acheté Norton depuis 4-5 ans!
(autrement je n'ai que des outils de désinfection A2 square, spyboot des scan pour rootkits ou des fichiers de scan en ligne tel Tren Micro ou autre..mais Norton je comprends pas)

Voilà donc le rapport Malwarebytes:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2642
Windows 6.0.6001 Service Pack 1

2009-08-17 15:11:03
mbam-log-2009-08-17 (15-11-03).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 249605
Temps écoulé: 1 hour(s), 5 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Windows\System32\drivers\SKYNETxpmqqrjx.sys.vir (Trojan.TDSS) -> Quarantined and deleted successfully.

neo*** · Answer

ca sear le dernier pour ce soir :)

Pour norton ce sont des restes, vires les avec ceci :)

mireille · Answer

Merci je le fais à l'instant!
Bonne nuit! ;)

neo*** · Answer

bjr mireille

bah alors on fini ou pas ? lol

mireille · Answer

Bonsoir,

;D bien sûr qu'on finit! 
C'est que je viens de rentrer et tu es certainement au dodo (je suis de l'autre côté de la marre ..une tite cousine)
Bonne nuit et je reviens demain!
merci beaucoup de m'aider jusqu'au bout;
déjà ca roule beaucoup mieux cette machine! ;)

neo*** · Answer

bjr mireille,

j'espere qu'il te reste qu' 1 antivirus ! c'est important,

 avant de finir, on va verifier tes sources amovibles, si elles sont ok, on les vaccinera pour les protéger dans le futur (si tu es ok biensur) :)

    *  Telecharge UsbFix de C_XX & Chiquitine29

    * Lance l installation avec les parametres par default
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir
    * Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi "Exécuter en tant qu'administrateur" .

    * choisi l'option 2 ( Suppression )
    * Ton bureau disparaîtra et le pc redémarrera .
    * Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
    * Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )


* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

mireille · Answer

voilà le rapport 


############################## | UsbFix V6.019 |

User : Nicole Lessard (Utilisateurs) # PC
Update on 19/08/09 by Chiquitine29 & C_XX
Start at: 21:32:37 | 2009-08-19
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU     P8400  @ 2.26GHz
Microsoft® Windows Vista™ Professionnel  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18813
Windows Firewall Status : Enabled
AV : McAfee VirusScan Enterprise 8.5.0.781 [ Enabled | Updated ]

C:\ -> Disque fixe local # 135,89 Go (75,24 Go free) [S3A6694D001] # NTFS
D:\ -> Disque fixe local # 6,15 Go (6,09 Go free) # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque amovible # 7,55 Go (321,7 Mo free) # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\TAMSvr.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\svchost.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\PSIService.exe
C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\ThpSrv.exe
C:\Windows\system32\TODDSrv.exe
C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files\McAfee\Common Framework
aPrdMgr.exe
C:\Program Files\TOSHIBA\SmartFaceV\SmartFaceVWatchSrv.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:egxpcom.exe  

################## | Autres |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[2006-09-18 17:43|--a------|24] -> C:\autoexec.bat 
[2008-01-20 22:25|-rahs----|333203] -> C:\bootmgr 
[2008-06-04 14:13|-ra-s----|8192] -> C:\BOOTSECT.BAK 
[2006-09-18 17:43|--a------|10] -> C:\config.sys 
[2006-11-10 23:37|--a------|1074] -> C:\Cr‚ateur de recouvrement.lnk 
[?|?|?] -> C:\hiberfil.sys 
[2008-06-04 11:51|-rahs----|0] -> C:\IO.SYS 
[2008-06-04 11:51|-rahs----|0] -> C:\MSDOS.SYS 
[?|?|?] -> C:\pagefile.sys 
[2009-04-07 16:17|--a------|507] -> C:\Programmes - Raccourci.lnk 
[2008-06-04 10:47|--a------|1836] -> C:\Security Assist.lnk 
[2009-04-28 18:45|--ah-----|268] -> C:\sqmdata00.sqm 
[2009-05-12 22:48|--ah-----|268] -> C:\sqmdata01.sqm 
[2009-05-13 12:53|--ah-----|268] -> C:\sqmdata02.sqm 
[2009-07-13 18:45|--ah-----|268] -> C:\sqmdata03.sqm 
[2009-04-28 18:45|--ah-----|244] -> C:\sqmnoopt00.sqm 
[2009-05-12 22:48|--ah-----|244] -> C:\sqmnoopt01.sqm 
[2009-05-13 12:53|--ah-----|244] -> C:\sqmnoopt02.sqm 
[2009-07-13 18:45|--ah-----|244] -> C:\sqmnoopt03.sqm 
[2008-08-28 03:02|--a------|1669] -> C:\TOSHIBA DVD PLAYER.lnk 
[2008-08-28 03:00|--a------|703] -> C:\TrueSuite Access Manager.lnk 
[2009-08-19 21:37|--a------|4667] -> C:\UsbFix.txt 
[2005-07-27 10:07|--a------|1779] -> C:\VPN Client.lnk 
[2009-04-05 20:11|--a------|44861] -> G:
icole-bilan-final - Copie.rtf 
[2009-05-08 21:16|--a------|5359303] -> G:\EjectUSB.zip 
[2009-04-05 21:36|--a------|17408] -> G:\Nicole-bilan 2008.xls 
[2009-04-03 19:47|--a------|53821386] -> G:\Portable_Adobe_Photoshop_Lightroom_2.3_RC_build_534370_with_Camera_Raw_5.3.rar 
[2009-03-31 18:48|--a------|14249472] -> G:\MOV000011.avi 
[2009-03-30 21:34|--a------|104857600] -> G:\Corel.Paint.Shop.Pro.XII.01.Portable.part1.rar 
[2009-03-30 22:25|--a------|85859509] -> G:\Corel.Paint.Shop.Pro.XII.01.Portable.part2.rar 
[2009-03-26 00:30|--a------|335642282] -> G:\PSPP-12.5.rar 
[2009-03-25 23:46|--a------|12728] -> G:\Prod.Ke.Explo.v2.1.6.0www.softarchive.net.rar 
[2009-03-31 20:14|--a------|7642241] -> G:\DVD Labels.rar 
[2009-03-31 22:19|--a------|10696458] -> G:\Aero_Glass_Ultimate_sobisvn.softarchive.net.rar 
[2009-03-31 22:55|--a------|1846692] -> G:\MLV_3.2.0_Portable.rar 
[2009-04-01 21:51|--a------|9140] -> G:\ImageHDR-PresetsLightroom.rar 
[2009-04-01 21:52|--a------|1362] -> G:\Focus-Dramatic-Sky.zip 
[2009-04-01 21:55|--a------|1770] -> G:\JoopSnijder-SoftHighlights.zip 
[2009-04-01 21:55|--a------|929] -> G:\Wizels.zip 
[2009-04-01 21:57|--a------|3101] -> G:\adb_steel.zip 
[2009-04-03 18:23|--a------|5630147] -> G:\1598635433.rar 
[2009-04-03 18:57|--a------|32437740] -> G:\Lightroom_Portable_2.3_MultiLang.paf.exe 
[2009-04-05 14:46|--a------|2809] -> G:
icole-bilan.rtf 

################## | Cracks / Keygens / Serials |

NB: Il y avait un fichier d'un logiciel et d'un crack à ce logiciel dans cet espace, ce que je ne comprends pas!
Je collabore avec les développeurs et j'ai une licence à vie (J'ai du télécharger une version pour le portable d'un endroit douteux)  Donc..mon nom étant au complet..je préfère garder cette information hors de la vue publique pour pas me mettre en trouble avec le développeur! (si besoin je peux donne par mp)

 

################## | Upload | 

Veuillez envoyer le fichier : C:\Users\NICOLE~1\Desktop\UsbFix_Upload_Me_PC.zip : https://www.androidworld.fr/ 
Merci pour votre contribution . 

################## | ! Fin du rapport # UsbFix V6.019 ! |

Merci Neophyte

mireille · Answer

J'aimerais savoir si tu as vu quelque-chose qui expiquerais que j'aies encore des difficiltés avec le graveur et peut-être les codex..ca dépend quel utilitaire j'utilise mais aujourd'hui j'ai été incapable de copier sur mon ordi le sfichiers musicaux d'un cd et les graver!  J'avais des fichiers que je ne connais pas de quelques KB ..et je ne pouvais pas les graver mais wmp pouvait les lires!


Merci!

(ce fut l'un des premiers signes du problème de rootkit..le graveur hs)

neo*** · Answer

bonjour mireille 

non je ne vois pas dans l'immédiat, on va terminer les dernieres manips et on fera le point apres :) je pencherais plus sur le driver a re installer (?) 

Tu ne m'as pas repondu, te reste t'il qu'un seul antivirus ? 

--------------------

on va vaccinner tes sources amovibles :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir

Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "Exécuter en tant qu'administrateur" .

Choisis l'option 3 ( Vaccination )

Laisse travailler l'outil.

Ensuite poste le rapport UsbFix.txt qui apparaîtra.
* Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )


ENSUITE --------------------------


Ton ordinateur n'est plus infecté ! 

Avant de retourner sur le net, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici ;)

Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message. 

Tout est important /!\ 


1) Sécurise ton ordinateur 

Anti-virus : 

OK en fonction de ta reponse, il ne t'en faut qu'un !


Anti-spyware : 

* Garde Spybot "sans le tea timer" qui ne sert a rien". 
Mets le à jour regulierement (une fois par semaine), et fais les vaccinations à chaque fois. 

* En complément, garde MalwareBytes pour son scan de nettoyage performant. 

* Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement de mettre a jour  Firefox ( on est la version 3.5)  avec deux extensions : 

AdBlockPlus pour bloquer les publicités ; 


WOT, pour t'avertir des sites web dangereux. 



2) Pour desinstaller Combofix : Demarrer > executer > et tape combofix /u et valide (l'espace entre combofix et /u est important)

puis Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner 


Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires. 
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille). 
S'il ne supprime pas tout, supprime manuellement ce qui reste. 



3) Télécharge et installe Ccleaner (si ce n’est déjà fait) : 

Lance CCleaner 
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h » 
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. 
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs. 

(Tu peux garder ce logiciel et l'utiliser régulièrement). 



4) RESTAURATION vista

Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). 
Menu démarrer : clique droit sur ordinateur : propriétés : protection du système
 Désactiver la restauration du système sur tous les lecteurs 
 Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système. 


5) Télécharge JkDefrag sur ton Bureau 
Ce petit programme permet de défragmenter le disque dur (plus efficace que l'utilitaire de défragmentation de Windows). 

Je te conseille de le lancer en mode sans échec pour augmenter son efficacité : pour cela, redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle et double clique sur le fichier Jkdefreg.exe présent dans le dossier Jkdefrag (si tu as choisis la version sans installation). 
La défragmentation peut durer plusieurs heures, et il ne faut pas utiliser l'ordinateur pendant ceci (tu peux le faire de nuit s'il faut). 
 


6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile): 
Prévention et sécurité sur internet


Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;) 

Re-essaie ton graveur et tiens moi au courant

Mireille · Answer

Bonjour,

1) Je n'ai actuellement que Mac Afee antivirus
    Window defender est activé - dois-je le désactiver!

    J'ai  quelques outils supplémentaires comme:
    Spybot S&D - le résident tea tree n'est pas activé
    J'ai A2 square gratuit - je penses qu'il n'y a pas de résident!

2) Toutes vos instructions ont été faites à la lettre - Merci! 

Voici le dernier log


############################## | UsbFix V6.019 |

User : Nicole Lessard (Utilisateurs) # PC
Update on 19/08/09 by Chiquitine29 & C_XX
Start at: 12:51:34 | 2009-08-20
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU     P8400  @ 2.26GHz
Microsoft® Windows Vista™ Professionnel  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18813
Windows Firewall Status : Enabled
AV : McAfee VirusScan Enterprise 8.5.0.781 [ Enabled | Updated ]

C:\ -> Disque fixe local # 135,89 Go (76,36 Go free) [S3A6694D001] # NTFS
D:\ -> Disque fixe local # 6,15 Go (6,09 Go free) # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque amovible # 7,55 Go (321,7 Mo free) # FAT32

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## | ! Fin du rapport # UsbFix V6.019 ! |


Je dois maintenant tenter de graver une copie d'un disque! 
Je reviens donner le rapport si ca fonctionne!
Merci!

Mireille · Answer

J'ai encore ce même problème

J'ai inséré un disque gravé contenant de la musique et que je voulais copier dans mon ordi et regraver sur un autre cd. (je n'ai qu'un combo graveur)

Je n'arrive qu'a voir les fichiers .cad et aucun fichier musique quoique je puisses les écouter dans le lecteur média player!  Pour les graver rien à faire..on ne voit pas les fichers!

Merci!

neo*** · Answer

bjr mireille

es tu toujours ds le coin, je t'ai pas oublié mais j'etais abs pendant une dizaine de jrs^^ 

as tu trouvé une solution pour ton histoire de dvd ?

a+

Mireille · Answer

Bonjour Néo,

Tout va bien depuis la dernière intervention!
Je te remercie grandement de cette gentille aide et les instruction très bien dirigées!

Mon portable va très bien et je comprends mieux comment me protéger!
Encore grand merci, j'y serais jamais arrivée seule !

Aurevoir
Mireille

Infection win32.tdss.rtk

36 réponses

Votre réponse

Discussions similaires

Newsletters