A l'aide, Infecté par rootkit.win32.tdss.ai

sebas009 Messages postés 42 Statut Membre -  
 Utilisateur anonyme -
Bonsoir,

Voila, mon programme zone alarm détecte rootkit.win32.tdss.ai et je suis incapable de le supprimer.

Aussi, je suis incapable d'utiliser google chrome depuis ce temps.



Merci de votre aide

74 réponses

Précédent
Réponse 41 / 74
sebas009 Messages postés 42 Statut Membre 1
 
a natandre, oui je devrais etre capable de le faire dans la journée, je suis très occupé aujourd'hui.
0
Réponse 42 / 74
Utilisateur anonyme
 
d'accord, donc à ce soir, c'est important cette manip que tu dois faire, car c'est pour remplacer un fichier système modifié par le rootkit
Ce serai bien de faire une sauvegarde de tes documents avant
0
Réponse 43 / 74
sebas009 Messages postés 42 Statut Membre 1
 
voici le rapport de combofix...


ComboFix 10-04-05.06 - HP_Propriétaire 2010-04-06 19:51:47.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.2.1036.18.2039.1445 [GMT -4:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\HP_Propriétaire\Bureau\CFScript.txt
AV: ZoneAlarm Security Suite Antivirus *On-access scanning disabled* (Updated) {5D467B10-818C-4CAB-9FF7-6893B5B8F3CF}
FW: ZoneAlarm Security Suite Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

file zipped: c:\windows\system32\drivers\atapi.sys
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
--------------- FCopy ---------------

c:\windows\ServicePackFiles\i386\atapi.sys --> c:\windows\system32\drivers\atapi.sys
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-07 au 2010-04-07 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\tbPHPN.dll" [2009-12-31 2349080]

[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
2009-12-31 16:53 2349080 ----a-w- c:\program files\PHPNukeFR\tbPHPN.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\tbPHPN.dll" [2009-12-31 2349080]

[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{1C491116-C175-45E1-A570-6FB14FEA8B7B}"= "c:\program files\PHPNukeFR\tbPHPN.dll" [2009-12-31 2349080]

[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-02-12 39408]
"WeatherEye"="c:\documents and settings\HP_Propriétaire\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe" [2009-10-27 718232]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-03-19 319792]
"Google Update"="c:\documents and settings\HP_Propriétaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-18 136176]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-02-10 149280]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 61952]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-11-02 126976]
"HPHUPD06"="c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-01-17 180269]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2004-10-13 278528]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"SoundMan"="SOUNDMAN.EXE" [2004-10-13 77824]
"AlcWzrd"="ALCWZRD.EXE" [2004-10-13 2742272]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2004-12-13 663552]
"type32"="c:\program files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 172032]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2004-06-03 204800]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-10 57393]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-10 40960]
"SetDefPrt"="c:\program files\Brother\Brmfl04a\BrStDvPt.exe" [2004-05-25 49152]
"ControlCenter2.0"="c:\program files\Brother\ControlCenter2\brctrcen.exe" [2004-06-14 851968]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2009-10-28 1037192]
"ISW"="c:\program files\CheckPoint\ZAForceField\ForceField.exe" [2009-10-27 730480]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-01-17 98304]
"MSN Toolbar"="c:\program files\MSN Toolbar\Platform\4.0.0360.0\mswinext.exe" [2009-11-18 240480]
"Microsoft Default Manager"="c:\program files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2009-07-17 288080]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

c:\documents and settings\HP_Propri'taire\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-12-16 503808]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-4 258048]
NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2010-1-31 118784]
Panorama Maker 3.lnk - c:\program files\ArcSoft\Panorama Maker 3\pmk3.exe [2010-1-19 794624]
Status Monitor.lnk - c:\program files\Brother\Brmfcmon\BrMfcWnd.exe [2010-1-17 819200]
Updates from HP.lnk - c:\program files\Updates from HP\309731\Program\Updates from HP.exe [2010-1-17 45056]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Updates from HP\\309731\\Program\\Updates from HP.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=


R0 ohczgi;ohczgi; [x]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 135664]
S0 rk_remover-boot;rk_remover-boot;c:\windows\system32\drivers\rk_remover.sys [2010-03-28 50176]
S1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [2009-06-18 18816]
S2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\program files\CheckPoint\ZAForceField\ISWKL.sys [2009-10-27 25208]
S2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\program files\CheckPoint\ZAForceField\IswSvc.exe [2009-10-27 476528]

.
Contenu du dossier 'Tâches planifiées'

2010-04-06 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-03-26 01:39]

2010-04-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 18:01]

2010-04-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-11 18:01]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2102473
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-06 20:00
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(684)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

- - - - - - - > 'lsass.exe'(740)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

- - - - - - - > 'explorer.exe'(1556)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
c:\docume~1\HP_PRO~1\LOCALS~1\Temp\IadHide5.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\brss01a.exe
c:\windows\system32\Brmfrmps.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Google\Update\1.2.183.23\GoogleCrashHandler.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\windows\ALCWZRD.EXE
c:\program files\iPod\bin\iPodService.exe
c:\documents and settings\HP_Propriétaire\Local Settings\Application Data\Google\Update\1.2.183.23\GoogleCrashHandler.exe
c:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-04-06 20:04:20 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-07 00:04

Avant-CF: 469 729 837 056 octets libres
Après-CF: 469 723 066 368 octets libres

- - End Of File - - 1432C5039B341C1072BCCF15B2BF3905
0
Réponse 44 / 74
Utilisateur anonyme
 
bonjour
ComboFix a bien effectué ce que je lui ai demandé, il a copié l'atapi sain vers l'autre atapi patché pour le remplacer
comment se comporte le PC ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 74
sebas009 Messages postés 42 Statut Membre 1
 
Allo, la première fois que j'ai ouvert, ma carte video bugue. J'ai arreté le système et reparti et il me semble bien aller.
0
Réponse 46 / 74
Utilisateur anonyme
 
tu as quand meme accès au pc ?
0
Réponse 47 / 74
sebas009 Messages postés 42 Statut Membre 1
 
le pc ouvre mais maintenant j'ai plus d'image, je vous écrit avec un autre ordi pour le moments.
0
Réponse 48 / 74
Utilisateur anonyme
 
A la deuxieme ouverture de windows, il ouvre pas.

tu peux preciser ? la deuxieme ?
0
Réponse 49 / 74
sebas009 Messages postés 42 Statut Membre 1
 
c'est depuis que j'ai fait la manipulation de c:\windows\system32\drivers\atapi.sys avec combofix.

J'ai plus rien qui s'affiche a l'écran de mon ordi, je ne peux plus travailler a partir de windows.
0
Réponse 50 / 74
Utilisateur anonyme
 
ok as-tu le menu pour demarrer avec la console de recuperation au demarrage du pc ?
0
Réponse 51 / 74
sebas009 Messages postés 42 Statut Membre 1
 
J'ai seulement un écran bleu avec 3 options: 1) esc = boot menu 2) f1 = setup et 3) f10 = system recovery
0
Réponse 52 / 74
Utilisateur anonyme
 
explique exactement toutes les etapes que tu suis pour le faire demarrer

comment as-tu ce menu ?
0
Réponse 53 / 74
sebas009 Messages postés 42 Statut Membre 1
 
Je pèse sur le bonton devant l'ordi pour le démarrer et il commence a loader et il bogue a cet endroit (la page bleue) avec les 3 options dites plus haut.
0
Réponse 54 / 74
Utilisateur anonyme
 
ok on va revenir en arriere dans le temps :

tout d'abord , as-tu un logiciel qui te permette de graver un CD Image sur le pc avec lequel tu me parles ?
0
Réponse 55 / 74
sebas009 Messages postés 42 Statut Membre 1
 
salut, sur cet ordi que je te parle, j'ai le logiciel RecordNow!
0
Réponse 56 / 74
Utilisateur anonyme
 
ok il grave les CDimages ? (je l'ai jamais utilisé ^^ )
0
Réponse 57 / 74
sebas009 Messages postés 42 Statut Membre 1
 
je peux essayer
0
Réponse 58 / 74
Utilisateur anonyme
 
sinon tu n'as pas le cd de windows ?
0
Réponse 59 / 74
sebas009 Messages postés 42 Statut Membre 1
 
oui, j'ai le cd windows mais je ne veux pas perdre ce que j'ai enregistré sur mon disque dur.

merci
0
Réponse 60 / 74
Utilisateur anonyme
 
ok demarre sur le cd de windows , et tu tapes l'option "R" pour reparer

ensuite à la question "sur quelle session de windows voulez-lous entrer ?" tu choisis le windows en question....logiquement c'est "1"

vois deja jusqu'ici
0

Discussions similaires

infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Virus non détecté par mon anti-virus ?
F2L -
cabrier -

12 réponses
Virus détecté
Koony -
MisteryBean -

6 réponses
Powershell infecté
Bal2bin -
MisteryBean -

8 réponses