Je pense etre infecté par virus rootkit tssd Résolu

Question

Bonjour, Mon fils a un pc avec kaspersky et il le previent qu'il a un rootkit tssd win32 mais ne peut l'enlever, je suis allé sur le site kaspersky pour utliser l'outil special mais rien n'y fait j'ai pensé formater son pc mais meme la je n'ai que l'option " reinstaller le pc en gardant les fichiers d'origine" et comble de tout j'ai utlisé sa clef usb sur mon pc et maintenant j'ai bien peur quer le mien aussi soit infecté.
Pouvez vous m'aider s'il vous plait

Configuration: Windows XP / Safari 532.5

picolochon · Answer

Salut,    

Aller ici:    
http://www.pandasecurity.com/infected_or_not/fr/ (faites 1 copié/collé dans votre barre d'adresse internet)  

Vous pourrez faire 1 scan en ligne & visiblement vous débarrasser de votre "rootkit"

X3200 · Answer

Il me semble que spybot search and destroy est capable de détruire les rootkit en plus il est gratuit.

damien · Answer

Je suis quasiment sur d'etre infecté je ne peux meme pas formater ma clé usb la case est grisée...

picolochon · Answer

Faites le nettoyage en ligne & vous serez tranquil ^^

Utilisateur anonyme · Answer

bonjour

 on arête les bêtise

Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé

http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm

( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !


sous vista et 7

==> Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
UAC

* Va dans démarrer puis panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.

https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html

Télécharge : Gmer (by Przemyslaw Gmerek


Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

sur les lignes rouge:

Services:cliques droit delete service
Process:cliques droit kill process
Adl ,file:cliques droit delete files

damien · Answer

Merci de me repondre, j'ai lancé gmer et pendant l'analyse il disparait et plus rien si je reclique dessus j'ai un ecran bleu et mon pc redemarre...
que dois je faire?

damien36320 · Answer

voilà j'ai envoyé le rapport par mp, toutefois ca a fait la meme chose a savoir gmer s'est fermé seul je faisais des copies regulierement au cas ou et c'est bien ce qui est arrivé, je suis deseperé

damien36320 · Answer

j'essai de poster le rapport ici mais ca passe pas , ca me jette a chaque fois...

Utilisateur anonyme · Answer

peut tu le mettre sur cijoint http://www.cijoint.fr/

et me donner le lien qui va apparaitre

damien36320 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201004/cijykzqdAu.txt

Utilisateur anonyme · Answer

tu a fait comme demandé avec les ligne rouge ?

damien36320 · Answer

mais il n' ya aucune ligne rouge.... c 'est ca le soucis

pimprenelle27 · Answer

Bonsoir, 

P.S : les personnes qui réponde des bêtises du genre faire un scan en linge par EX alors qu'il y a un rootkit sur le pc c'est à dire  une infection très grave qui peut endommager le pc c'est pas la peine de répondre. 

Un rootkit (en Français : "kit de démarrage") est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall). Certains Rootkits installent des backdoors (voir l'article sur les chevaux de Troie). Contrairement aux virus ou bien aux vers, les rootkits ne sont pas capables de se dupliquer. 
Pour installer un rootkit, il est nécessaire d'avoir les droits administrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares. 

Voici les principales actions des rootkits : 

    * Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau). 
    * Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter. 

De passage par ici :  

Faire ceci tout de suite damien36320 :  

* Sous Vista : ? Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

? Clique sur Démarrer puis sur panneau de configuration 
? Double Clique sur l'icône "Comptes d'utilisateurs" 
? Clique ensuite sur désactiver et valide. 
? Redémarre le PC 


? Télécharge Combofix de sUBs 


? et enregistre le sur le Bureau. 

  
? désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware) 


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 


? Je te conseille d'installer la console de récupération !! 
  
ensuite envois le rapport stp 


si combofix n'a pas installé la console de récupération, suivre ceci  pour l'installe et relance combofix ensuite  : http://www.zebulon.fr/dossiers/61-2-installation-console-recuperation-disque.html 
Si vous voyer que je ne répond pas à votre sujet, n'hésitez pas à me MP. 
Parfois je ne vois pas l'alerte d'un nouveau message.

damien36320 · Answer

j'ai enlevé bitdefender (et remis avast)et cette fois j'ai pu aller au bout (je pense ) de l'analyse et le rapport est :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijg6eXtKz.txt

mais la non plus pas de ligne rouge, 

merci de me dire quoi faire.

damien36320 · Answer

Je suis en train d'utliser combofix sur l'autre pc, j'espere que ca va aller

damien36320 · Answer

voilà le rapport de combo est dispo

http://www.cijoint.fr/cjlink.php?file=cj201004/cijUu1Jjza.txt

alors si quelqu'un peux me rassurer

merci bcp

ps combo fix n'a pas insatllé la console de récupération.

pimprenelle27 · Answer

Il a supprimer pas mal de chose mais il reste un fichier caché à ne pas toucher : c:\users\Famille\AppData\Local\Temp\catchme.dll


Ensuite  : 

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

damien36320 · Answer

voilà j'ai passé mbam et le rapport est dispo :  il n' y a rien est ce que ca veiy dire que c'est bon ou alors il faut passer d'autres antidotes:

voilà le rapport:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3961

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

07/04/2010 08:54:16
mbam-log-2010-04-07 (08-54-16).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 218726
Temps écoulé: 1 heure(s), 13 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

pimprenelle27 · Answer

Bonjour, Malware aurait du trouver des choses : 

    * Téléchargez TDSSKiller sur votre bureau


https://support.kaspersky.com/downloads/utils/tdsskiller.zip

    * Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Cochez les et cliquez sur "Delete/Repair Selected".

    * Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").

damien36320 · Answer

Je viens de passer tdss et il ne trouve rien aucun fichier infecté ( sur ce pc , je le fais en parallele sur celui qui est a l'origine )

pimprenelle27 · Answer

Parce que là tout ce que tu fais c'est sur ton pc et pas celui de ton fils?

damien36320 · Answer

ben oui, mais j'ai fais la meme chose ( sauf combo fix) et j'ai quasi le meme resultat... il faut que je recommence?

pimprenelle27 · Answer

Sur celui de ton fils fait combofix et poste moi ton rapport. on vaa faire un pc à la fois donc celui de ton fils en 1er qui à été infecté.
Si vous voyer que je ne répond pas à votre sujet, n'hésitez pas à me MP. 
Parfois je ne vois pas l'alerte d'un nouveau message.

damien36320 · Answer

ComboFix 10-04-07.04 - Alexandre 08/04/2010  15:23:53.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1014.671 [GMT 2:00]
Lancé depuis: c:\documents and settings\Alexandre\Bureau\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-03-08 au 2010-04-08  ))))))))))))))))))))))))))))))))))))
.

2010-04-08 00:01 . 2010-04-08 00:01	--------	d-----w-	c:\documents and settings\Alexandre\Local Settings\Application Data\Apple Computer
2010-04-07 19:09 . 2001-10-04 10:26	200968	----a-r-	c:\windows\VfwUpd.exe
2010-04-07 19:09 . 2002-03-20 01:24	61440	----a-r-	c:\windows\CtDrvIns.exe
2010-04-07 19:09 . 2010-04-07 19:09	--------	d-----w-	c:\windows\OvtCam
2010-04-07 19:09 . 2002-04-30 01:00	24576	----a-r-	c:\windows\P101bCfg.exe
2010-04-07 19:09 . 2002-07-19 18:05	15934	----a-r-	c:\windows\system32\P101bSti.dll
2010-04-07 19:09 . 2002-04-30 01:00	24576	----a-r-	c:\windows\system32\P101bVfw.dll
2010-04-07 19:09 . 2002-09-19 01:01	28672	----a-r-	c:\windows\system32\P101bPin.dll
2010-04-07 19:09 . 2002-04-28 12:00	24795	----a-r-	c:\windows\system32\drivers\P101bCmD.sys
2010-04-07 19:09 . 2002-04-28 12:00	184362	----a-r-	c:\windows\system32\drivers\P101bVid.sys
2010-04-07 18:51 . 2010-04-07 18:51	--------	d-----w-	c:\documents and settings\Alexandre\Local Settings\Application Data\assembly
2010-04-07 17:05 . 2010-04-08 01:20	--------	d-----w-	c:\documents and settings\Alexandre\Application Data\vlc
2010-04-07 16:42 . 2010-04-07 16:46	--------	d-----w-	c:\documents and settings\All Users\Application Data\Messenger Plus!
2010-04-07 16:37 . 2010-04-07 16:38	--------	d-----w-	c:\program files\GUILD WARS
2010-04-07 16:33 . 2010-04-07 16:33	--------	d-----w-	c:\program files\NCSoft
2010-04-07 16:33 . 2010-04-07 16:33	--------	d-----w-	c:\documents and settings\Alexandre\Application Data\InstallShield
2010-04-07 16:18 . 2009-08-06 17:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2010-04-07 16:18 . 2009-08-06 17:23	215920	----a-w-	c:\windows\system32\muweb.dll
2010-04-07 15:58 . 2010-04-07 15:58	--------	d-----w-	c:\program files\CamStudio
2010-04-07 15:56 . 2010-04-07 15:58	--------	d-----w-	c:\program files\JDownloader
2010-04-07 15:56 . 2010-04-07 15:55	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-04-07 15:55 . 2010-04-07 15:55	152576	----a-w-	c:\documents and settings\Alexandre\Application Data\Sun\Java\jre1.6.0_15\lzma.dll
2010-04-07 15:42 . 2010-04-07 15:42	--------	d-----w-	c:\program files\Microsoft Sync Framework
2010-04-07 15:42 . 2010-04-07 15:42	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-04-07 15:25 . 2010-04-07 16:46	--------	d-----w-	c:\program files\Messenger Plus! Live
2010-04-07 15:19 . 2010-04-07 16:46	--------	d-----w-	c:\documents and settings\Alexandre\Tracing
2010-04-07 15:18 . 2006-11-29 11:06	3426072	----a-w-	c:\windows\system32\d3dx9_32.dll
2010-04-07 15:18 . 2010-04-07 15:18	--------	d-----w-	c:\program files\Microsoft SQL Server Compact Edition
2010-04-07 15:17 . 2010-04-07 15:17	--------	d-----w-	c:\program files\Microsoft
2010-04-07 15:17 . 2010-04-07 15:17	--------	d-----w-	c:\program files\Windows Live SkyDrive
2010-04-07 15:16 . 2010-04-07 15:42	--------	d-----w-	c:\program files\Windows Live
2010-04-07 15:09 . 2010-04-07 15:09	--------	d-----w-	c:\program files\Fichiers communs\Windows Live
2010-04-07 15:08 . 2010-04-07 15:08	--------	d-----w-	c:\program files\VideoLAN
2010-04-07 15:03 . 2010-04-07 15:03	--------	d--h--w-	c:\windows\msdownld.tmp
2010-04-07 15:01 . 2010-04-07 15:02	--------	dc-h--w-	c:\windows\ie8
2010-04-07 11:44 . 2010-04-07 11:44	--------	d-----w-	C:\$WINDOWS.~LS
2010-04-07 11:41 . 2010-04-07 11:53	--------	d-----w-	C:\$UPGRADE.~OS
2010-04-07 11:38 . 2010-04-07 11:38	--------	d-----w-	C:\$WINDOWS.~BT
2010-04-07 05:58 . 2010-04-07 05:58	--------	d-----w-	c:\documents and settings\Alexandre\Application Data\Malwarebytes
2010-04-07 05:58 . 2010-03-29 22:46	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-07 05:58 . 2010-04-07 05:58	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-07 05:58 . 2010-04-07 05:58	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-04-07 05:58 . 2010-03-29 22:45	20824	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-06 22:52 . 2010-04-06 22:52	--------	d-sh--w-	c:\documents and settings\Alexandre\IECompatCache
2010-04-06 22:51 . 2010-04-06 22:51	--------	d-sh--w-	c:\documents and settings\Alexandre\PrivacIE
2010-04-06 22:46 . 2010-04-06 22:46	--------	d-sh--w-	c:\documents and settings\Alexandre\IETldCache
2010-04-06 22:36 . 2010-04-06 22:36	--------	d-----w-	c:\program files\MSXML 4.0
2010-04-06 22:28 . 2010-04-07 15:08	--------	d-----w-	c:\windows\ie8updates
2010-04-06 22:28 . 2010-02-25 09:47	11070976	-c----w-	c:\windows\system32\dllcache\ieframe.dll
2010-04-06 22:28 . 2010-02-25 06:17	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2010-04-06 22:28 . 2010-02-25 06:17	594432	-c----w-	c:\windows\system32\dllcache\msfeeds.dll
2010-04-06 22:28 . 2010-02-25 06:17	55296	-c----w-	c:\windows\system32\dllcache\msfeedsbs.dll
2010-04-06 22:28 . 2010-02-25 06:17	1985536	-c----w-	c:\windows\system32\dllcache\iertutil.dll
2010-04-06 22:28 . 2010-02-25 06:17	247808	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2010-04-06 22:25 . 2010-02-16 04:50	64000	-c----w-	c:\windows\system32\dllcache\iecompat.dll
2010-04-06 22:17 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-04-06 21:25 . 2009-12-31 16:50	353792	-c----w-	c:\windows\system32\dllcache\srv.sys
2010-04-06 21:24 . 2009-10-15 16:32	81920	-c----w-	c:\windows\system32\dllcache\fontsub.dll
2010-04-06 21:24 . 2009-10-15 16:32	119808	-c----w-	c:\windows\system32\dllcache	2embed.dll
2010-04-06 21:24 . 2009-06-21 21:47	153088	-c----w-	c:\windows\system32\dllcache	riedit.dll
2010-04-06 21:24 . 2009-10-23 15:28	3558912	-c----w-	c:\windows\system32\dllcache\moviemk.exe
2010-04-06 21:24 . 2009-12-04 18:22	455424	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys
2010-04-06 21:24 . 2008-05-08 14:02	203136	-c----w-	c:\windows\system32\dllcachemcast.sys
2010-04-06 21:24 . 2008-05-01 14:36	331776	-c----w-	c:\windows\system32\dllcache\msadce.dll
2010-04-06 21:22 . 2009-11-21 15:58	471552	-c----w-	c:\windows\system32\dllcache\aclayers.dll
2010-04-06 21:19 . 2009-08-25 09:18	354816	-c----w-	c:\windows\system32\dllcache\winhttp.dll
2010-04-06 21:19 . 2008-10-15 16:35	337408	-c----w-	c:\windows\system32\dllcache
etapi32.dll
2010-04-06 21:19 . 2009-07-31 04:33	1172480	-c----w-	c:\windows\system32\dllcache\msxml3.dll
2010-04-06 21:18 . 2008-04-21 21:15	219136	-c----w-	c:\windows\system32\dllcache\wordpad.exe
2010-04-06 21:08 . 2010-04-07 15:04	--------	d-----w-	c:\windows\system32\fr-fr
2010-04-06 21:08 . 2010-04-06 21:08	--------	d-----w-	c:\windows\l2schemas
2010-04-06 21:08 . 2010-04-06 21:08	--------	d-----w-	c:\windows\system32\fr
2010-04-06 21:08 . 2010-04-06 21:08	--------	d-----w-	c:\windows\system32\bits
2010-04-06 21:04 . 2010-04-06 21:08	--------	d-----w-	c:\windows\ServicePackFiles
2010-04-06 20:48 . 2004-08-03 22:38	701440	------w-	c:\windows\system32\drivers\ati2mtag.sys
2010-04-06 19:10 . 2010-04-06 19:10	932368	----a-w-	c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\profiles-1-6.dll
2010-04-06 19:10 . 2010-04-06 19:10	678416	----a-w-	c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\content_interpreter-1-1.dll
2010-04-06 19:10 . 2010-04-06 19:10	604688	----a-w-	c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\gsg-3-9.dll
2010-04-06 19:10 . 2010-04-06 19:10	522768	----a-w-	c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\database-1-5.dll
2010-04-06 19:10 . 2010-04-06 19:10	1096208	----a-w-	c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\filtration-4-6.dll
2010-04-06 19:09 . 2010-04-06 19:09	80400	----a-w-	c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Filesollback\patch\AutoPatches\kav9exec\9.0.0.736\fssync.dll
2010-04-06 19:09 . 2010-04-06 19:09	80400	----a-w-	c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files	emporaryFolder\AutoPatches\kav9exec\9.0.0.736\fssync.dll
2010-04-06 18:57 . 2010-04-06 18:57	95259	----a-w-	c:\windows\system32\drivers\klick.dat
2010-04-06 18:57 . 2010-04-06 18:57	108059	----a-w-	c:\windows\system32\drivers\klin.dat
2010-04-06 18:56 . 2010-04-08 13:34	--------	d-----w-	c:\documents and settings\All Users\Application Data\Kaspersky Lab
2010-04-06 18:56 . 2010-04-06 18:56	--------	d-----w-	c:\program files\Kaspersky Lab
2010-04-06 18:50 . 2010-04-06 18:50	--------	d-----w-	c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2010-04-06 17:53 . 2010-04-06 18:11	50176	----a-w-	c:\windows\system32\driversk_remover.sys
2010-04-06 17:35 . 2010-04-06 17:35	--------	d-----w-	c:\documents and settings\Alexandre\Local Settings\Application Data\Google
2010-04-06 17:28 . 2006-10-05 14:09	--------	d-s---w-	c:\windows\system32\config\systemprofile\UserData
2010-04-06 17:27 . 2006-10-05 14:09	--------	d-s---w-	c:\documents and settings\Default User\UserData
2010-04-06 17:25 . 2001-08-17 19:46	6400	----a-w-	c:\windows\system32\drivers\enum1394.sys
2010-04-06 17:25 . 2008-04-13 18:46	61696	----a-w-	c:\windows\system32\drivers\ohci1394.sys
2010-04-06 17:25 . 2008-04-13 18:46	53376	----a-w-	c:\windows\system32\drivers\1394bus.sys
2010-04-06 17:10 . 2010-04-06 17:10	--------	d-----w-	c:\windows\Performance
2010-04-06 17:10 . 2010-04-06 17:10	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Corporation
2010-04-06 17:10 . 2010-04-07 15:19	33632	----a-w-	c:\documents and settings\Alexandre\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-06 17:09 . 2010-04-06 17:09	--------	d-----w-	c:\program files\Microsoft Windows Vista Upgrade Advisor

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-07 16:33 . 2006-10-05 12:22	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-04-07 16:25 . 2006-10-30 17:23	--------	d-----w-	c:\program files\Microsoft Works
2010-04-07 15:55 . 2006-10-30 20:01	--------	d-----w-	c:\program files\Java
2010-04-07 05:43 . 2006-03-24 12:00	85834	----a-w-	c:\windows\system32\perfc00C.dat
2010-04-07 05:43 . 2006-03-24 12:00	512530	----a-w-	c:\windows\system32\perfh00C.dat
2010-04-06 22:33 . 2010-04-06 17:29	132	----a-w-	c:\documents and settings\Alexandre\Local Settings\Application Data\fusioncache.dat
2010-04-06 21:31 . 2010-04-06 21:31	--------	d-----w-	c:\program files\MSBuild
2010-04-06 21:31 . 2010-04-06 21:31	--------	d-----w-	c:\program files\Reference Assemblies
2010-04-06 21:11 . 2006-10-05 11:11	86815	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-04-06 17:38 . 2006-10-30 21:41	--------	d-----w-	c:\program files\Google
2010-04-06 17:37 . 2006-10-30 17:00	--------	d-----w-	c:\program files\Fichiers communs\Ahead
2010-04-06 17:35 . 2006-10-31 06:16	--------	d-----w-	c:\program files\Fichiers communs\AOL
2010-04-06 17:35 . 2006-10-30 21:41	--------	d-----w-	c:\program files\DivX
2010-04-06 17:35 . 2006-10-30 20:22	--------	d-----w-	c:\program files\QuickTime
2010-04-06 17:35 . 2006-10-30 17:03	--------	d-----w-	c:\program files\CyberLink
2010-04-06 17:35 . 2006-10-05 12:22	--------	d-----w-	c:\program files\Realtek
2010-04-06 17:33 . 2006-10-31 06:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\AOL
2010-04-06 17:32 . 2010-04-06 17:29	--------	d-----w-	c:\documents and settings\Alexandre\Application Data\AOL
2010-04-06 17:32 . 2006-10-31 06:17	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\AOL
2010-02-25 06:17 . 2006-03-24 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2006-10-30 21:41 . 2006-10-30 21:41	8	--sh--r-	c:\windows\system32\F00DAE0C7B.sys
2006-10-30 21:41 . 2006-10-30 21:41	4704	--sha-w-	c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-08-14 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-08-14 114688]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-08-14 94208]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 16050176]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"SMSERIAL"="c:\windows\sm56hlpr.exe" [2006-04-05 565248]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-09-08 815104]
"LanguageShortcut"="c:\program files\Home Cinema\PowerDVD\Language\Language.exe" [2006-05-18 49152]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2006-09-04 65536]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\program files\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-07-10 86016]
"InstantOn"="c:\program files\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-22 93640]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-10-20 340456]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-10-30 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\WINDOWS\system32\fxsclnt.exe"=
"c:\Program Files\NetMeeting\Conf.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Logging]
"LogSuccessfulConnections"= 0 (0x0)
"LogDroppedPackets"= 0 (0x0)
"LogFileSize"= 0 (0x0)
"LogFilePath"= 

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 20:18 36880]
R0 rk_remover-boot;rk_remover-boot;c:\windows\system32\driversk_remover.sys [06/04/2010 19:53 50176]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 13:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 18:39 19472]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [30/10/2006 18:39 7040]
S1 mailKmd;mailKmd; [x]
S3 LVMST;LVMST service;c:\windows\system32\drivers\LVMST.sys [30/10/2006 20:47 1027072]
S3 P101bVID;Creative WebCam;c:\windows\system32\drivers\P101bVid.sys [07/04/2010 21:09 184362]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar	oolbar.dll/SEARCH.HTML
IE: Ajouter à l'Anti-bannière - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-PlayNC Launcher - (no file)
HKLM-Run-NWEReboot - (no file)
HKLM-Run-BullGuard - c:\program files\BullGuard Software\BullGuard\bullguard.exe
AddRemove-Creative WebCam - c:\windows\CtDrvIns.exe -uninstall USB\VID_05A9&PID_0518 -plugin P101bPin.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-08 15:36
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2784)
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\RTHDCPL.EXE
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\eHome\ehmsas.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-04-08  15:39:16 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-04-08 13:39

Avant-CF: 45 556 944 896 octets libres
Après-CF: 45 921 947 648 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - 2350B1964DED2B7ABD59D7D9585C8D73

damien36320 · Answer

Il y a quelqu'un pur lire mon  rapport? merci

pimprenelle27 · Answer

Maintenant tu vas me faire ceci sur celui de ton fils : 

Par la même occasion regarde si kaspersky n'aurait pas mis le rootkit en quarantaine?

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#x25B6; Télécharge List_Kill'em et enregistre le sur ton bureau

&#x25B6; Double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

&#x25B6; une fois terminée , clic sur "terminer" et le programme se lancera seul

&#x25B6; Choisis choisis l'option Search

&#x25B6; Un icône blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.

&#x25B6; laisse travailler l'outil

&#x25B6; A l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

&#x25B6; Un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

&#x25B6; Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"


 Ensuite héberger le rapport : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  chercher le rapport .txt puis cliquez sur  ici pour déposer le fichier

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

damien36320 · Answer

Bonjour, et meri de continuer à t'occuper de moi
Kaspersky n'a rien en zone de quarantaine
le rapport demandé est la:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijgFxH23J.txt

merci de le consulter et de me dire ce que tu en penses

pimprenelle27 · Answer

Bonjour, 

Après la suppression avec List&Killem, tu fera un scan complet avec kaspersky mais normalement tout est rentré dans l'ordre pour ton fils. 


Nettoyage : 


! Déconnecte toi ferme toutes tes applications en cours ! 


? Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

? choisis l'option clean 

ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

? colle le contenu dans ta reponse  

Si vous voyer que je ne répond pas à votre sujet, n'hésitez pas à me MP. 
Parfois je ne vois pas l'alerte d'un nouveau message.

damien36320 · Answer

bonjour , voila le rapport demandé, merci de me dire si tu penses que le pc est clean
http://www.cijoint.fr/cjlink.php?file=cj201004/cijozV6W0j.txt

je te souhaite une bonne journée

pimprenelle27 · Answer

Bonjour,

Et le scan complet avec Kaspersky ça a donné quoi?

damien36320 · Answer

il finit dans 5 minutres mais jusque la rien de detecté

damien36320 · Answer

dimanche oblige je suis un peu en retard sur ma réponse, alors aqpres un scan de kaspersky rien n'a été détecté, je pense que le pc est clean.
peux tu me le confirmer à la lecture du rapport posté ci dessus .
merci beaucoup

pimprenelle27 · Answer

Tu me parle d' rapport mais je ne vois rien?

damien36320 · Answer

ce rapport cvi dessous

http://www.cijoint.fr/cjlink.php?file=cj201004/cijozV6W0j.txt

merci

pimprenelle27 · Answer

Bonjour,

Ok tu ne constate pas d'autre perturbation sur le pc de ton fils?

damien36320 · Answer

Désolé mais j'ai du m'absenter une semaine entiere pour le boulot.
sinon rien de particulier sur le pc de mon fils, je pense que c'est bon merci encore.

pimprenelle27 · Answer

Bonsoir,

Désolé du retard, sur le tiens non plus tu ne constate plus de problème?

damien36320 · Answer

Le mien des fois il lui arrive de fonctionner bizzarement j'avous , par exemple ce soir j'avais cliquer sur arreter, rien a faire il n'obeissait pas , et aujourd'hui aussi quelques pages web ne s'ouvraient pas , mais la j'ai avast et zone alarm et il n' y arien de detecté,  as tu une idée ou un conseil pour aller + loin?

pimprenelle27 · Answer

Tu vas me faire ceci : 

==> Télécharge ZHPDiag (de Nicolas Coolman)

ou :ZHPDiag

==> Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,

==> Lance ZHPDiag.exe et clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.

==> Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.

==> Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

==> Clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

==> Clique sur Parcourir et cherche le fichier ZHPDiag.txt

==> Clique sur Ouvrir.

==> Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

==> Copie ce lien dans ta réponse.

damien36320 · Answer

voila le rapport demandé

http://www.cijoint.fr/cjlink.php?file=cj201004/cij8UrxNf5.txt


merci pour le coup de main

pimprenelle27 · Answer

Bonjour,

Ce n'est pas fini pour toi tu as bien un rootkit dans ton pc  : 

Pourrais tu STP télécharger la dernière version de ZHP Diag car il y a eu des modifs et me poster un nouveau rapport STP.

ensuite bien suivre cette procédure c'est très important et bien regarder le tuto : 

* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

&#x25B6; Clique sur Démarrer puis sur panneau de configuration
&#x25B6; Double Clique sur l'icône "Comptes d'utilisateurs"
&#x25B6; Clique ensuite sur désactiver et valide.
&#x25B6; Redémarre le PC


&#x25B6; Télécharge Combofix de sUBs


&#x25B6; et enregistre le sur le Bureau.

 
&#x25B6; désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


&#x25B6; Je te conseille d'installer la console de récupération !!
 
ensuite envois le rapport stp


si combofix n'arrive pas à installer la console de récupération, suivre ceci  pour l'installe et relancer combofix ensuite  : http://www.zebulon.fr/dossiers/61-2-installation-console-recuperation-disque.html

damien36320 · Answer

voilà le 2eme rapport zhp, je opense avoir téléchargé la derniere version ( directement sur le site) c la 1.25.14

ci dessous le rapport

http://www.cijoint.fr/cjlink.php?file=cj201004/cijP9icvKV.txt

je m'attaque maintenant a combo fix et je te poste ce qu'uil faut des la fin 

merci beaucoup

damien36320 · Answer

Voila ci dessous le rapport combofix 

http://www.cijoint.fr/cjlink.php?file=cj201004/cijVXbtvJ0.txt

merci pour ton aide

damien36320 · Answer

et j'ai passé mbam voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201004/cijZVtqjEB.txt

j'espere que ca te sera utile

merci

pimprenelle27 · Answer

Bonsoir, 

Essaye ceci : 

    * Téléchargez TDSSKiller sur votre bureau


https://support.kaspersky.com/downloads/utils/tdsskiller.zip

    * Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Cochez les et cliquez sur "Delete/Repair Selected".

    * Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").

damien36320 · Answer

voilà je viens ded passer 2 fois tdss killer et il n' a rien détecté.

qu'en penses tu?

pimprenelle27 · Answer

Re fait moi un rapport ZHP Diag afin de voir si Combofix à fait quelque choses alors.

damien36320 · Answer

voila le rapport demandé
http://www.cijoint.fr/cjlink.php?file=cj201004/cijjtiHIIK.txt

pimprenelle27 · Answer

Bon combofix n'a pas bien fait son boulot ni TDSSKiller : 


Tu vas donc me faire ceci, si déjà installer penser à le mettre à jour : 

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée


--------------------------------------------------------------------------------


Ensuite analyser ce fichier sur virus total : C:\ProgramData\Sony Corporation\VAIO Entertainment Platform\1.0\VzCdb

Faite analyser ces fichiers sur Virus total :

Ce service se trouve ici :
==> https://www.virustotal.com/gui/

1) La fenêtre principale comporte plusieurs points qu'il faut comprendre :

# La Charge du service est l'élément qui détermine si le site VirusTotal est peu ou fortement sollicité, vert le site est peu utilisé, rouge vous allez devoir attendre.

# Parcourir, permettra de rechercher le fichier à analyser. Envoyer, commencera l'analyse du fichier que vous avez au préalable recherché voir cette cette image


2) Cliquez sur " Parcourir " afin de rechercher le fichier à tester qui peut se trouver sur votre bureau, vos documents, un dossier de Windows, etc. :
Une fois sélectionné , cliquez sur " Ouvrir " voir cette cette image

3) La page principale revient mais vous voyez maintenant précisément l'emplacement de ce fichier .
Cliquez sur " Envoyer "  voir cette image


4) L'envoi du fichier est en cours, patientez pendant quelques secondes. Le temps d'attente peut être plus ou moins long selon la charge du service VirusTotal et de la taille du fichier à analyser voir cette cette image


5) Cependant si le site VirusTotal est trop sollicité , cette fenêtre apparaitra et donc vous aurez pour choix, soit d'attendre tranquillement, soit de revenir à un autre moment de la journée quand le site sera moins utilisé.


6) Votre fichier a été envoyé avec succès donc l'analyse va débuter dans quelques secondes et durer quelques minutes.
Les 32 anti-virus vont analyser chacun à leur tour le fichier envoyé.


7) Une fois le fichier totalement analysé vous verrez apparaitre dans le haut de la fenêtre le statut de l'analyse.
Le chiffre en rouge est le nombre d'anti-virus considérant le fichier comme infecté.
Cliquez sur " Formaté " afin d'avoir un rapport détaillé .


Il ne vous reste qu'à faire un copier-coller du résultat ou de recopier l'url présente sur la barre d'adresse et de l'envoyer à la personne qui vous a demandé de faire cette analyse.

damien36320 · Answer

j'ai un soucis car ce que tu me demandes de controler c un dossier et sous " virus total" on ne peut analiser que fichier par fichier.
et dans ce dossier il y  a au moins trois fichiers qui refusent de se faire analyser sous pretexte que je n'ai pas les droits ( je suis ouvert en administrateur" )
quand je clique sur " ouvrit" ca ne fonctionne pas et si je fais un clic droit sur le fichier alors mon pc se fige et je ne peux m'en sortir qu'en relancant le pc.

pimprenelle27 · Answer

Bonjour,

Fait analyser le dossier pas kaspersky, ensuite que donne malwarebyte's?

damien36320 · Answer

j'ai analysé le dossier avec avast5 et il ne detecte rien et voila le rapport maleware : 
http://www.cijoint.fr/cjlink.php?file=cj201004/cijKNfQpNc.txt

il ne detecte rien non plus

tu penses a autre chose?

merci

damien36320 · Answer

un petit up

gen-hackman · Answer

hello :

dans le premier pc :

S1 mailKmd;mailKmd; [x] 

ceci n'a pas ete supprimé

damien36320 · Answer

merci de t'interesser à mon cas , 
et que dois je faire pour le supprimer? 
merci de ta reponse

gen-hackman · Answer

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

damien36320 · Answer

voila les rapports demandes

http://www.cijoint.fr/cjlink.php?file=cj201004/cijjDtFs34.txt

http://www.cijoint.fr/cjlink.php?file=cj201004/cijPQd1aXn.txt

ils con,cernent le pc de mon fils

merci de les etudier et de me dire quoi faire

gen-hackman · Answer

Ton Java n'est pas à jour 

======================== 

? clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer. 


?Copie la liste qui se trouve en gras ci-dessous, 

? colle-la dans la zone sous Customs Scans/Fixes : 


:processes 
explorer.exe 
iexplore.exe 
firefox.exe 
msnmsgr.exe 
Teatimer.exe 

:Services 
mailKmd 

:reg 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] 
"DisableMonitoring"=0 
""=- 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] 
"C:\Program Files\AOL 9.0\AOL.exe"=- 
"C:\Program Files\AOL 9.0\WAOL.exe"=- 

:commands 
[emptytemp] 
[start explorer] 
[reboot] 


? Clique sur "Correction" pour lancer la suppression. 


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage. 

?G3?-?@¢??@?(TM)©®?

damien36320 · Answer

Voila le rapport demandé 

http://www.cijoint.fr/cjlink.php?file=cj201004/cijAijX1Jp.txt

je te remercie de ton aide ( mais je ne comprends pas les actions demandées)

merci de me dire si tu penses que ca va

gen-hackman · Answer

oui on a juste viré un service pas bon et remis 2/3 clés conformes

tu peux supprimer OTL et ses logs

damien36320 · Answer

Eh bien si tu le dis, mais ca c'etait le pc de mon fils , pourrais tu jeter un oeil sur le mien ( celui avec lequel je t'ecris parce que des fois il reagit bizzare) et apres le rootkit de celui de mon fils j'aimerais etre certain de ne pas avoir attrapé une saleté d'autant que j'ai des cles usb qui navigient sur les pc .

merci de ton aide

gen-hackman · Answer

il y a deja quelqu'un qui s'occupe de toi sur ce pc.....

je laiise les gens continuer où ils en sont

damien36320 · Answer

alors merci encore pour le coup de main.

pimprenelle27 · Answer

Bonsoir,

Désolé du retard. Et merci Genhackman


Il me semblais que sur ton Pc tu vais kaspersky? et tu me parle d'avast?

gen-hackman · Answer

d'où l'inconvenient de faire plusieurs pc sur un seul topic ^^

damien36320 · Answer

Bonjour, 
Alors c'est vrai c'est ma faute, sur le pc de mon fils c kaspersky et sur le mien c avast5 ( le pc que j'utilise actuellement)
Genhackman est intervenu sur celui de mon fils.
voilà tu sais tout

pimprenelle27 · Answer

cette fois si on ne parle que de ton pc à toi, comment il va?

damien36320 · Answer

tres honnetement je ne sais pas car il a des reactions bizzares :  il refuse de s'eteindre ( je suis obligé pour l'eteindre de rester appuyer sur le bouton par ex)et tres honnetement je n'ai pas confiance mais la ou sa gene c que avast ne decouvre rien ( autre exemple il est long a repondre bon c vrai c pas une bete de concours)
voila en gros  ( je n'ose pas aller sur des sites securisés par trouille de me faire piquer mes mots de passes n° de carte etc) 
si je ne psychote pas je n'en suis pas loin...
voilà ce qu'il en est

damien36320 · Answer

un petit  up

pimprenelle27 · Answer

bonjour, désolé du retard, 

==> Télécharge ZHPDiag (de Nicolas Coolman)

ou :ZHPDiag

==> Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,

==> Lance ZHPDiag.exe et clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.

==> Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.

==> Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

==> Clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

==> Clique sur Parcourir et cherche le fichier ZHPDiag.txt

==> Clique sur Ouvrir.

==> Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

==> Copie ce lien dans ta réponse.

damien36320 · Answer

bonjour et merci

voilà ci dessous le rapport demandé 

a bientot

http://www.cijoint.fr/cjlink.php?file=cj201005/cijfPuQo3b.txt

damien36320 · Answer

un petit up

gen-hackman · Answer

allez hop je te suis

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em

List_Kill'em

List_Kill'em

 et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer Shortcut
&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

damien36320 · Answer

Bonjour , Tout d'abord merci de bien vouloir suivre mon cas 
le rapport demandé est ci dessous:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijeI7j5wM.txt

bonne journée

gen-hackman · Answer

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

damien36320 · Answer

Bonjour,  et merci de ta réponse si rapide ( mais tu ne dors jamais , j'ai poste a 5h59 et tu me reponds a 6h02 !)

ci dessous le lien demandé 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijj6aryOg.txt

a bientot

gen-hackman · Answer

helo ^^ non je suis un bot ^^

refais un zhpdiag stp

damien36320 · Answer

voila ci dessous le rapport demande 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijiUOmESW.txt

merci de me dire ce que tu en penses

gen-hackman · Answer

&#9654 Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista )

&#9654 fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert "ZHPFix".

&#9654 ZHPFix se lancera, clique maintenant sur le "H" bleu ( coller les lignes helper )

&#9654 copie/colle ce qui se trouve en gras ci-dessous :

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O42 - Logiciel: Java(TM) 6 Update 18 - (.Sun Microsystems, Inc..) [HKLM]
O44 - LFC:[MD5.6623761E8182D5BE55F89D949700682C] - 28/04/2010 - 17:23:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix.txt   [3122]
O44 - LFC:[MD5.3CB47C5BE8E05934F0BFA00E2AE92B7A] - 28/04/2010 - 17:23:34 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix_Upload_Me_PC-de-Famille.zip   [1536]
O44 - LFC:[MD5.19F3CEB355F74D51644BC0CA6E7F2F13] - 22/04/2010 - 05:55:01 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\TDSSKiller.2.2.8.1_22.04.2010_06.54.54_log.txt   [11962]
O44 - LFC:[MD5.AA0EE684164FE208AFA0AE3DDC30D119] - 19/04/2010 - 19:41:36 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\TDSSKiller.2.2.8.1_19.04.2010_20.41.35_log.txt   [11962]
O44 - LFC:[MD5.2FB566D057F23558D9651381A465B2CD] - 19/04/2010 - 19:41:07 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\TDSSKiller.2.2.8.1_19.04.2010_20.41.06_log.txt   [11962]
O44 - LFC:[MD5.6C40EC41AA5C68AEC9BC71E6C67F2D4A] - 07/04/2010 - 08:23:22 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\TDSSKiller.2.2.8.1_07.04.2010_09.23.20_log.txt   [11962]
O58 - SDL:[MD5.084BEDB5719FEFE4E957DD16F06EE5A3] - 06/04/2010 - 19:33:30 ---A- . (.eSage Lab - TDSS Remover Kernel Driver.) -- C:\Windows\system32\drivers\rk_remover.sys
O64 - Services: CurCS - C:\Windows\system32\drivers\rk_remover.sys - rk_remover-boot (rk_remover-boot)  .(.eSage Lab - TDSS Remover Kernel Driver.) - LEGACY_RK_REMOVER-BOOT


&#9654 Clique sur "Ok" , puis "Tous" et enfin "Nettoyer".

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message

damien36320 · Answer

apres avoir cliqué sur le h bleu , il y avait deja des commentaires, alors j'ai copié collé ce que tu m'as dis à la suite. j'espere avoir bien fait mais je pense avoir enlevé java18 update.
le rapport demandé est ci dessous
http://www.cijoint.fr/cjlink.php?file=cj201005/cijCDvIYD6.txt

gen-hackman · Answer

je sais on en est à java update 20 ^^

encore des soucis ?

damien36320 · Answer

Bonjour, Faut il que j'installe java20? sinon moi je ne constate rien de particulier,
 a la lecture des rapports vois tu quelques chose qui te semble anormal? sinon finalement peu etre que le pc est ok.
merci du temps que tu m'acocrdes.

gen-hackman · Answer

voici tout ce que tu dois faire pour partir vraiment tranquille .....2 fois rien ^^ Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- ▶---> Télécharge ToolsCleaner2sur ton Bureau. * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ___________________________________________________ ▶ Tu peux supprimer ToolCleaner ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

damien36320 · Answer

je te remercie ainsi que pimprenelle du temps passé à m'aider, je ne connaissais ce forum que de nom mais sincerement je suis tres content d'avoir trouvé des gens sympa qui prennent de leur temps libre pour aider les autres.
je vous souhaite une bonne continuation et je vais appliquer les conseils de sécurité decrits ci dessus 
merci encore et j'espere pouvoir un jour vous retournet l'ascenceur
damien

gen-hackman · Answer

j'habite au neuvieme ^^

bonne suite ;)

damien36320 · Answer

A l'attention d'un moderateur, 
malgré que je sois connecté sous mon  pseudo je ne peux pas mettre en résolu.

Pourriez vous svp le faire.

PS dans mes remerciements dans le post précédent j'ai oublié ( bien involontairement) LAMER01 que je remercie également.

gen-hackman · Answer

je m'en occupe ^^

Je pense etre infecté par virus rootkit tssd

87 réponses

Discussions similaires

Newsletters