Packed.Win32.TDSS.z - fichier: C:\WINDOWS\sys

Résolu
Shera -  
plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Après quelques recherches sur le net, je rencontre le même problème qu'une personne sur le forum, mon anti virus karpersky a découvert un cheval de Troie Packed.Win32.TDSS.z - fichier: C:\WINDOWS\system32\gasfkyxetypwxr.dll , et impossible de le réparer ou de le supprimer, suite à un précédent message ou vous avez donnée une première action a faire, j'ai effectué cette dernière avec ZHPDiag. J'ai donc fait le scan et le lien pour le fichier est ici : http://www.cijoint.fr/cjlink.php?file=cj200909/cijegpNJf0.tx­t

Je suis infectée depuis hier soir, et lors de l'ouverture du pc ce matin, j'ai à chaque clik pour ouvrir par exemple internet, ou cliquer simplement sur démarrer entraine une erreur pour chaque programme, lors du démarrage j'ai eu plus d'une dizaine de message : L'application ou la DLL globalroot\systemroot\system32\gasfkyxetypwxr.dll n'est pas une image windows valide. Vérifiez à l'aide de votre disquette d'installation.

J'ai WINDOWS XP. Hier j'ai simplement téléchargé le pilote pour ma souris razer, et le problème lorsque ce dernier m'est arrivé est en pleine partie d'un jeu en réseau.

Merci par avance pour votre aide.

SheRa
Configuration: Windows XP Internet Explorer 7.0

38 réponses

  • 1
  • 2
Résumé de la discussion

Une infection détectée sur Windows XP par l'antivirus Kaspersky signale un cheval de Troie Packed.Win32.TDSS.z dans C:\WINDOWS\system32\gasfkyxetypwxr.dll, avec impossibilité de réparation ou de suppression. Plusieurs contributions décrivent un rootkit actif et présentent des extraits de logs GMER montrant des composants cachés comme gasfkywkijphyp.dll et des drivers dans system32, symptomatique d'une compromission avancée. L'émergence au démarrage et les messages d'erreur indiquant qu'une DLL n'est pas une image Windows valide sont rapportés comme symptômes, avec des indications que plusieurs processus et services sont compromis. En outre, un nouveau détail signale un second fichier et service cachés gasfkybwuxfaxt.sys, renforçant l'idée d'une chaîne IAT/EAT complexe et d'une infection nécessitant une prise en charge professionnelle.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    salut

    c'est un rootkit, il ne devrait pas etre present sur les log mais fait ceci stp

    * Télécharge Random's system information tool (RSIT) et enregistre le sur ton bureau.
    http://images.malwareremoval.com/random/RSIT.exe
    * Double clique sur RSIT.exe pour lancer l'outil.
    * Clique sur ' continue ' à l'écran Disclaimer.
    * Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    * Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.

    ( C:\RSIT\log.txt & C:\RSIT\info.txt )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
  2. Shera
     
    Bonjour et merci pour ton aide,
    Le 1er LOG

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Val at 2009-09-20 11:08:02
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 18 GB (46%) free of 40 GB
    Total RAM: 2047 MB (73% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:08:14, on 20/09/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16827)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\Program Files\Razer\Lycosa\razerhid.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Razer\Diamondback 3G\razerhid.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
    C:\program files\steam\steam.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\usbctl.exe
    C:\Program Files\Razer\Lycosa\razertra.exe
    C:\Program Files\Razer\Diamondback 3G\razertra.exe
    C:\Program Files\Razer\Diamondback 3G\razerofa.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Val\Local Settings\Temporary Internet Files\Content.IE5\32DB219K\RSIT[1].exe
    C:\Program Files\Trend Micro\HijackThis\Val.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Lycosa] "C:\Program Files\Razer\Lycosa\razerhid.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback 3G\razerhid.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WI1F86~1\MESSEN~1\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
    O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Groom - {66F83792-DAE1-4823-8F20-ADA94B33A4FF} - C:\Program Files\Toox\Groom\Groom.exe (HKCU)
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
    O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
    O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://dev.srtest.com/srl_bin/sysreqlab3.cab
    O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.ma-config.com/activex/MaConfig_3_5_1_0.cab
    O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: MagicTuneEngine - Unknown owner - C:\Program Files\MagicTune Premium\MagicTuneEngine.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    0
  3. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    salut

    des reste d'infections sont visible

    Fait sa pour confirmer la prsence de tibs

    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

    • Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
    http://www.gmer.net/
    • Lance Gmer
    • Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
    • A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
    0
  4. Shera
     
    Coucou,

    Il a trouvé ceci :
    Service C:\WINDOWS\system32\drivers\gasfkybwuxfaxt.sys (*** hidden *** )

    Est ce que te copie le log entier ?

    Merci encore pour ton aide !
    Shera
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    oui copie colle le rapport en entier stp

    et si tu clic droit sur l'element trouvé et que tu choisit Delete sa marche ?
    0
  7. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    ensuite fait sa pour nettoyer le rootkit

    Clic droit sur le lien ci dessous choisit "enregistré la cible du lien sous"
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    choisit l'emplacement du BUREAU, RENOMME le fichier en ton prenom

    puis desactive ton antivirus, lance combofix, suit les instruction il te demanderas d'INSTALLER LA CONSOLE de recuperation FAIT LE , une fois installé debranche internet puis laisse poursuivre le scan et poste le rapport a al fin

    puis

    * Télécharge Malwarebytes
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

    0
  8. Shera
     
    je ne peux pas poster le log, ca échoue :( .. je fais faire ce que tu m'as dit ci-dessus, a de suite.
    0
  9. Shera
     
    Voici le rapport de combo fix, par contre au lancement de combofix je n'ai pas vu de message concernant l'installation de la console de récupération, en espérant que cela ne soit pas trop grave :(

    ComboFix 09-09-18.02 - Val 20/09/2009 14:10.1.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1571 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Val\Bureau\Valérie.exe
    AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
    * Un nouveau point de restauration a été créé

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\Installer\13a6b3.msi
    c:\windows\Installer\daf4.msi
    c:\windows\patch.exe
    c:\windows\system32\drivers\gasfkybwuxfaxt.sys
    c:\windows\system32\gasfkyclkixngi.dll
    c:\windows\system32\gasfkylykvxepp.dat
    c:\windows\system32\gasfkynmcrcmup.dat
    c:\windows\system32\gasfkypqoniudj.dll
    c:\windows\system32\gasfkyxetypwxr.dll
    c:\windows\system32\gasfkyxetypwxr.dll.kav

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_gasfkyivamrfto
    -------\Legacy_gasfkyivamrfto

    ((((((((((((((((((((((((((((( Fichiers créés du 2009-08-20 au 2009-09-20 ))))))))))))))))))))))))))))))))))))
    .

    2009-09-20 09:08 . 2009-09-20 09:08 -------- d-----w- C:\rsit
    2009-09-19 22:41 . 2009-09-19 22:43 -------- d-----w- c:\program files\ZHPDiag
    2009-09-19 20:36 . 2009-09-19 20:36 -------- d-----w- c:\program files\Trend Micro
    2009-09-19 09:57 . 2009-09-19 09:57 64000 ----a-w- c:\windows\system32\usbctl.exe
    2009-09-15 16:53 . 2009-09-20 12:18 -------- d-----w- c:\program files\Steam
    2009-09-09 15:32 . 2009-09-09 15:33 -------- d-----w- c:\program files\Fichiers communs\Adobe
    2009-08-22 12:11 . 2009-08-22 12:11 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-09-20 12:18 . 2008-01-11 17:32 26912 --sha-w- c:\windows\system32\drivers\fidbox.dat
    2009-09-20 12:18 . 2008-01-11 17:32 3007520 --sha-w- c:\windows\system32\drivers\fidbox2.dat
    2009-09-20 12:18 . 2008-01-11 17:32 32 --sha-w- c:\windows\system32\drivers\fidbox.idx
    2009-09-20 12:16 . 2008-01-11 17:32 287156 --sha-w- c:\windows\system32\drivers\fidbox2.idx
    2009-09-20 11:47 . 2008-01-11 17:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
    2009-09-19 09:57 . 2008-04-20 14:22 -------- d-----w- c:\program files\Razer
    2009-09-19 09:57 . 2008-01-11 17:07 -------- d--h--w- c:\program files\InstallShield Installation Information
    2009-09-12 17:57 . 2008-01-11 19:59 -------- d-----w- c:\documents and settings\Val\Application Data\teamspeak2
    2009-09-11 05:51 . 2008-01-11 17:32 95259 ----a-w- c:\windows\system32\drivers\klick.dat
    2009-09-11 05:51 . 2008-01-11 17:32 107547 ----a-w- c:\windows\system32\drivers\klin.dat
    2009-08-23 09:26 . 2008-06-21 07:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2009-08-20 21:14 . 2009-08-20 21:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Blizzard Entertainment
    2009-08-20 06:29 . 2008-03-01 19:15 -------- d-----w- c:\program files\Toox
    2009-08-16 07:35 . 2008-06-21 07:38 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2009-07-28 15:33 . 2009-07-28 15:30 -------- d-----w- c:\program files\QuickTime
    2009-07-28 15:33 . 2009-07-28 15:33 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
    2009-07-28 15:32 . 2009-07-28 15:32 -------- d-----w- c:\program files\Apple Software Update
    2009-07-28 15:32 . 2009-07-28 15:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
    2009-07-24 17:49 . 2006-03-02 12:00 82068 ----a-w- c:\windows\system32\perfc00C.dat
    2009-07-24 17:49 . 2006-03-02 12:00 504218 ----a-w- c:\windows\system32\perfh00C.dat
    2009-07-23 05:54 . 2009-07-09 15:35 -------- d-----w- c:\program files\Raptr
    2009-07-23 05:53 . 2009-07-09 15:35 -------- d-----w- c:\documents and settings\Val\Application Data\Raptr
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\progra~1\WI1F86~1\MESSEN~1\msnmsgr.exe" [2007-10-18 5724184]
    "ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2006-09-10 218032]
    "Steam"="c:\program files\steam\steam.exe" [2009-09-15 1217784]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SetDefPrt"="c:\program files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
    "amd_dc_opt"="c:\program files\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-16 13680640]
    "Lycosa"="c:\program files\Razer\Lycosa\razerhid.exe" [2008-10-16 147456]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-16 86016]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
    "Diamondback"="c:\program files\Razer\Diamondback 3G\razerhid.exe" [2007-08-01 147456]
    "AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-12-17 227856]
    "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-01-16 1657376]
    "SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2007-04-16 577536]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Contr“leur d'‚tat.lnk - c:\program files\Brother\Brmfcmon\BrMfcWnd.exe [2008-1-13 802816]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
    @=""

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "ctfmon.exe"=c:\windows\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" -lang 1033
    "PaperPort PTD"=c:\program files\ScanSoft\PaperPort\pptd40nt.exe
    "IndexSearch"=c:\program files\ScanSoft\PaperPort\IndexSearch.exe
    "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.321\\French\\setup.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
    "c:\\Program Files\\Steam\\steamapps\\arachnee\\counter-strike\\hl.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "d:\\jeux\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
    "d:\\jeux\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
    "d:\\jeux\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
    "d:\\jeux\\Crysis\\Bin32\\Crysis.exe"=
    "d:\\jeux\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrA.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrB.exe"=
    "c:\\WINDOWS\\system32\\dpvsetup.exe"=
    "d:\\World of Warcraft\\Repair.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Steam\\Steam.exe"=
    "c:\\WINDOWS\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
    "6112:TCP"= 6112:TCP:Blizzard Downloader 6112

    R2 usbctl;Microsoft USB Bus Controller;c:\windows\system32\usbctl.exe [19/09/2009 11:57 64000]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13/12/2007 14:28 24592]
    R3 LycoFltr;Lycosa Keyboard;c:\windows\system32\drivers\Lycosa.sys [09/07/2009 17:32 16896]
    R3 Razerlow;Diamondback 3G USB Filter Driver;c:\windows\system32\drivers\DB3G.sys [20/04/2008 16:22 13225]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 17:13 234864]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp
    .
    Contenu du dossier 'Tâches planifiées'

    2009-09-05 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

    2009-09-11 c:\windows\Tasks\Maintenance en 1 clic.job
    - c:\program files\TuneUp Utilities 2008\OneClick.exe [2007-12-21 13:39]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
    .
    .
    ------- Associations de fichier -------
    .
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-09-20 14:17
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-329068152-1677128483-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
    @Allowed: (Read) (RestrictedCode)
    @Allowed: (Read) (RestrictedCode)

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker3"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(860)
    c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
    c:\windows\system32\klogon.dll

    - - - - - - - > 'lsass.exe'(916)
    c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll
    c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
    c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\fssync.dll

    - - - - - - - > 'explorer.exe'(3960)
    c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
    c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\fssync.dll
    c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\scrchpg.dll
    c:\windows\system32\msi.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\nvsvc32.exe
    c:\windows\ATKKBService.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\rundll32.exe
    c:\program files\Razer\Lycosa\razertra.exe
    c:\program files\Razer\Diamondback 3G\razertra.exe
    c:\program files\Razer\Diamondback 3G\razerofa.exe
    .
    **************************************************************************
    .
    Heure de fin: 2009-09-20 14:21 - La machine a redémarré
    ComboFix-quarantined-files.txt 2009-09-20 12:21

    Avant-CF: 20 916 555 776 octets libres
    Après-CF: 20 901 507 072 octets libres

    215 --- E O F --- 2009-04-15 06:36
    0
  10. Shera
     
    J'ai voulu faire la deuxième partie : Télécharge Malwarebytes
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe , mais cela me fait un message "the setup files are corupted".
    0
  11. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    essaye ici https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html

    ou

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    après le scan malwarebyte fait un scan en ligne avec internet explorer en desactivant ton antivirus et poste le rapport en entier avec les lignes detectés :

    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    ou

    https://www.kaspersky.fr/downloads

    ensuite utilise CCleanerhttps://www.malekal.com/tutoriel-ccleaner/
    va dans option/avancé et decoche la 1er cases et nettoie plusieurs fois jusqu' a trouver 0erreur
    et après les scans reposte un nouveau log RSIT
    0
  12. Shera
     
    J 'ai dl Malwarebytes autrement le rapport est :
    Malwarebytes' Anti-Malware 1.41
    Version de la base de données: 2830
    Windows 5.1.2600 Service Pack 3

    20/09/2009 15:03:38
    mbam-log-2009-09-20 (15-03-28).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 152345
    Temps écoulé: 25 minute(s), 33 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 8

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Qoobox\Quarantine\C\WINDOWS\system32\gasfkyclkixngi.dll.vir (Rootkit.TDSS) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\gasfkypqoniudj.dll.vir (Rootkit.TDSS) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\gasfkyxetypwxr.dll.vir (Rootkit.TDSS) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\gasfkybwuxfaxt.sys.vir (Rootkit.TDSS) -> No action taken.
    C:\System Volume Information\_restore{DDE97707-428F-4F0B-99F6-A53F104DAF35}\RP0\A0000001.sys (Rootkit.TDSS) -> No action taken.
    C:\System Volume Information\_restore{DDE97707-428F-4F0B-99F6-A53F104DAF35}\RP0\A0000002.dll (Rootkit.TDSS) -> No action taken.
    C:\System Volume Information\_restore{DDE97707-428F-4F0B-99F6-A53F104DAF35}\RP0\A0000003.dll (Rootkit.TDSS) -> No action taken.
    C:\System Volume Information\_restore{DDE97707-428F-4F0B-99F6-A53F104DAF35}\RP0\A0000004.dll (Rootkit.TDSS) -> No action taken.

    Après avoir sélection l'effacement, le pc a redémarré et lancé un CHKDSK.
    Lors de l'ouverture kapersky m'indique :
    non trouvé : cheval de Troie Packed.Win32.TDSS.z Le fichier: C:\WINDOWS\system32\gasfkyxetypwxr.dll
    non trouvé : cheval de Troie Packed.Win32.TDSS.z Le fichier: globalroot\systemroot\system32\gasfkyxetypwxr.dll
    non trouvé : virus EICAR-Test-File Le fichier: C:\DOCUME~1\Val\LOCALS~1\Temp\Av-test.txt
    non trouvé : cheval de Troie Packed.Win32.TDSS.z Le fichier: C:\WINDOWS\system32\gasfkyxetypwxr.dll.kav
    non trouvé : virus Heur.Invader (modification) Le fichier: c:\documents and settings\val\bureau\valérie.exe//PE_Patch.UPX/32788R22FWJFW\catchme.cfxxe
    non trouvé : virus Heur.Invader (modification) Le fichier: c:\documents and settings\val\bureau\valérie.exe//PE_Patch.UPX/32788R22FWJFW\FileKill.cfxxe
    découvert : cheval de Troie Packed.Win32.TDSS.z Le fichier: C:\Qoobox\Quarantine\C\WINDOWS\system32\gasfkyxetypwxr.dll.vir
    découvert : cheval de Troie Packed.Win32.TDSS.z Le fichier: C:\System Volume Information\_restore{DDE97707-428F-4F0B-99F6-A53F104DAF35}\RP0\A0000004.dll

    Si je me trompe pas le rookit est mis en quarantaire mais il se trouve dans aussi dans le fichier de restauration, dois je supprimer ces fichiers ?
    0
  13. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    Fait le scan en ligne puis CCleaner puis u nouveau RSIT, on s'occupera de la restauration systeme a la fin

    deja tu as + de rootkit
    0
  14. Shera
     
    Le scan en ligne n'a détecté aucun virus, j'ai fait ccleaner et voici le log RSIT :
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Val at 2009-09-20 21:36:48
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 20 GB (50%) free of 40 GB
    Total RAM: 2047 MB (36% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:36:59, on 20/09/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16827)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\usbctl.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Razer\Lycosa\razerhid.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Razer\Diamondback 3G\razerhid.exe
    C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Razer\Lycosa\razertra.exe
    C:\Program Files\Razer\Diamondback 3G\razertra.exe
    C:\Program Files\Razer\Diamondback 3G\razerofa.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\Documents and Settings\Val\Bureau\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\Val.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hugedomains.com/domain_profile.cfm?d=duxet&e=com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
    O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Lycosa] "C:\Program Files\Razer\Lycosa\razerhid.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback 3G\razerhid.exe
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WI1F86~1\MESSEN~1\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
    O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Groom - {66F83792-DAE1-4823-8F20-ADA94B33A4FF} - C:\Program Files\Toox\Groom\Groom.exe (HKCU)
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
    O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
    O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://dev.srtest.com/srl_bin/sysreqlab3.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.ma-config.com/activex/MaConfig_3_5_1_0.cab
    O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: MagicTuneEngine - Unknown owner - C:\Program Files\MagicTune Premium\MagicTuneEngine.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    0
  15. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    salut

    Fait un scan en ligne ici avec internet explorer et poste le rapport ene entier avec les lignes detectés
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    ou la https://www.kaspersky.fr/downloads

    puis fait un scan avec superantispyware et poste le rapport en supprimant ce qu'il trouve http://www.infos-du-net.com/telecharger/SUPERAntiSpyware,030­1-7377.html

    et dit moi comment sa va ?
    0
  16. Shera
     
    Bonjour,

    Au démarrage du pc ce soir, kapersky semble m'avoir encore trouvé le rookit :( :cheval de Troie Packed.Win32.TDSS.z Le fichier: C:\WINDOWS\system32\gasfkyxteoxybn.dll

    Je suis entrain d'attendre le résultat de bitdefender, grand merci à toi pour ton aide, heureusement que tu es la.
    0
  17. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    salut

    bon ok oublie l'analyse avec super antispyware, fini bitdefender et poste le rapport

    puis

    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

    • Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
    http://www.gmer.net/
    • Lance Gmer
    • Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
    • A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
    0
  18. Shera
     
    Pour Bitdefender aucun virus trouvé.
    Comme je n'ai pas vu ton message précédent, j'ai lancé le superantispyware, il a trouvé 1 Trojan.Dropper/Win-NV + 19 cookie qui ont été mis en quarantaine.
    Je ne peux plus lancer Gmer, il semble avoir détecter la meme chose que précédemment mais je n'ai pas pu voir le nom entier car mon pc soudainement s'éteint pour reboot.
    J'essaye à nouveau de le relancer
    0
  19. Shera
     
    J 'ai réussi en coupant le modem.

    Voici le log :
    GMER 1.0.15.15087 - http://www.gmer.net
    Rootkit scan 2009-09-21 20:19:37
    Windows 5.1.2600 Service Pack 3
    Running: w8irr118.exe; Driver: C:\DOCUME~1\Val\LOCALS~1\Temp\uwkyrpob.sys

    ---- System - GMER 1.0.15 ----

    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwClose [0xA5D6A370]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwConnectPort [0xA5D68420]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateKey [0xA5D5B7A0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateProcess [0xA5D6A0A0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateProcessEx [0xA5D6A210]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateSection [0xA5D6AE70]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xA5D6A940]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateThread [0xA5D6B7B0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwDeleteKey [0xA5D5B8A0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwDeleteValueKey [0xA5D5B920]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwDuplicateObject [0xA5D6A510]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwEnumerateKey [0xA5D5B9B0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwEnumerateValueKey [0xA5D5BA60]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwFlushKey [0xA5D5BB10]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwInitializeRegistry [0xA5D5BB90]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwLoadDriver [0xA5D67FD0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwLoadKey [0xA5D5C590]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwLoadKey2 [0xA5D5BBB0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwNotifyChangeKey [0xA5D5BC80]
    SSDT kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) ZwOpenFile [0xB9CA5030]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwOpenKey [0xA5D5BD60]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwOpenProcess [0xA5D69E90]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwOpenSection [0xA5D6ACA0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwQueryKey [0xA5D5BE30]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwQueryMultipleValueKey [0xA5D5BEE0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwQuerySystemInformation [0xA5D6B460]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwQueryValueKey [0xA5D5BF90]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwReplaceKey [0xA5D5C040]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwRequestWaitReplyPort [0xA5D68A00]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwRestoreKey [0xA5D5C0D0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)
    0
  20. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    ok

    supprime tes cracks et keygen pour ne pas relancer l'infection

    ensuite tu dois encore avoir combofix sur ton bureau, deconnecte toi d'internet et desactive ton antivirus et lance le et poste le rapport a la fin
    0
  21. Shera
     
    quels cracks et keygen stp ?? (je ne connais pas ces mots) et le log n'est pas passé entièrement :(
    0
  • 1
  • 2