TR/Vundo.Gen et TR/PCK.Tdss.Z.230 Résolu/Fermé

Question

Bonjour,

Presque tout est dans le titre, mon antivirus Aviraantivir n'arrête pas de me détecter ces deux virus :

Dans le fichier 'C:\Windows\System32	dlclk.dll'
un virus ou un programme indésirable 'TR/PCK.Tdss.Z.230' [trojan] a été détecté.

Dans le fichier 'C:\Windows\System32	dlcmd.dll'
un virus ou un programme indésirable 'TR/Vundo.Gen' [trojan] a été détecté.

J'ai eu beau essayer de les mettre en quarantaine ou de les supprimer, rien n'y fait, j'ai (presque tout essayer : spybot, malwarebytes,.... et autres logiciels.

merci de m'aider à résoudre ce problème, les détections avira sont assez énervante venant à tout bout de champs.

fix200 · Accepted Answer

Re,

Salut....ca sent le patch ^^ 
Et le CFScript ^^

fix200 · Answer

Salut,

Télécharge ZHPDiag (de Nicolas Coolman) et enregistre le sur ton Bureau.

&#x25B6; Double clique sur ZHPDiag.exe pour lancer l'installation et suis les instructions , n'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

&#x25B6; Double clique sur le raccourci ZHPDiag sur ton Bureau. (l'outil a créé 2 icônes ZHPDiag et ZHPFix) 

&#x25B6; Clique sur le "Tournevis" puis sur Tous, puis décoche les cases O45 et O61.

&#x25B6; Clique sur la loupe pour lancer l'analyse.

&#8658; Laisse l'outil travailler, il peut être assez long ...

&#x25B6; Une fois terminé , le rapport s'affiche : clique sur bouton "Disquette" pour sauvegarder le rapport obtenu .

&#x25B6; Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

&#x25B6; Pour le transmettre ouvre ce lien

* Clique sur Parcourir et cherche le fichier ci-dessus.

* Clique sur Ouvrir.

* Clique sur "Cliquez ici pour déposer le fichier".

* Un lien de cette forme est ajouté dans la page :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

&#x25B6; Copie ce lien dans ta réponse.


+

fix200 · Answer

Re,

Retard de deux minutes héhé ^^

https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230#1


;))

garywald · Answer

ok doucement doucement, je commence par quoi

salut a tout les deux ^^

fix200 · Answer

Re,

Ok doucement doucement, je commence par quoi

salut a tout les deux ^^

ça:
https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230#1

Lu nathandre ;))

+

garywald · Answer

merci de vos réponses rapides, j'ai fait ce qu'il fallait :

http://www.cijoint.fr/cjlink.php?file=cj200912/cijbIhFV6m.txt

fix200 · Answer

Je pars manger, quand je reviens je regarderai ton rapport.

@+

garywald · Answer

okay je vais y aller aussi, je reviens vers 12h 30 merci pour votre aide. ^^

see you soon

fix200 · Answer

Me revoilà .

Belles infections ... y a du boulot ^^

&#x25B6; Sous Vista & Seven :

Désactive l'UAC qui peut gêner fortement la procédure de désinfection. :
Pour Vista :

&#x25B6; Menu Démarrer > Panneaux de configuration .

&#x25B6; Clique sur l'icône " Comptes d'utilisateurs " puis sur " Activer ou désactiver le contrôle des comptes d'utilisateurs " .

&#x25B6; Décoche la case : " Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur "

&#x25B6; Valide par OK , il sera demandé de redemarrer le PC , fais le ! .

&#x25B6; Pour t'aider : Tutoriel 1 - Tutoriel 2 - Tutoriel 3

Pour Seven :
http://pagesperso-orange.fr/NosTools/uac_win7.html
https://www.androidworld.fr/

========================

&#x25B6; TRÈS IMPORTANT : 
-> Pendant toute la procédure de désinfection , vérifie que l'UAC soit bien désactivée.
-> Exécute toujours les programmes de désinfection en tant qu'administrateur ( Clic droit > "Exécuter en tant qu'admin..." ) 

=========================

Désinstalle:
- Uniblue DriverScanner 2009
- Uniblue RegistryBooster 2009
- Uniblue SpeedUpMyPC 2009
- Avast avec cet outil: http://files.avast.com/files/eng/aswclear.exe


=========================

&#x25B6; Lance ZHPFix depuis le raccourci qui est sur ton bureau .

&#x25B6; Une fois l'outil ouvert , clique sur le bouton [ H ] ( "coller les ligne Helper" ) .

&#x25B6; Ouvre ce lien puis copie colle tout le texte qui se trouve dedans et colle le dans l'encadré principal:

http://www.cijoint.fr/cjlink.php?file=cj200912/cijZP1l6Ve.txt

&#x25B6; Clique sur le bouton [ OK ] .

> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !


&#x25B6; Clique sur le bouton [ Tous ] . Vérifie que toutes les lignes soient bien cochées .

&#x25B6; Enfin clique sur le bouton [ Nettoyer ] .

&#8658; ! Laisse travailler l'outil et ne touche à rien !

&#8658; Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

&#x25B6; Une fois terminé, un rapport s'affiche : copie-colle tout son contenu dans ta prochaine réponse.

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt )


=========================

Tu as un infection Navipromo 

Les programmes suivants sont a éviter :

- Funky Emoticons
- Games-Attack
- Original-Solitaire
- Go-Astro
- GoRecord
- HotTVPlayer
- Live-Player
- MailSkinner
- Messenger Skinner
- Instant Access
- InternetGameBox
- Sudoplanet
- WebMediaPlayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
- SuperSexPlayer
- Sur le site www.games-desktop.com (n'allez pas dessus!!)


Télécharge Navilog1 (de IL-MAFIOSO) sur ton bureau.


&#x25B6; Ensuite double clique sur Navilog1.exe pour lancer l'installation.

&#x25B6; Une fois l'installation terminée,fais un clic droit sur le raccourci Navilog1 présent sur le bureau et choisis "exécuter en tant qu'administrateur"

&#x25B6; Laisse-toi guider. Au menu principal, choisis 1 et valides.

&#x25B6; Patiente jusqu'au message :
****** Scan terminé le ..... ****** 

&#x25B6; Appuie sur une touche comme demandé, le bloc notes va s'ouvrir.

&#8594; Copie-colle l'intégralité dans une réponse. Referme le bloc notes

NOTE: Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

=========================

Télécharge AD-Remover ( de C_XX ) sur ton bureau 

! Déconnecte toi et ferme toutes applications en cours ! 

&#x25B6; Double clique sur "AD-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#x25B6; fais un clic droit sur le raccourci Ad-remover qui est sur ton bureau et choisis "exécuter en tant qu'administrateur".
 
&#x25B6; Au menu principal choisis l'option "L" et tape sur [entrée] .

&#x25B6; Laisse travailler l'outil et ne touche à rien ! . 

&#8594; Poste le rapport qui apparait à la fin sur le forum.

Notes:

1- Le rapport est sauvegardé aussi sous C:\Ad-report-clean.log  
2- "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

=========================

Refais un scan ZHPDiag, coche bien toutes les options (sauf la 045 et 061), poste le nouveau rapport obtenu (via Cijoint).

@+
=)

garywald · Answer

dsl je n'arrive pas a recuperer ton lien, je ne trouve que une ligne, je pense qu'il y a pus qu'une chose car tu parle "des" cases. peut tu trouver un autre moyen de me transmettre le document?

fix200 · Answer

Re,

Oui effectivement il n ya qu'une seule ligne à virer.
Tu peux le faire .

garywald · Answer

voila le compte rendu :

ZHPFix v1.12.22  by Nicolas Coolman - Rapport de suppression du 08/12/2009 13:36:53
Fichier d'export Registre : C:\ZHPExportRegistry-08-12-2009-13-36-53.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O20 - Winlogon Notify: xxop81 - C:\Windows\System32\xxop81.dll  => Clé absente

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\system32\xxop81.dll  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 0
Autre : 0


End of the scan

merci de vos réponse si rapide :D

fix200 · Answer

Vu,

Continue donc ... =)

garywald · Answer

recoucou =)

j'ai commencé le navilog, mais tout marché bien, mais à un moment, il me met que l'utilitaire QGREP a cessé de fonctionner et ensuite, il continue après que j'ai mis terminer, puis il le remet et la après se fut l'ecran bleu mais sans rien dessus et j'ai du l'arrêter pour venir te prévenir. voila que dois je faire "homme qui sait parler à l'oreille des ordinateurs"

fix200 · Answer

Re,

Bizarre.

Supprime Navilog1.

*  Redémarre ton ordinateur

*  Après le petit "bip" durant la phase de démarrage de Windows (avant la fenêtre de chargement), tapote la touche F8 jusqu'à à l'apparition du menu d'options avancées.

*  Choisis l'option "Démarrer Windows en mode sans échec avec prise en charge réseau" puis appuie sur [entré]

* Ouvre ta session habituelle.

* Regarde mon post, puis réessaye de lancer navilog1.

garywald · Answer

je doit laisser l'ordinateur de coté pour une demi heure/une heure.

Merci de votre patience.

A tout à l'heure.

PS : comment desactiver un son de demarrge. j'ai un ordinateur LENOVO, et lors du logo, tout au debut, avant la touche F8, il y a une petite musique tres bruyante, comment l'enlever, je ne le trouve pas dans son.

fix200 · Answer

Je doit laisser l'ordinateur de coté pour une demi heure/une heure. 
OK.
Parcontre je vais pas tarder à partir ...
je reviendrai demain, car je suis occupé le soir.


comment desactiver un son de demarrge. j'ai un ordinateur LENOVO, et lors du logo, tout au debut, avant la touche F8, il y a une petite musique tres bruyante, comment l'enlever, je ne le trouve pas dans son.
je sais pas, désolé. :S


Bonne journée.
:)

jorginho67 · Answer

Salut

Petite intrusion pour essayer d'avancer...


Je commencerais par ceci :

Dans le fichier ' C:\Windows\System32	dlclk.dll '
un virus ou un programme indésirable 'TR/PCK.Tdss.Z.230' [trojan] a été détecté.


Ouvre MBAM, et sous l'onglet Rapports/logs, copi/colle ici le contenu du dernier rapport en date 

On y vera plus clair.

Mieux, faire un nouveau scan avec, et poster ici le rapport.

fix200 · Answer

Re,

Salut jorginho ;)

Pour MBAM, ne t'inquiète pas: c'est programmé après ça:
https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230#9

J'ai bien vu que c'est TDSS (et c'est pour ça que j'ai pris le topic), on va voir tout ça après.

Merci quand même d'avoir intervenu ;)


++

garywald · Answer

recoucou, dsl mais même en mode sans echec, j'ai le message qui revient. Dois je passer tout de suite a la suite??

fix200 · Answer

Salut,

OK, passe à la suite ensuite en verra...

garywald · Answer

Le scan reste bloqué sur 4 % que dois je faire?

fix200 · Answer

Le scan de AD-R ?

gen-hackman · Answer

salut....ca sent le patch ^^

gen-hackman · Answer

le C tout court d'abord ^^

fix200 · Answer

Bien évidement ;)

EDIT: merci pour les +1 :o)

jorginho67 · Answer

Re;

Et le rapport MBAM ???

Cette nouvelle variante de TDSS est particulièrement coriace, faut laisser les toolbards pour la fin et traiter TDSS en premier.

;)

fix200 · Answer

Re,


(dsl du petit retard ^^)

Cette nouvelle variante de TDSS est particulièrement coriace, faut laisser les toolbards pour la fin et traiter TDSS en premier.
-> Oki ... donc c'est une variante différente que les autres.

Et le rapport MBAM ??? 

--> garywald, stop tout et: colle nous le rapport de malwarebytes' qui se trouve dans l onglet 'rapports logs'

Merci pour le conseil Jorginho67.  :)

garywald · Answer

re coucou, ouahhh que de monde^^ merci à tous pour l'aide que vous apportez...j'ai fait tout de suite un examen rapide de malwarebytes et voila le rapport :

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3319
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18828

09/12/2009 14:23:27
mbam-log-2009-12-09 (14-23-27).txt

Type de recherche: Examen rapide
Eléments examinés: 109580
Temps écoulé: 5 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

fix200 · Answer

Heu ... j'ai besoin de l'ancien rapport là ou il a trouvé des infections.

garywald · Answer

et voila le rapport du precedent scan, le premier que j'ai fait : il date du 08 12 2009

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3319
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18828

08/12/2009 11:02:00
mbam-log-2009-12-08 (11-02-00).txt

Type de recherche: Examen rapide
Eléments examinés: 109488
Temps écoulé: 5 minute(s), 43 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
C:\Users\Géraud\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (Rogue.Eorezo) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\softwarehelper (Rogue.Eorezo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Géraud\Local Settings\Application Data\oowggnoo_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\Géraud\Local Settings\Application Data\oowggnoo_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\Géraud\Local Settings\Application Data\oowggnoo.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\Géraud\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Users\Géraud\Local Settings\Application Data\ljhfkbg_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.

fix200 · Answer

Re, On attaque avec une force puissante, car là ça vas pas très bien, surtout avec une infection tibs ... Si vous êtes sous Vista Désactivez l'UAC /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS /!\ _________________________________________________________________ >>>>>>>>>> ! Le logiciel qui suit n'est pas a utiliser a la légère ! <<<<<<<<<< > /!\ Ce logiciel est TRÈS PUISSANT et peut causer des dégâts sur ton système /!\ < >>>>>>>> ! Prends ton temps pour lire les tutoriels et les indications ! <<<<<<<< ========================================================= ==========>>> !! A lire, Impératif !! <<<========== Télécharge ComboFix (de sUBs) et enregistre le sur ton bureau et pas ailleurs. AVANT d'utiliser ComboFix : ▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\ ▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!). ( Tutoriel si besoin ) ▶ Double clique sur ComboFix.exe afin de le lancer (Sous Vista: Clique droit et choisir " Exécuter en tant qu'administrateur") ▶ Note : Sous XP : L'outil va te demander si tu souhaite installer la console de récupération (image) . Reconnecte toi , Puis clique sur "YES" , et une fois la console installée : ! Déconnecte toi d'internet , (très important) !. ▶ Répond par Oui / Yes au message d'avertissement , pour que le programme commence à procéder à l'analyse du pc. !!!!! NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS, CLAVIER.....) !!!!! ▶ A la fin du scan , il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection , laisse le travailler. ▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc Notes en fin d'analyse, ▶ Réactive toutes tes défenses , reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse * Note : (Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)

garywald · Answer

oulaaa tu mfait peur là, okay je vais le faire, mais pas tout de suite.
Je ne peu pas fermer tout les programme, en meme temps, je travail ;) je le fait tout à l'heure.

Merci de l'aide, je le fait au plus vite

fix200 · Answer

Re,

Oulaaa tu mfait peur là, okay je vais le faire, mais pas tout de suite.
Je ne peu pas fermer tout les programme, en meme temps, je travail ;) je le fait tout à l'heure.
Lol, ce n'est qu'un avertissement ;)
parcontre tu dois fermer tous les programmes, car ça risque de planter ton PC.

garywald · Answer

Pour être sur de tous les avoir fermer, je le vois où??

fix200 · Answer

Re,

Pour être sur de tous les avoir fermer, je le vois où??
Comment ça ???????????
Je voulais dire: assure toi qu'aucun programme n'est ouvert c'est tout. (dans ta barre des taches)

garywald · Answer

coucou, rolala  ca fut pas facile, il me fait redémarrer a chaque fois car, il dit qu'il a detecté la présence d'un rootkit.....
Après de nombreux redémarrage, il commence a afficher les étapes, étape 1, étape 2....

et à un moment, écran bleu avec des trucs marqué dessus pendant 1 seconde et hop redémarrage de l'ordinateur, et aucun document texte indiquant la fin du scan dans le dossier C:\. Ça s'est passé deux fois :p

Je ne sais pas quoi faire si même combofix ne marche pas :/

gen-hackman · Answer

salut essaie de passer Combofix en mode sans echec avec prise en charge reseau

l'as-tu renommé ?

fix200 · Answer

Arf ...

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

&#x25B6; Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer.

&#x25B6; Lance Gmer.

&#x25B6; Clique sur l'onglet " Rootkit ",lance le scan. des lignes rouges peuvent apparaitre.


* Les lignes rouges indiquent la présence d'un rootkit. Poste moi le rapport gmer :

&#x25B6; Clique sur copy.

&#x25B6; Ouvre le bloc note > Edition > Coller.

&#x25B6; Poste le rapport .

gen-hackman · Answer

3s d'avance....:(

fix200 · Answer

Re,

Tiens ... j'avais pas vu que tu as posté avant moi ... ;)
Je trouve ta solution bonne ... essayons.

Garywald: essai ça :
> https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=2#39

plus précisément:

- Redémarre ton ordinateur
- Après le petit "bip" durant la phase de démarrage de Windows (avant la fenêtre de chargement), tapote la touche F8 jusqu'à à l'apparition du menu d'options avancées.
- Choisis l'option "Démarrer Windows en mode sans échec avec prise en charge réseau" puis appuie sur [entré]
- Choisis ta session habituelle.

Fais ensuite ceci:

- Fais un clic droit ici
- Choisis "Enregistrer la cible du lien..." Au lieu de Combofix.exe -> Tape Moi.exe .
- Clique sur "enregistrer" et laisse le téléchargement ce faire.
- Ressaye ensuite de lancer combofix, colle le rapport obtenu.

Si elle fonctionne pas: fais ça: 
> https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=3#40

jorginho67 · Answer

Bizarre...

:\Windows\System32	dlclk.dll

MBAM aurait du le voir, hors, ce n'est pas le cas...

Va pour Combofix

ps) Je suis le topic pour d'éventuelles remontées chez les devs'

@+

fix200 · Answer

Re,

Peut-être que antivir l'a supprimé ...

ps) Je suis le topic pour d'éventuelles remontées chez les devs' 
Cool :)

gen-hackman · Answer

oui jorginho c'est exactement ce que je disais à Nathandre en mp y a plus d une heure ^^

garywald · Answer

non je ne l'ai pas renommer, je dois le renommer en quoi?

J'ai lancer Gmer, tant qu'a faire, si je peux me debarasser des rootkit ca facilitera le combofix

gen-hackman · Answer

je dois le renommer en quoi? 

en "Garywald" si tu veux

garywald · Answer

pfff ca beug toujours autant, je sais plus quoi faire, jai plusieur fichier combofix tous renomer sur mon bureau, j'ai toujours ce rootkit de ***** qui empeche combofix de faire son boulot......

gen-hackman · Answer

Télécharge OTL de OLDTimer

Ferme toutes tes fenêtres actives.

Double clique sur l'icône pour le lancer.

Copie colle ces instructions dans "Custom Scan" :

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
iaStor.sys
atapi.sys
/md5stop
CREATERESTOREPOINT




Clique sur le bouton "Quick Scan".

Ne change pas les réglages par défaut, sauf si l'outil te le demande.

Le scan devrait être rapide.

A la fin du scan, le bloc-notes s'ouvrira, et les fichiers OTL.Txt et Extras.Txt seront sauvegardés sur ton Bureau.

Transmet les dans des liens Cijoint.


(clique sur Cijoint

Clique sur Parcourir et cherche ton Bureau (en général dans C:\Documents and settings
om_de_te_session).

Sélectionne le fichier OTL.Txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200988/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse. )

Fais de même pour Extras.txt

gen-hackman · Answer

hello avant je donnais mes sources mais on s'est moqué de moi alors je dis plus rien ^^

fix200 · Answer

Je ne vois pas pourquoi ^^


Allez au sérieux :
https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=3#49

garywald · Answer

coucou^^ nouvelle journée, nouveaux ennuis ^^

alors voila : je commence le scan en faisant ce que tu m'a demandé sans rien omettre, mais lorsqu'il arrive à scanné cette partie : wudfsvc, le logiciel ne répond plus. Mais, je n'ai pas branché mon disque dur externe, pensez vous que cela soit la consequence du ceci? (je n'ai pas mon disque dur sur moi, mais j'ai des raccourcis menant vers le disque dur.....sur mon ordinateur (pour des jeux principalement)

gen-hackman · Answer

fais le en mode sans echec

fix200 · Answer

Re,

alors voila : je commence le scan en faisant ce que tu m'a demandé sans rien omettre, mais lorsqu'il arrive à scanné cette partie : wudfsvc, le logiciel ne répond plus. Mais, je n'ai pas branché mon disque dur externe, pensez vous que cela soit la consequence du ceci? (je n'ai pas mon disque dur sur moi, mais j'ai des raccourcis menant vers le disque dur.....sur mon ordinateur (pour des jeux principalement)
Arf...

Essai ce lien pour Combofix:
http://ww38.toofiles.com/fr/oip/documents/exe/reader_sl.html

( c'est Combofix renommé en Reader_sl pour tromper l'infection puisque reader_sl est un processus en cours. )

Tiens nous au courent ;)

garywald · Answer

ok mais je fais d'abord combofix ou d'abord le premier truc que tu m'a demandé plus haut....
PS je désinstall comment tous les autres combofix que j'ai sur mon bureau?

fix200 · Answer

Mdr^^

Fais combofix, puis otl.

garywald · Answer

et pour desinstaller tous les autres combofix?

gen-hackman · Answer

clic droit supprimer

garywald · Answer

pas con l'ordi..... lol ..... il m'a dit que je n'avais pas le droit de le renomer cmme ca, que je devais le faire de préférence avec des caractères alpha numériques, puis il l'a renomer de lui même.....^^

que dois je faire patron!!

fix200 · Answer

Re,

regarde bien : https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=3#55
le fichier est déjà renommé, pas besoin de le renommer une autre fois ... ;)

garywald · Answer

je sais bien, j'ai pas essayer de le renommer, il s'en ai chargé tout seul comme un grand^^

bon donc je recommence, je te dit dans quelques minutes ce qu'il en est.

fix200 · Answer

Re,

bon donc je recommence, je te dit dans quelques minutes ce qu'il en est.
OK ;)

garywald · Answer

et voila il 'a renommer en combofix.exe.... Il est tétu :p

fix200 · Answer

ça sent très mauvais ... :(

Fais ça en mode sans échec:
https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=3#49

jorginho67 · Answer

Re,

Essaye de lui faire paser ToolsCleaner, et reprends du début avec CF...

;-)

gen-hackman · Answer

toolscleaner ne supprime pas les CF renommés il me semble....

fix200 · Answer

Supprime tous les combofix renommés.


ENSUITE:

Télécharge Toolscleaner sur ton Bureau 

&#x25B6; Sous XP : Double-clique sur ToolsCleaner2.exe

&#x25B6; Sous Vista : Fais un clic droit sur ToolsCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur"

&#x25B6; Clique sur Recherche et laisse le scan se terminer.

&#x25B6; Clique sur Suppression pour finaliser.

&#x25B6; Tu peux, si tu le souhaites, te servir des Options facultatives.

&#x25B6; Clique sur Quitter (et pas sur la croix rouge !) , pour que le rapport puisse se créer.

&#x25B6; Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

ENSUITE:

Essaye de lancer combo:
http://ww38.toofiles.com/fr/oip/documents/exe/reader_sl.html

fix200 · Answer

Merci les gars ;)

Supprime tous les combofix renommés.


ENSUITE:

Télécharge Toolscleaner sur ton Bureau 

&#x25B6; Sous XP : Double-clique sur ToolsCleaner2.exe

&#x25B6; Sous Vista : Fais un clic droit sur ToolsCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur"

&#x25B6; Clique sur Recherche et laisse le scan se terminer.

&#x25B6; Clique sur Suppression pour finaliser.

&#x25B6; Tu peux, si tu le souhaites, te servir des Options facultatives.

&#x25B6; Clique sur Quitter (et pas sur la croix rouge !) , pour que le rapport puisse se créer.

&#x25B6; Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

ENSUITE:

Essaye de lancer combo:
http://ww38.toofiles.com/fr/oip/documents/exe/reader_sl.html

garywald · Answer

c'est normal que dès le début, il se mette en ne répond pas ....XD chuis dsl je le fait pas exprès !!

fix200 · Answer

Tu parles de quoi? ToolsCleaner ?

garywald · Answer

oui

jorginho67 · Answer

Si ça ne marche pas avec Tools Cleaner, essaye les commandes suivantes

Désinstallation de Combofix

Clique sur => Démarrer => Exécuter

Tapes ComboFix /Uninstall 

ATTENTION a bien laisser un espace entre le X et le /

Clique sur OK

Recommence avec les versions renommées ( en mettant le nom que tu as utilisé pour les renommer )

garywald · Answer

Le T cleaner que j'avais laisser marché, s'est déboquer et m'a laisser ceci, je te le passe... par contre, l fichier combofix se fait renommer meme apres le tcleaner

garywald · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\fixnavi.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Ad-Remover\BACKUP\Ad-R.exe: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\Géraud\AppData\Local\VirtualStore\Program Files\ZHPDiag: trouvé !
C:\Users\Géraud\Desktop\Navilog1.exe: trouvé !
C:\Users\Géraud\Desktop\Ad-R.exe: trouvé !
C:\Users\Géraud\Documents\Downloads\vundoFix.exe: trouvé !
C:\Windows\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files\Ad-Remover\BACKUP\Ad-R.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Users\Géraud\Desktop\Navilog1.exe: supprimé !
C:\Users\Géraud\Desktop\Ad-R.exe: supprimé !
C:\Users\Géraud\Documents\Downloads\vundoFix.exe: supprimé !
C:\Windows\mbr.exe: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Users\Géraud\AppData\Local\VirtualStore\Program Files\ZHPDiag: supprimé !

fix200 · Answer

Re,

Le fichier Reader_sl se renomme automatiquement en 'Combofix.exe' ?

Essaye ça:
https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=3#40

garywald · Answer

GMER 1.0.15.15273 - http://www.gmer.net
Rootkit scan 2009-12-10 15:30:38
Windows 6.0.6002 Service Pack 2
Running: g2bx4t4k.exe; Driver: C:\Users\GRAUD~1\AppData\Local\Temp\ugtyikod.sys


---- System - GMER 1.0.15 ----

SSDT            A47CEEDC                                                                                                                                          ZwCreateThread
SSDT            A47CEEC8                                                                                                                                          ZwOpenProcess
SSDT            A47CEECD                                                                                                                                          ZwOpenThread
SSDT            A47CEED7                                                                                                                                          ZwTerminateProcess

INT 0x81        ?                                                                                                                                                 92109CD0

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetEvent + 221                                                                                                                     82ABC964 4 Bytes  [DC, EE, 7C, A4] {FSUB ST(6), ST; JL 0xffffffffffffffa8}
.text           ntkrnlpa.exe!KeSetEvent + 3F1                                                                                                                     82ABCB34 4 Bytes  [C8, EE, 7C, A4] {ENTER 0x7cee, 0xa4}
.text           ntkrnlpa.exe!KeSetEvent + 40D                                                                                                                     82ABCB50 4 Bytes  [CD, EE, 7C, A4] {INT 0xee; JL 0xffffffffffffffa8}
.text           ntkrnlpa.exe!KeSetEvent + 621                                                                                                                     82ABCD64 4 Bytes  [D7, EE, 7C, A4] {XLATB ; OUT DX, AL ; JL 0xffffffffffffffa8}
.rsrc           C:\Windows\system32\DRIVERS\iaStor.sys                                                                                                            entry point in ".rsrc" section [0x896D8000]
.text           C:\Windows\system32\DRIVERS
vlddmkm.sys                                                                                                          section is writeable [0x8E00D320, 0x3F5D77, 0xE8000020]
PAGE            spsys.sys!?SPVersion@@3PADA + 1ABF                                                                                                                A167103F 110 Bytes  [8B, FF, 55, 8B, EC, 8B, 45, ...]
PAGE            spsys.sys!?SPVersion@@3PADA + 1B2F                                                                                                                A16710AF 1 Byte  [16]
PAGE            spsys.sys!?SPVersion@@3PADA + 1B2F                                                                                                                A16710AF 128 Bytes  [16, 3B, C8, 75, E2, B0, 01, ...]
PAGE            spsys.sys!?SPVersion@@3PADA + 1BB0                                                                                                                A1671130 6 Bytes  [0E, 83, 78, 14, 01, 75]
PAGE            spsys.sys!?SPVersion@@3PADA + 1BB7                                                                                                                A1671137 2298 Bytes  [83, 78, 18, 37, 75, 02, B3, ...]
PAGE            ...                                                                                                                                               

---- User code sections - GMER 1.0.15 ----

.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtCreateFile + 6                                               778543DA 4 Bytes  [28, 00, 06, 00]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtCreateFile + B                                               778543DF 1 Byte  [E2]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtMapViewOfSection + 6                                         77854B2A 1 Byte  [28]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtMapViewOfSection + 6                                         77854B2A 4 Bytes  [28, 03, 06, 00]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtMapViewOfSection + B                                         77854B2F 1 Byte  [E2]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenFile + 6                                                 77854BBA 4 Bytes  [68, 00, 06, 00]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenFile + B                                                 77854BBF 1 Byte  [E2]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcess + 6                                              77854C3A 4 Bytes  [A8, 01, 06, 00]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcess + B                                              77854C3F 1 Byte  [E2]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcessToken + B                                         77854C4F 1 Byte  [E2]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcessTokenEx + 6                                       77854C5A 4 Bytes  [A8, 02, 06, 00]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcessTokenEx + B                                       77854C5F 1 Byte  [E2]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThread + 6                                               77854CAA 4 Bytes  [68, 01, 06, 00]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThread + B                                               77854CAF 1 Byte  [E2]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThreadToken + 6                                          77854CBA 4 Bytes  [68, 02, 06, 00]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThreadToken + B                                          77854CBF 1 Byte  [E2]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThreadTokenEx + B                                        77854CCF 1 Byte  [E2]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtQueryAttributesFile + 6                                      77854D5A 4 Bytes  [A8, 00, 06, 00]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtQueryAttributesFile + B                                      77854D5F 1 Byte  [E2]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtQueryFullAttributesFile + B                                  77854E0F 1 Byte  [E2]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtSetInformationFile + 6                                       778552EA 4 Bytes  [28, 01, 06, 00]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtSetInformationFile + B                                       778552EF 1 Byte  [E2]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtSetInformationThread + 6                                     7785533A 4 Bytes  [28, 02, 06, 00]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtSetInformationThread + B                                     7785533F 1 Byte  [E2]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtUnmapViewOfSection + 6                                       778555DA 1 Byte  [68]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtUnmapViewOfSection + 6                                       778555DA 4 Bytes  [68, 03, 06, 00]
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtUnmapViewOfSection + B                                       778555DF 1 Byte  [E2]
.text           C:\Program Files\RocketDock\RocketDock.exe[2056] USER32.dll!SetWindowPos                                                                          762F35E3 5 Bytes  JMP 02BA1040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\RocketDock\RocketDock.exe[2056] USER32.dll!GetIconInfo                                                                           762F4435 5 Bytes  JMP 02BA1120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\RocketDock\RocketDock.exe[2056] USER32.dll!DrawIconEx                                                                            762F448E 5 Bytes  JMP 02BA11E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\Windows Sidebar\sidebar.exe[2372] USER32.dll!SetWindowPos                                                                        762F35E3 5 Bytes  JMP 03131040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\Windows Sidebar\sidebar.exe[2372] USER32.dll!GetIconInfo                                                                         762F4435 5 Bytes  JMP 03131120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\Windows Sidebar\sidebar.exe[2372] USER32.dll!DrawIconEx                                                                          762F448E 5 Bytes  JMP 031311E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\Windows Sidebar\sidebar.exe[2432] USER32.dll!SetWindowPos                                                                        762F35E3 5 Bytes  JMP 02F51040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\Windows Sidebar\sidebar.exe[2432] USER32.dll!GetIconInfo                                                                         762F4435 5 Bytes  JMP 02F51120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\Windows Sidebar\sidebar.exe[2432] USER32.dll!DrawIconEx                                                                          762F448E 5 Bytes  JMP 02F511E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[3016] USER32.dll!SetWindowPos                                                                    762F35E3 5 Bytes  JMP 026D1040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[3016] USER32.dll!GetIconInfo                                                                     762F4435 5 Bytes  JMP 026D1120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[3016] USER32.dll!DrawIconEx                                                                      762F448E 5 Bytes  JMP 026D11E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Windows\Explorer.EXE[3344] USER32.dll!SetWindowPos                                                                                             762F35E3 5 Bytes  JMP 03E01040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Windows\Explorer.EXE[3344] USER32.dll!GetIconInfo                                                                                              762F4435 5 Bytes  JMP 03E01120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Windows\Explorer.EXE[3344] USER32.dll!DrawIconEx                                                                                               762F448E 5 Bytes  JMP 03E011E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Windows\system32\Dwm.exe[3560] USER32.dll!SetWindowPos                                                                                         762F35E3 5 Bytes  JMP 00241040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Windows\system32\Dwm.exe[3560] USER32.dll!GetIconInfo                                                                                          762F4435 5 Bytes  JMP 00241120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Windows\system32\Dwm.exe[3560] USER32.dll!DrawIconEx                                                                                           762F448E 5 Bytes  JMP 002411E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE[4164] kernel32.dll!SetUnhandledExceptionFilter                                             7600A84F 4 Bytes  JMP 62205436 C:\Program Files\Common Files\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)
.text           C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE[4164] USER32.dll!SetWindowPos                                                              762F35E3 5 Bytes  JMP 02FC1040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE[4164] USER32.dll!GetIconInfo                                                               762F4435 5 Bytes  JMP 02FC1120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE[4164] USER32.dll!DrawIconEx                                                                762F448E 5 Bytes  JMP 02FC11E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[4616] USER32.dll!SetWindowPos                                                  762F35E3 5 Bytes  JMP 021F1040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[4616] USER32.dll!GetIconInfo                                                   762F4435 5 Bytes  JMP 021F1120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text           C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[4616] USER32.dll!DrawIconEx                                                    762F448E 5 Bytes  JMP 021F11E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                                            tvtumon.sys (Windows Update Monitor Driver/Lenovo)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                                                           Wdf01000.sys (WDF dynamique/Microsoft Corporation)

Device          \Driver\iaStor \Device\Ide\iaStor0                                                                                                                [8964B716] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device          \Driver\iaStor \Device\Ide\IAAStorageDevice-0                                                                                                     [8964B716] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device          \Driver\iaStor \Device\Ide\IAAStorageDevice-1                                                                                                     [8964B716] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                                  
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                               C:\Program Files\DAEMON Tools\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                               0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                            0x7F 0x50 0xD5 0x90 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                                         
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                      0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                                   0x1D 0x5E 0x74 0x02 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                                   
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                             0x79 0xEB 0xB8 0x23 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                              
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                                   C:\Program Files\DAEMON Tools\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                                   0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                                0x7F 0x50 0xD5 0x90 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                                     
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                          0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                                       0x1D 0x5E 0x74 0x02 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                               
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                                 0x79 0xEB 0xB8 0x23 ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3DA0B77C-E463-2457-C94E-1BD1176A5BB4}                                   
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3DA0B77C-E463-2457-C94E-1BD1176A5BB4}@pafnboefbgmdfhchjcdijkbcagpnnjjj  0x6A 0x61 0x6C 0x67 ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}                                   
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}@hakjpbipdkfkmmep                  0x6E 0x62 0x70 0x63 ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}@jakjpbipdkfkmmepgbbb              0x66 0x61 0x70 0x63 ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}@pacjoeoneleefdgameklohmhbjhkhibm  0x62 0x61 0x6F 0x63 ...

---- Files - GMER 1.0.15 ----

File            C:\Windows\system32\DRIVERS\iaStor.sys                                                                                                            suspicious modification

---- EOF - GMER 1.0.15 ----

garywald · Answer

voila ^^ ce fut long

fix200 · Answer

Re,

Un fichier système est patché.

je te prépare la suite ...

garywald · Answer

merci :D  

on va y arriver continuons le combat

fix200 · Answer

Tu as le CD de windows sur la main ?

garywald · Answer

non on ne m'a rien donné, mon ordi avait vista installé.... J'ai découvert que la clé d'installation est sous mon ordinateur, mais je n'ai pas de CD du tout.

fix200 · Answer

Oh non!! ... :(

Donc on est obligés de lancer combofix pour désinfecter le fichier patché.
Mais le problème, c'est que combo ne se lance pas ...

Fais ce qui suit dans l'ordre:

- Redémarre ton ordinateur
- Après le petit "bip" durant la phase de démarrage de Windows (avant la fenêtre de chargement), tapote la touche F8 jusqu'à à l'apparition du menu d'options avancées.
- Choisis l'option "Démarrer Windows en mode sans échec avec prise en charge réseau" puis appuie sur [entré]
- Choisis ta session habituelle.

- Supprime tous les fichiers Combofix qui tu as téléchargé.
- Essaye ce lien pour Combo:
http://ww38.toofiles.com/fr/oip/documents/exe/reader_sl.html
- Renomme le en Moi.exe
- Dis moi si il se lance ou pas.

PS: je pense que je dois partir, la suite sera ce soir ou demain matin.

garywald · Answer

^^ merci pas de souci peut être à ce soir, ou à demain, moi aussi je vais devoir bouger :p

encore merci.

fix200 · Answer

Marché conclu. :)

Bonne journée

gen-hackman · Answer

sinon j en ai une version qui peut passer :

http://www.cijoint.fr/cjlink.php?file=cj200912/cijrhf1tyT.zip

fix200 · Answer

Re,

Ok merci gen ;)

@ garywald, tu peux faire ce qui est indiqué ici en utilisant la version de combofix proposée par G-H.

gen-hackman · Answer

avis aux moderateurs :

ce combofix n'est en aucun cas modifié ni "refaconné" , il est d'origine tel que le concepteur l'a fait

garywald · Answer

re bonjour....alors commencons la journée par un :

gen ton lien marche m'envoie un dossier compressé et dedans tadaaaaaaaaaaaa le fichier ne marche pas, il y a durant 2 miliseconde une fenêtre noire et pi plus rien.


alors j'ai réessayer ton lien fix et là il me dit touours que le fichier est renommer et que ca peut pas marcher. Du coup j'ai réessayer normalement et là, la presence d'un rootkit a été détecté, nous allons faire redémarrer votre machine, mais je trouve aussi dans la fenêtre bleu : Failed to get data for ENABLE LUA

et encore Impossible de trouver : C:\Qoobox\Combofix-quarantined-files.txt

voila, amis du jour que pouvez vous en tirer?

gen-hackman · Answer

l'as-tu dezippé ?

l'as tu executé avec le clic droit "executer en temps qu'administrateur" ?

garywald · Answer

of course

garywald · Answer

ahhhh oui j'ai oublié le plus amusant, on a un nouvel ami avec nous : 

Dans le fichier 'C:\Windows\System32	dlcmd.dll'
un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen' [trojan] a été détecté.

gen-hackman · Answer

c'est pas un nouvel ami tu en parles dans ton énoncé

garywald · Answer

alors il a muté, il a plus le meme nom !! Il n'y avait pas le CRYPT

gen-hackman · Answer

essaie ca :

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

&#9654 Télécharge List&Kill'em.scr et enregistre le sur ton bureau

&#9654 dezippe-le , (clic droit/ extraire.....)

Il ne necessite pas d'installation 

&#9654 double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654 laisse travailler l'outil

un rapport du nom de catchme apparait sur ton bureau , ignore-le , mais ne le supprime pas pour l instant

&#9654 Poste le contenu du rapport qui s'ouvre

(si le premier lien ne fonctionne pas : List_Kill'em.bat )

fix200 · Answer

Salut,

De passage, tu as le CD de tes drivers intel? car le fichier patché appartient a ça justement...
Tu peux faire la demande de gen: https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=5#95

garywald · Answer

salut, je n'ai eu aucun cd avec mon PC juste une notice, mais je crois, j'en suis pas sur, qu'il a partitionner l'ordi en en reservant une toute petite partie pour l'installation de vista, je ne sais pas si c'est possible :p

sinon le scan a beuguer, mais c'est de ma faute, je n'ai pas le temps de le refaire maintenant, je m'y remet ce soir ou demain (cette aprem j'ai exam ^^^)

fix200 · Answer

OK.

En attendant, je cherche une solution.

EDIT: ton pc est de marque Intel?

garywald · Answer

EEEuh mon PC est de marque lenovo, mais pour la marque intel, oui ya du intel centrino inside

:p   J'espère que j'ai bine répondu^^

fix200 · Answer

Ouvre ce lien : https://support.kaspersky.com/5350­

Télécharge TDSSkiller.zip sur ton Bureau.

Fais un clic droit, choisis Extraire tout et valider.

Un dossier TDSSkiller est créé sur le Bureau.

Clique sur Démarrer puis Exécuter

Fais un copier/coller la ligne suivante dans la boîte et ensuite cliquer "OK" :

"%userprofile%\bureau	dsskiller\TDSSKiller.exe" -l report.txt -v



Une fenêtre DOS va s'ouvrir et se refermera lorsque l'outil aura complété le travail.

Un fichier texte du nom de "report.txt" a été créé et sauvegardé dans le dossier tdsskiller ; copier/coller le contenu de ce rapport sur le forum. 

Source: Lyonnais92.

garywald · Answer

ca marche pas, en cliquant sur executer, il refuse et quand je le demarre directement du dossier, il y a une fenetre noire, qque resultat il me demande dappuyer sur une touche ce que je fait et hop la fenetre noire se ferme et rien n'est rajouté dans le dossier.

gen-hackman · Answer

et list_Kill'em en tant qu admin il donne quoi ?

garywald · Answer

il l'est mis automatiquement ( d'ailleurs j'ai pas compris pquoi)

gen-hackman · Answer

et il donne quoi ?

garywald · Answer

List'em by g3n-h@ckm@n 1.1.4.1 

Thx to Chiquitine29.....& CCM team 

User : Géraud (Utilisateurs) # PC-DE-GÉRAUD
Update on 09/12/2009 by g3n-h@ckm@n ::::: 17:00 
Start at: 19:58:11 | 11/12/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Core(TM)2 Duo CPU     T6400  @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18865
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 188,94 Go (48,62 Go free) | NTFS
D:\ -> Disque fixe local | 29,19 Go (23,97 Go free) [LENOVO] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local | 931,51 Go (632,31 Go free) [disque dur externe] | NTFS

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\Windows\System32\smss.exe 572
C:\Windows\system32\csrss.exe 640
C:\Windows\system32\wininit.exe 680
C:\Windows\system32\csrss.exe 696
C:\Windows\system32\services.exe 732
C:\Windows\system32\lsass.exe 748
C:\Windows\system32\lsm.exe 756
C:\Windows\system32\svchost.exe 888
C:\Windows\system32
vvsvc.exe 956
C:\Windows\system32\svchost.exe 984
C:\Windows\System32\svchost.exe 1020
C:\Windows\System32\svchost.exe 1080
C:\Windows\System32\svchost.exe 1112
C:\Windows\system32\svchost.exe 1148
C:\Windows\system32\svchost.exe 1232
C:\Windows\system32\SLsvc.exe 1248
C:\Windows\system32\svchost.exe 1284
C:\Windows\system32\winlogon.exe 1392
C:\Windows\system32\svchost.exe 1456
C:\Program Files\ATK Hotkey\ASLDRSrv.exe 1580
C:\Windows\system32undll32.exe 1688
C:\Windows\system32	askeng.exe 1724
C:\Windows\System32\spoolsv.exe 1768
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1804
C:\Windows\system32\svchost.exe 1816
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 584
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe 608
C:\Program Files\Bonjour\mDNSResponder.exe 644
C:\Folding@HomeCPU\1\Fah.exe 880
C:\Folding@HomeCPU\2\Fah.exe 964
C:\Program Files\Lenovo\ReadyComm\common\IGRS.exe 1096
C:\Windows\system32\PnkBstrA.exe 1972
C:\Folding@HomeCPU\2\FahCore_78.exe 456
C:\Windows\System32\IgrsSvcs.exe 2056
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 2072
C:\Folding@HomeCPU\1\FahCore_78.exe 2092
c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe 2200
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 2228
C:\Windows\system32\svchost.exe 2340
C:\Program Files\Lenovo\OneKey App\System Repair\UpdateMonitor.exe 2360
C:\Windows\System32\svchost.exe 2380
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE 2432
C:\Windows\system32\SearchIndexer.exe 2456
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 2616
C:\Windows\system32\wbem\wmiprvse.exe 3368
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe 3572
C:\Windows\system32\Dwm.exe 3816
C:\Windows\system32	askeng.exe 3860
C:\Windows\Explorer.EXE 3920
C:\Program Files\ATK Hotkey\Hcontrol.exe 4048
C:\Program Files\ATK Hotkey\MsgTranAgt.exe 1700
C:\Program Files\ATK Hotkey\LOSD.exe 2520
C:\Program Files\ATK Hotkey\ATKOSD.exe 2884
C:\Windows\RtHDVCpl.exe 2244
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe 3104
C:\Program Files\Common Files\Real\Update_OBealsched.exe 3080
C:\Program Files\Java\jre6\bin\jusched.exe 3048
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 3024
C:\Program Files\Windows Sidebar\sidebar.exe 3088
C:\Program Files\ATK Hotkey\WDC.exe 2252
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 2468
C:\Program Files\Stardock\CursorFX\CursorFX.exe 3540
C:\Windows\ehome\ehtray.exe 3536
C:\Program Files\RocketDock\RocketDock.exe 3560
C:\Program Files\SuperCopier2\SuperCopier2.exe 2748
C:\Users\Géraud\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe 3612
C:\Windows\ehome\ehmsas.exe 3748
C:\Program Files\Windows Sidebar\sidebar.exe 3964
C:\Program Files\Windows Live\Contacts\wlcomm.exe 3724
C:\Windows\system32\SearchProtocolHost.exe 4152
C:\Windows\system32\SearchFilterHost.exe 5808
C:\Windows\system32\conime.exe 3668
C:\Users\Géraud\Desktop\List_Killem\List_Kill'em.scr 2112
C:\Windows\system32\cmd.exe 4120
C:\Windows\system32\wbem\wmiprvse.exe 4536
C:\Users\Géraud\AppData\Local\Temp\21B4.tmp\pv.exe 3664

======================
Keys "Run" 
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Sidebar	REG_SZ         	C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
Google Update	REG_SZ         	"C:\Users\Géraud\AppData\Local\Google\Update\GoogleUpdate.exe" /c
msnmsgr	REG_SZ         	"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
CursorFX	REG_SZ         	"C:\Program Files\Stardock\CursorFX\CursorFX.exe"
ehTray.exe	REG_SZ         	C:\Windows\ehome\ehTray.exe
RocketDock	REG_SZ         	"C:\Program Files\RocketDock\RocketDock.exe"
SuperCopier2.exe	REG_SZ         	C:\Program Files\SuperCopier2\SuperCopier2.exe
CubeDesktop	REG_SZ         	
swg	REG_SZ         	"C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKEY_CURRENT_USER\software\microsoft\windows\currentversionun\AdobeUpdater

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
RtHDVCpl	REG_SZ         	RtHDVCpl.exe 
Adobe Reader Speed Launcher	REG_SZ         	"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 
Adobe ARM	REG_SZ         	"C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" 
GrooveMonitor	REG_SZ         	"C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" 
TkBellExe	REG_SZ         	"C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot 
SunJavaUpdateSched	REG_SZ         	"C:\Program Files\Java\jre6\bin\jusched.exe" 
avgnt	REG_SZ         	"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
ConsentPromptBehaviorAdmin	REG_DWORD      	2 (0x2) 
ConsentPromptBehaviorUser	REG_DWORD      	1 (0x1) 
EnableInstallerDetection	REG_DWORD      	1 (0x1) 
EnableSecureUIAPaths	REG_DWORD      	1 (0x1) 
EnableVirtualization	REG_DWORD      	1 (0x1) 
PromptOnSecureDesktop	REG_DWORD      	1 (0x1) 
ValidateAdminCodeSignatures	REG_DWORD      	0 (0x0) 
dontdisplaylastusername	REG_DWORD      	0 (0x0) 
legalnoticecaption	REG_SZ         	 
legalnoticetext	REG_SZ         	 
scforceoption	REG_DWORD      	0 (0x0) 
shutdownwithoutlogon	REG_DWORD      	1 (0x1) 
undockwithoutlogon	REG_DWORD      	1 (0x1) 
FilterAdministratorToken	REG_DWORD      	0 (0x0) 
EnableUIADesktopToggle	REG_DWORD      	0 (0x0) 
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername 

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveAutoRun	REG_DWORD      	67108863 (0x3ffffff) 
NoDriveTypeAutoRun	REG_DWORD      	323 (0x143) 

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
BindDirectlyToPropertySetStorage	REG_DWORD      	0 (0x0) 
NoDriveAutoRun	REG_DWORD      	67108863 (0x3ffffff) 
NoDriveTypeAutoRun	REG_DWORD      	323 (0x143) 

=============== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

===============

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{B5A7F190-DDA6-4420-B3BA-52453494E6CD}	REG_SZ         	Groove GFS Stub Execution Hook 

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe	REG_SZ         	C:\Program Files\FlashGet Network\FlashGet universal\FlashGet.exe:*:Enabled:Flashget2
C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdate.exe	REG_SZ         	C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdate.exe:*:Enabled:FGLiveUpdate
C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdateEx.exe	REG_SZ         	C:\Program Files\FlashGet Network\FlashGet universal\LiveUpdateEx.exe:*:Enabled:FGLiveUpdateEx
C:\Windows\TEMP\uwji.tmp	REG_SZ         	C:\Windows\TEMP\uwji.tmp:*:Enabled:uwji

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

=============== 
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 
EapHost : 0x3 
Wlansvc : 0x2 
SharedAccess : 0x4 
windefend : 0x2 
wuauserv : 0x2 
wscsvc : 0x2 

=========
 
=======
Drive :
=======

Défragmenteur de disque Windows
Copyright (c) 2006 Microsoft Corp.

Rapport d'analyse pour le volume C: 

    Taille du volume                	= 189 Go
    Espace libre                    	= 48.63 Go
    Étendue d'espace libre la plus grande 	= 3.67 Go
    Pourcentage de fragmentation des fichiers 	= 2 %

    Remarque : sur les volumes NTFS, les fragments de fichiers de plus de 64 Mo ne sont pas inclus dans les statistiques de fragmentation.

    Il n'est pas nécessaire de défragmenter ce volume. 	 

==========
Programs
==========

3D Reversi Deluxe
A123 AVI MPEG WMV ASF MOV  FLV to PSP Converter
Activation Assistant for the 2007 Microsoft Office suites
Adobe
AGEIA Technologies
Alwil Software
ATK Hotkey
Avira
BitTorrent
Bonjour
BoontyGames
Broadcom
Carbonite
CCleaner
Codemasters
Common Files
CpuIdle
CubeDesktop
Cucusoft
CyberLink
DAEMON Tools
desktop.ini
DivX
Dolby
EA GAMES
eMule
Everest Poker
Fantastic 4
Fichiers communs
FlashGet Network
GameSpy
GameSpy Arcade
Generic
Google
GRISOFT
ImTOO
InstallShield Installation Information
Intel
Internet Explorer
Java
League of Legends
Lenovo
LucasArts
Malwarebytes' Anti-Malware
Microsoft
Microsoft Games
Microsoft Office
Microsoft Office Outlook Connector
Microsoft Small Business
Microsoft SQL Server
Microsoft SQL Server Compact Edition
Microsoft Sync Framework
Microsoft Visual Studio
Microsoft Visual Studio 8
Microsoft Windows 7 Upgrade Advisor
Microsoft Works
Microsoft.NET
Motorola
Movie Maker
Mozilla Firefox
MSBuild
MSXML 4.0
Passware
Project64 1.6
Real
Realtek
Reference Assemblies
RocketDock
SGPSA
Skype
Spybot - Search & Destroy
Stardock
Steam
SuperCopier2
Synaptics
Ubisoft
Uniblue
Uninstall Information
Valve
VideoLAN
Vista Anti-Lag
Vista Flip 3D Activator
VistaCodecPack
WildGames
Windows Calendar
Windows Collaboration
Windows Defender
Windows Journal
Windows Live
Windows Live SkyDrive
Windows Live Toolbar
Windows Mail
Windows Media Player
Windows NT
Windows Photo Gallery
Windows Portable Devices
Windows Sidebar
WinRAR
Yahoo!

¤¤¤¤¤¤¤¤¤¤ Files/folders :

C:\Program Files\Carbonite  
C:\Program Files\Everest Poker  
C:\Program Files\Mozilla FireFox\Components\AskSearch.js  
C:\Program Files\SGPSA  
C:\Windows\mbr.exe  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools"  
"HKCU\Software\Grand Virtual"  
"HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}"  
"HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker"  
HKCU\SOFTWARE\EoRezo  
HKCU\SOFTWARE\ItsLabel  
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1  

=========
Rootkits
=========

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-11 20:05:46
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:7f,50,d5,90,dc,7e,87,e5,d8,11,cd,df,99,41,ea,8d,31,e0,28,f5,40,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,96,3e,d6,3c,7f,71,82,f3,82,20,29,73,86,7f,84,79,58,..
"khjeh"=hex:1d,5e,74,02,19,1d,39,bc,b7,5d,95,01,09,c1,30,11,d9,ca,35,e7,a3,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:79,eb,b8,23,f5,f9,92,dd,81,ca,75,b6,2b,40,91,24,86,75,76,fc,33,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:7f,50,d5,90,dc,7e,87,e5,d8,11,cd,df,99,41,ea,8d,31,e0,28,f5,40,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,96,3e,d6,3c,7f,71,82,f3,82,20,29,73,86,7f,84,79,58,..
"khjeh"=hex:1d,5e,74,02,19,1d,39,bc,b7,5d,95,01,09,c1,30,11,d9,ca,35,e7,a3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:79,eb,b8,23,f5,f9,92,dd,81,ca,75,b6,2b,40,91,24,86,75,76,fc,33,..

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3DA0B77C-E463-2457-C94E-1BD1176A5BB4}]
"pafnboefbgmdfhchjcdijkbcagpnnjjj"=hex:6a,61,6c,67,65,6a,6d,70,6f,69,67,68,6e,6e,68,68,6f,6a,69,68,00,..
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}]
"hakjpbipdkfkmmep"=hex:6e,62,70,63,66,69,62,6e,62,64,6b,63,69,6d,65,67,65,61,6e,62,63,..
"jakjpbipdkfkmmepgbbb"=hex:66,61,70,63,6c,69,61,62,6a,6c,6e,64,00,00
"pacjoeoneleefdgameklohmhbjhkhibm"=hex:62,61,6f,63,00,69

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

fais l option 2

fix200 · Answer

Fais l'option 2 de kill'em.

====

Supprime OTL.exe
Reprends cette méthode:
https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=3#49

garywald · Answer

Kill'em by g3n-h@ckm@n 1.1.4.1 
 
User : Géraud (Utilisateurs) # PC-DE-GÉRAUD
Update on 09/12/2009 by g3n-h@ckm@n ::::: 17:00 
Start at: 19:48:19 | 12/12/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Core(TM)2 Duo CPU     T6400  @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18865
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 188,94 Go (47,67 Go free) | NTFS
D:\ -> Disque fixe local | 29,19 Go (23,87 Go free) [LENOVO] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local | 931,51 Go (632,31 Go free) [disque dur externe] | NTFS
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\Windows\System32\smss.exe 504
C:\Windows\system32\csrss.exe 636
C:\Windows\system32\wininit.exe 676
C:\Windows\system32\csrss.exe 688
C:\Windows\system32\services.exe 724
C:\Windows\system32\lsass.exe 740
C:\Windows\system32\lsm.exe 748
C:\Windows\system32\svchost.exe 908
C:\Windows\system32
vvsvc.exe 972
C:\Windows\system32\svchost.exe 1000
C:\Windows\System32\svchost.exe 1048
C:\Windows\System32\svchost.exe 1088
C:\Windows\System32\svchost.exe 1116
C:\Windows\system32\svchost.exe 1132
C:\Windows\system32\svchost.exe 1244
C:\Windows\system32\SLsvc.exe 1260
C:\Windows\system32\svchost.exe 1316
C:\Windows\system32\winlogon.exe 1404
C:\Windows\system32\svchost.exe 1464
C:\Program Files\ATK Hotkey\ASLDRSrv.exe 1560
C:\Windows\system32undll32.exe 1684
C:\Windows\system32	askeng.exe 1704
C:\Windows\System32\spoolsv.exe 1760
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1824
C:\Windows\system32\svchost.exe 1840
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 916
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe 1156
C:\Program Files\Bonjour\mDNSResponder.exe 1268
C:\Folding@HomeCPU\1\Fah.exe 1444
C:\Folding@HomeCPU\2\Fah.exe 1480
C:\Program Files\Lenovo\ReadyComm\common\IGRS.exe 1952
C:\Folding@HomeCPU\1\FahCore_78.exe 2120
C:\Windows\system32\PnkBstrA.exe 2152
C:\Folding@HomeCPU\2\FahCore_78.exe 2160
C:\Windows\System32\IgrsSvcs.exe 2180
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 2260
c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe 2336
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 2356
C:\Windows\system32\svchost.exe 2380
C:\Program Files\Lenovo\OneKey App\System Repair\UpdateMonitor.exe 2568
C:\Windows\System32\svchost.exe 2588
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE 2724
C:\Windows\system32\SearchIndexer.exe 2752
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 2928
C:\Windows\system32\wbem\wmiprvse.exe 3364
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe 3444
C:\Windows\system32	askeng.exe 4000
C:\Windows\system32\Dwm.exe 3880
C:\Windows\Explorer.EXE 2028
C:\Program Files\ATK Hotkey\Hcontrol.exe 2288
C:\Program Files\ATK Hotkey\MsgTranAgt.exe 3860
C:\Program Files\ATK Hotkey\LOSD.exe 1808
C:\Program Files\ATK Hotkey\ATKOSD.exe 784
C:\Program Files\ATK Hotkey\WDC.exe 2808
C:\Windows\RtHDVCpl.exe 3156
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe 3036
C:\Program Files\Common Files\Real\Update_OBealsched.exe 3432
C:\Program Files\Java\jre6\bin\jusched.exe 1896
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 3012
C:\Program Files\Windows Sidebar\sidebar.exe 1892
C:\Program Files\Stardock\CursorFX\CursorFX.exe 3884
C:\Windows\ehome\ehtray.exe 3040
C:\Program Files\RocketDock\RocketDock.exe 1332
C:\Users\Géraud\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe 640
C:\Windows\ehome\ehmsas.exe 1216
C:\Program Files\Windows Sidebar\sidebar.exe 1992
C:\Program Files\MOUSE Editor\MouseEditor.exe 4108
C:\Program Files\Vista Anti-Lag\val.exe 5524
F:\League of Legends\lol.launcher.exe 3656
F:\League of Legends\Air\LOLClient.exe 5500
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 5628
C:\Program Files\Windows Live\Contacts\wlcomm.exe 3844
C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe 3596
C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe 2100
C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe 4748
C:\Users\Géraud\Desktop\List_Killem\List_Kill'em.scr 5472
C:\Windows\system32\conime.exe 5432
C:\Windows\system32\cmd.exe 4836
C:\Windows\system32\wbem\wmiprvse.exe 2744
C:\Users\Géraud\AppData\Local\Temp\6B76.tmp\pv.exe 5840
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

"C:\Program Files\Carbonite"  
"C:\Program Files\Everest Poker"  
"C:\Program Files\Mozilla FireFox\Components\AskSearch.js"  
"C:\Program Files\SGPSA"  
"C:\Windows\mbr.exe"  
 
 
¤¤¤¤¤¤¤¤¤¤ Files/folders deleted : 
  
Quarantine : 

AskSearch.js.Kill'em
Carbonite.Kill'em
Everest Poker.Kill'em
MBR.exe.Kill'em
SGPSA.Kill'em

==============
host file OK !
==============

========
Registry
========
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools  
Deleted : HKCU\Software\Grand Virtual  
Deleted : HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}  
Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker  
Deleted : HKCU\SOFTWARE\EoRezo  
Deleted : HKCU\SOFTWARE\ItsLabel  
Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1  

============
Disk Cleaned
============
 
================
Prefetch cleaned :
================
 
AgAppLaunch.db
AgCx_S1_S-1-5-21-275735278-612607825-2789455688-1004.snp.db
AgCx_S1_S-1-5-21-275735278-612607825-2789455688-500.snp.db
AgCx_SC1.db
AgCx_SC1.db.trx
AgCx_SC2.db
AgGlFaultHistory.db
AgGlFgAppHistory.db
AgGlGlobalHistory.db
AgGlUAD_P_S-1-5-21-275735278-612607825-2789455688-1004.db
AgGlUAD_P_S-1-5-21-275735278-612607825-2789455688-500.db
AgGlUAD_S-1-5-21-275735278-612607825-2789455688-1004.db
AgGlUAD_S-1-5-21-275735278-612607825-2789455688-500.db
AgRobust.db
Layout.ini
NTOSBOOT-B00DFAAD.pf
PfSvPerfStats.bin
ReadyBoot
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

fix200 · Answer

Bien ...

La suite =)

garywald · Answer

j'attend vos ordres maître .

^^ Serieusement, ca va faire deux jour que je n'ai pas vu de detection, le calme absolue, ce trop bien, j'attend vos ordres suivant et je me met en résolu

fix200 · Answer

Re,

On s'est croisés ^^


Supprime OTL.exe
Reprends cette méthode:
https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=3#49

garywald · Answer

Après 6 pages de palpitante aventures, je met ce sujet en résolu, je n'ai plus eu une seul alarme depuis une semaine, je remercie vraiment beaucoup ceux qui se sont investit dans cette aide, grand merci.

Peut être à plus tard pour un autre souci, mais le moins tôt possible ;)

fix200 · Answer

Re,

c'est pas terminé.
https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=6#111

gen-hackman · Answer

bizarre ca ! :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3DA0B77C-E463-2457-C94E-1BD1176A5BB4}]
"pafnboefbgmdfhchjcdijkbcagpnnjjj"=hex:6a,61,6c,67,65,6a,6d,70,6f,69,67,68,6e,6e,68,68,6f,6a,69,68,00,..
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}]
"hakjpbipdkfkmmep"=hex:6e,62,70,63,66,69,62,6e,62,64,6b,63,69,6d,65,67,65,61,6e,62,63,..
"jakjpbipdkfkmmepgbbb"=hex:66,61,70,63,6c,69,61,62,6a,6c,6e,64,00,00
"pacjoeoneleefdgameklohmhbjhkhibm"=hex:62,61,6f,63,00,69

fix200 · Answer

Re,

Oui :S

La suite: https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=6#113

garywald · Answer

ok je vais le faire :(

lol merci à vous mais la dernière fois il avait beuguer le scan.

sinn tout mes dossiers caché sont apparu, ca fait un sacré paquet, comment je les recache XD

fix200 · Answer

Re,


sinn tout mes dossiers caché sont apparu, ca fait un sacré paquet, comment je les recache XD
mdr xD

pour le scan, fais le en MSE stp

garywald · Answer

bon en fait c'est la fin, j'ai formater et mis windows seven. merci de votre aide

fix200 · Answer

Salut graywald,

Bon en fait c'est la fin, j'ai formater et mis windows seven. merci de votre aide
Ok...

Je t'invite à lire ceci sur les cracks (c'est par ça que tu as attrapé l'infection) : 
https://forum.malekal.com/viewtopic.php?f=33&t=893
http://www.libellules.ch/...

Et, ce dossier très complet sur les différentes infections:
Prévention & Protection sur internet

Voilà, bon surf et bonnes fêtes ;)

TR/Vundo.Gen et TR/PCK.Tdss.Z.230

117 réponses

Discussions similaires