Ordinateur infecté

salut :


/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe"

_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================</gras>

▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

>> Reviens sur le forum, et

▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

d'accord lance-le en mode sans echec

tu l'as renommé comme demandé ?

D'accord lance-le en mode sans echec

Un bon formatage n'a jamais fait de mal....
Pense à récupérer préalablement tes fichiers....

aucune competitivité !!!! ^^

pour le mode sans échec on fait comment ??? c'est windows qui faut relancer?

Pour le formatage, merci je n'y ai pas accés

Comment aller en Mode sans échec :

▶ Redémarres ton ordi
▶ Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
▶ Tu verras un écran avec options de démarrage apparaître
▶ Choisis la première option : Sans Échec, et valide avec "Entrée"
▶ Choisis ton compte habituel, et non Administrateur (si besoin ... )

Autant pour moi j'ai trouvé la manip mais il ne fait rien, il ya de + en + de messages d'erreurs

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

▶ Télécharge List&Kill'em et enregistre-le sur ton bureau

Il ne necessite pas d'installation

▶double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

▶laisse travailler l'outil

le rapport va s'afficher , une fois le scan fini

▶▶▶▶▶▶▶ ATTENTION : Efface ton adresse IP stp !!!!

ici :

[121]: KB973815 - Update
[122]: KB973869 - Update
[123]: XpsEPSC
Carte(s) r‚seau: 4 carte(s) r‚seau install‚e(s).
[01]: Bluetooth PAN Network Adapter
Nom de la connexion : Connexion au r‚seau local 2
tat : Support d‚connect‚
[02]: Intel(R) PRO/1000 CT Network Connection
Nom de la connexion : Connexion au r‚seau local
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.0.11
[03]: VirtualBox Host-Only Ethernet Adapter
Nom de la connexion : VirtualBox Host-Only Network
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.56.1
[04]: VirtualBox Host-Only Ethernet Adapter
Nom de la connexion : VirtualBox Host-Only Network #2
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.217.1

Nom de l'image PIDÿ Nom de la sessio Num‚ro d Utilisation
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 Ko
System 4 Console 0 244 Ko
smss.exe 916 Console 0 400 Ko
csrss.exe 972 Console 0 4ÿ456 Ko
winlogon.exe 996 Console 0 3ÿ536 Ko

▶ colle le contenu dans ta prochaine réponse

List'em by g3n-h@ckm@n 1.0.2.8

updated on 23.08.2009 ::::: 13.00


Microsoft Windows XP [version 5.1.2600]


24/08/2009 16:20:51,62


Infections :
==========


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
"C:\windows\system32\prntvpt.dll"
C:\windows\System32\SETD9.tmp
C:\windows\System32\SETDB.tmp
C:\windows\System32\SETE7.tmp
C:\windows\Temp\BN1.tmp
C:\windows\Temp\BN2.tmp
"C:\Documents and Settings\Reno\Application Data\wiaserva.log"
C:\Documents and Settings\Reno\LOCAL Settings\Temp\cmd.execf
C:\Documents and Settings\Reno\LOCAL Settings\Temp\jre-6u15-windows-i586-iftw.exe
C:\Documents and Settings\Reno\LOCAL Settings\Temp\setup.exe
C:\Documents and Settings\Reno\LOCAL Settings\Temp\TMP1D.tmp
C:\Documents and Settings\Reno\LOCAL Settings\Temp\TMP4C.tmp

¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_tdssserv
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_tdssserv
HKLM\SYSTEM\ControlSet003\Services\tdssserv
HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_tdssserv
HKLM\SYSTEM\ControlSet004\Services\tdssserv
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_tdssserv
HKLM\System\CurrentControlSet\Services\tdssserv

¤¤¤¤¤¤¤¤¤¤ C:\windows\Prefetch :

12787184.EXE-1378A3B2.pf
17839374.EXE-01AC3126.pf
ACRORD32.EXE-13285B88.pf
ATI2EVXX.EXE-19D16EB9.pf
ATIPTAXX.EXE-18FE8D8B.pf
ATTRIB.CFXXE-0D17129C.pf
ATTRIB.CFXXE-18D70E5B.pf
ATTRIB.EXE-39EAFB02.pf
BN2.TMP-17A089A1.pf
BN9.TMP-0C3F3263.pf
BNA.TMP-27BDFBC7.pf
CCAPP.EXE-164A650A.pf
CCLEANER.EXE-0BCE437C.pf
CF31042.EXE-09730A2F.pf
CHCP.COM-18156052.pf
CLI.EXE-20D5A08B.pf
CMD.EXE-087B4001.pf
CMD.EXECF-27E83661.pf
COMBOFIX.EXE-0F2B14E8.pf
CONTROL.EXE-013DBFB5.pf
CSCRIPT.EXE-1C26180C.pf
CTFMON.EXE-0E17969B.pf
DEFRAG.EXE-273F131E.pf
DFRGNTFS.EXE-269967DF.pf
DOSCAN.EXE-2CDA015C.pf
DRWTSN32.EXE-2B4B52AC.pf
DUMPREP.EXE-1B46F901.pf
DWHWIZRD.EXE-1D638167.pf
EXPLORER.EXE-082F38A9.pf
FSC-REMINDER.EXE-082511C0.pf
GREP.CFXXE-005CE245.pf
GREP.CFXXE-350016A4.pf
GRPCONV.EXE-111CD845.pf
GSAR.CFXXE-064C1B3A.pf
HELPSVC.EXE-2878DDA2.pf
HIDEC.EXE-3818BC01.pf
HIDEC.EXE-3B166DB3.pf
HL.EXE-17B410E2.pf
HTTPD.EXE-36D4BEA6.pf
IDRIVER.EXE-342E2A76.pf
IEXPLORE.EXE-12915967.pf
IEXPLORE.EXE-27122324.pf
IKOWIN32.EXE-204B17C0.pf
IMAPI.EXE-0BF740A4.pf
IS-KG32K.EXE-1F71EF4A.pf
IW3MP.EXE-157F47A5.pf
IW3SP.EXE-33AAD18B.pf
JAVA.EXE-0C263507.pf
JUSCHED.EXE-25206883.pf
Layout.ini
LOGONUI.EXE-0AF22957.pf
LUALL.EXE-2BCC229F.pf
LUCOMS~1.EXE-02DB5950.pf
MBAM-DOR.EXE-203884D2.pf
MBAM-SETUP.EXE-0F9D8D44.pf
MBAM-SETUP.TMP-0650D45C.pf
MBAM.EXE-0BEE0439.pf
MBAMGUI.EXE-1286D63B.pf
MEDIACENTER.EXE-0902802B.pf
MSET.EXE-18017DC6.pf
MSET.EXE-3345BABC.pf
MSIEXEC.EXE-2F8A8CAE.pf
MSNMSGR.EXE-030AB647.pf
N.PIF-1B75D06C.pf
NEROCHECK.EXE-092C6DFA.pf
NIRCMD.CFXXE-05436116.pf
NIRCMD.CFXXE-351E2F5E.pf
NIRCMDB.EXE-143CC1C1.pf
NIRCMDC.CFXXE-101D6E86.pf
NOTEPAD.EXE-336351A9.pf
NTOSBOOT-B00DFAAD.pf
NTVDM.EXE-1A10A423.pf
PDFUPD.EXE-014025C7.pf
PEV.CFXXE-02C8A4D3.pf
PEV.CFXXE-3B65BD28.pf
PEV.EXE-2937A365.pf
PING.EXE-31216D26.pf
PNKBSTRB.EXE-21412697.pf
PRESENTATIONFONTCACHE.EXE-1706C4D2.pf
PV.CFXXE-232B0D6C.pf
PV.CFXXE-38A0900B.pf
PV.COM-2F8141B5.pf
REGEDIT.EXE-1B606482.pf
REGSVR32.EXE-25EEFE2F.pf
RENO.EXE-02BD0C64.pf
RSIT.EXE-0B70038C.pf
RUNDLL32.EXE-17372B0F.pf
RUNDLL32.EXE-1EFACBAB.pf
RUNDLL32.EXE-33AE44A7.pf
RUNDLL32.EXE-3E9C3F77.pf
RUNDLL32.EXE-451FC2C0.pf
RUNDLL32.EXE-47D1D7AB.pf
RUNDLL32.EXE-4A315F8E.pf
RUNONCE.EXE-2803F297.pf
SED.CFXXE-384BB311.pf
SED.CFXXE-3B4964C3.pf
SOUNDMAN.EXE-19745A34.pf
SVCHOST.EXE-3530F672.pf
SWREG.CFXXE-17391962.pf
SWREG.EXE-0937BD77.pf
SWREG.EXE-3560BE42.pf
SWSC.CFXXE-2693FE93.pf
SWXCACLS.CFXXE-1ECB3953.pf
TASKMGR.EXE-20256C55.pf
USERINIT.EXE-30B18140.pf
UTORRENT.EXE-3888D1B0.pf
VERCLSID.EXE-3667BD89.pf
VLC.EXE-22DF01AA.pf
VPC32.EXE-2E9C8D92.pf
VPDN_LU.EXE-0A29B4CE.pf
VPTRAY.EXE-21252F09.pf
VPTRAY.EXE-2D128BA2.pf
WIFIN.EXE-17227F45.pf
WIFISTATIONLB.EXE-312AA041.pf
WINAMP.EXE-0D0189CA.pf
WINWORD.EXE-37F6AE09.pf
WLCOMM.EXE-04AE9009.pf
WMIAPSRV.EXE-1E2270A5.pf
WMIPRVSE.EXE-28F301A9.pf
WMPNSCFG.EXE-18926138.pf
WPV011250826839.EXE-243008D2.pf
WPV221250563654.EXE-06D5067B.pf
WPV531250847886.EXE-36180286.pf
WPV701250563654.EXE-0803D3A3.pf
WPV861251000810.EXE-333D7C0D.pf
WPV881250826839.EXE-2277ACC7.pf
WSCNTFY.EXE-1B24F5EB.pf
WUAUCLT.EXE-399A8E72.pf
_EX-08.EXE-2630CB5F.pf
_EX-68.EXE-08054179.pf




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Redemarre en mode sans echec

▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

▶ choisis l'option 2 = Mode Destruction

laisse travailler l'outil

apres les verifications , un rapport va s'ouvrir.

▶ ferme-le.

un deuxieme rapport va s'ouvrir ,

▶ colle son contenu dans ta reponse

Kill'em by g3n-h@ckm@n 1.0.2.8

updated on 23.08.2009 ::::: 13.00


Microsoft Windows XP [version 5.1.2600]


24/08/2009 16:27:17,04

Fichiers analysés :
=================


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
"C:\windows\system32\prntvpt.dll"
C:\windows\System32\SETD9.tmp
C:\windows\System32\SETDB.tmp
C:\windows\System32\SETE7.tmp
C:\windows\Temp\BN1.tmp
C:\windows\Temp\BN2.tmp
"C:\Documents and Settings\Reno\Application Data\wiaserva.log"
C:\Documents and Settings\Reno\LOCAL Settings\Temp\cmd.execf
C:\Documents and Settings\Reno\LOCAL Settings\Temp\jre-6u15-windows-i586-iftw.exe
C:\Documents and Settings\Reno\LOCAL Settings\Temp\setup.exe
C:\Documents and Settings\Reno\LOCAL Settings\Temp\TMP1D.tmp
C:\Documents and Settings\Reno\LOCAL Settings\Temp\TMP4C.tmp


¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :

Quarantaine :

BN1.tmp.Kill'em
BN2.tmp.Kill'em
cmd.execf.Kill'em
jre-6u15-windows-i586-iftw.exe.Kill'em
prntvpt.dll.Kill'em
SETD9.tmp.Kill'em
SETDB.tmp.Kill'em
SETE7.tmp.Kill'em
setup.exe.Kill'em
TMP1D.tmp.Kill'em
TMP4C.tmp.Kill'em
wiaserva.log.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification :



Infections :
==========


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"

¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_tdssserv
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_tdssserv
HKLM\SYSTEM\ControlSet003\Services\tdssserv
HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_tdssserv
HKLM\SYSTEM\ControlSet004\Services\tdssserv
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_tdssserv
HKLM\System\CurrentControlSet\Services\tdssserv

¤¤¤¤¤¤¤¤¤¤ C:\windows\Prefetch :

Layout.ini
NTOSBOOT-B00DFAAD.pf




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Télécharge OTL de OLDTimer

▶ enregistre le sur ton Bureau.

▶ Double clic sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:reg
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_tdssserv
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_tdssserv
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_tdssserv
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\tdssserv
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_tdssserv
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tdssserv

:commands
[emptytemp]
[reboot]


▶ Clique sur RunFix pour lancer la suppression.


▶ Poste le rapport.

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_tdssser\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_tdssser\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssser\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_tdssser\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\tdssser\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_tdssser\ not found.
Registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tdssser\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 121064 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: Reno
->Temp folder emptied: 65802977 bytes
->Temporary Internet Files folder emptied: 23736149 bytes
->Java cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
Folder delete failed. C:\windows\LastGood.Tmp\system32\DRIVERS scheduled to be deleted on reboot.
Folder delete failed. C:\windows\LastGood.Tmp\system32 scheduled to be deleted on reboot.
Folder delete failed. C:\windows\LastGood.Tmp scheduled to be deleted on reboot.
C:\windows\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 785408 bytes
Windows Temp folder emptied: 21008365 bytes
RecycleBin emptied: 16051174 bytes

Total Files Cleaned = 121,74 mb


OTL by OldTimer - Version 3.0.10.7 log created on 08242009_183354

Files\Folders moved on Reboot...
C:\windows\LastGood.Tmp\system32\DRIVERS moved successfully.
C:\windows\LastGood.Tmp\system32 moved successfully.
C:\windows\LastGood.Tmp moved successfully.

Registry entries deleted on Reboot...