Infecté par gomeo

jojomomo -  
 gaetanduloiret -
Bonjour,

Je suis infecté par gomeo. Voilà mon rapport (AD remover). Mrci pour votre aide.



======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 09/01/11 à 12:30
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Lancé à 16:32:09 le 10/01/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
HP_Propriétaire@JOAN ( )

============== RECHERCHE ==============



Clé trouvée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé trouvée: HKLM\Software\Conduit


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\j3r88dxh.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\HP_Propriétaire\\Mes documents\\ecole\\cycle 3\\français\\ORL\\voc...
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://www.searcheo.fr/recherche?search&q=
privacy.popups.showBrowserMessage, false

========================================

** Internet Explorer Version [7.0.5730.11] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Search_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=63&bd=PAVILION&pf=desktop
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://www.ustart.org
Use Custom Search URL: 1

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=63&bd=PAVILION&pf=desktop
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.ustart.org

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 09/01/2011 (2479 Octet(s))
C:\Ad-Report-SCAN[2].txt - 10/01/2011 (446 Octet(s))

Fin à: 16:33:02, 10/01/2011

============== E.O.F ==============

66 réponses

Précédent
Réponse 41 / 66
jojomomo
 
combofix ne veut toujours pas se lancer...
0
Réponse 42 / 66
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Re,

Et cela bloque à quel moment ?

A+
0
Réponse 43 / 66
jojomomo
 
des le départ ! je double clique ensuite le sablier apparait une seconde puis rien !
0
Réponse 44 / 66
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Re,

Tu as bien fait les manips avant ( avec combofix /uninstall ) ?
Je préfère te poser la question.

---------------------------------------------

Au juste, tu pourrais me poster le dernier rapport de TDSSKiller.
Tu le trouveras en C:\
Regarde par rapport à son nom : C:\TDSSKiller.Version_Date_Heure_log.txt

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 66
jojomomo
 
oui j'ai bien fait les manip (réponse de l-ordi: il ne trouve pas combfix)

voila le rapport:
2011/01/13 17:58:56.0046 TDSS rootkit removing tool 2.4.13.0 Jan 12 2011 09:51:11
2011/01/13 17:58:56.0046 ================================================================================
2011/01/13 17:58:56.0046 SystemInfo:
2011/01/13 17:58:56.0046
2011/01/13 17:58:56.0046 OS Version: 5.1.2600 ServicePack: 3.0
2011/01/13 17:58:56.0046 Product type: Workstation
2011/01/13 17:58:56.0046 ComputerName: JOAN
2011/01/13 17:58:56.0046 UserName: HP_Propriétaire
2011/01/13 17:58:56.0046 Windows directory: C:\WINDOWS
2011/01/13 17:58:56.0046 System windows directory: C:\WINDOWS
2011/01/13 17:58:56.0046 Processor architecture: Intel x86
2011/01/13 17:58:56.0046 Number of processors: 2
2011/01/13 17:58:56.0046 Page size: 0x1000
2011/01/13 17:58:56.0046 Boot type: Normal boot
2011/01/13 17:58:56.0046 ================================================================================
2011/01/13 17:58:56.0281 Initialize success
2011/01/13 17:58:59.0562 ================================================================================
2011/01/13 17:58:59.0562 Scan started
2011/01/13 17:58:59.0562 Mode: Manual;
2011/01/13 17:58:59.0562 ================================================================================
2011/01/13 17:59:00.0531 a016bus (b021d0ae4605ce5df67f06e741278cdf) C:\WINDOWS\system32\DRIVERS\a016bus.sys
2011/01/13 17:59:00.0562 a016mdfl (5b6bc2de851012906d4aae84c802e3f2) C:\WINDOWS\system32\DRIVERS\a016mdfl.sys
2011/01/13 17:59:00.0625 a016mdm (c80cffb5819ccfc97f2b09e2259dfde6) C:\WINDOWS\system32\DRIVERS\a016mdm.sys
2011/01/13 17:59:00.0687 a016mgmt (415243177ff67d3cfba44d931b809bf3) C:\WINDOWS\system32\DRIVERS\a016mgmt.sys
2011/01/13 17:59:00.0781 a016obex (3a853f9b8b69541cde714a83a0a6434e) C:\WINDOWS\system32\DRIVERS\a016obex.sys
2011/01/13 17:59:00.0828 Aavmker4 (1ebbd84e856f54eb16d46df9648e872a) C:\WINDOWS\system32\drivers\Aavmker4.sys
2011/01/13 17:59:00.0984 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/01/13 17:59:01.0187 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/01/13 17:59:01.0890 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/01/13 17:59:01.0953 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/01/13 17:59:02.0390 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/01/13 17:59:02.0687 aswFsBlk (062287cee536e8af6680d33259de6bd6) C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys
2011/01/13 17:59:02.0734 aswMon2 (05960396794e51ebbb9507c86b8b009e) C:\WINDOWS\system32\drivers\aswMon2.sys
2011/01/13 17:59:02.0781 aswRdr (06b360d8179959798d2bf054437df923) C:\WINDOWS\system32\drivers\aswRdr.sys
2011/01/13 17:59:02.0812 aswSP (045ed8ef540e69a41e9c0e255fbaf0c0) C:\WINDOWS\system32\drivers\aswSP.sys
2011/01/13 17:59:02.0875 aswTdi (2410f10faa00f222b3a29308741598d6) C:\WINDOWS\system32\drivers\aswTdi.sys
2011/01/13 17:59:02.0968 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/01/13 17:59:03.0000 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/01/13 17:59:03.0203 ati2mtag (8a1a80ef7455244530b117eead8a427f) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/01/13 17:59:03.0281 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/01/13 17:59:03.0328 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/01/13 17:59:03.0437 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/01/13 17:59:03.0531 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/01/13 17:59:03.0656 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/01/13 17:59:03.0781 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/01/13 17:59:03.0843 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/01/13 17:59:04.0328 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/01/13 17:59:04.0390 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/01/13 17:59:04.0468 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2011/01/13 17:59:04.0531 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/01/13 17:59:04.0562 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/01/13 17:59:04.0687 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/01/13 17:59:04.0812 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/01/13 17:59:04.0906 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/01/13 17:59:05.0015 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/01/13 17:59:05.0062 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/01/13 17:59:05.0140 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/01/13 17:59:05.0203 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/01/13 17:59:05.0234 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/01/13 17:59:05.0328 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/01/13 17:59:05.0390 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/01/13 17:59:05.0593 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/01/13 17:59:05.0750 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/01/13 17:59:05.0812 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/01/13 17:59:06.0171 IntcAzAudAddService (47f27af890da3e51c633fdd510910115) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/01/13 17:59:06.0437 IntelIde (4b6da2f0a4095857a9e3f3697399d575) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/01/13 17:59:06.0531 intelppm (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/01/13 17:59:06.0578 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/01/13 17:59:06.0703 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/01/13 17:59:06.0765 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/01/13 17:59:06.0796 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/01/13 17:59:06.0890 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/01/13 17:59:06.0953 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/01/13 17:59:07.0015 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/01/13 17:59:07.0062 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/01/13 17:59:07.0156 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/01/13 17:59:07.0234 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/01/13 17:59:07.0453 ltmodem5 (919de7d76d2c0c0139e08b3e7592d62e) C:\WINDOWS\system32\DRIVERS\ltmdmnt.sys
2011/01/13 17:59:07.0531 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/01/13 17:59:07.0656 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/01/13 17:59:07.0687 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/01/13 17:59:07.0781 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/01/13 17:59:07.0953 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/01/13 17:59:08.0046 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/01/13 17:59:08.0203 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/01/13 17:59:08.0281 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/01/13 17:59:08.0296 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/01/13 17:59:08.0390 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/01/13 17:59:08.0531 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/01/13 17:59:08.0562 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/01/13 17:59:08.0640 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/01/13 17:59:08.0703 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/01/13 17:59:08.0750 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/01/13 17:59:08.0796 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/01/13 17:59:08.0843 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/01/13 17:59:08.0875 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/01/13 17:59:08.0921 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/01/13 17:59:09.0078 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/01/13 17:59:09.0156 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/01/13 17:59:09.0234 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/01/13 17:59:09.0359 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/01/13 17:59:09.0406 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/01/13 17:59:09.0453 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/01/13 17:59:09.0546 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/01/13 17:59:09.0640 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/01/13 17:59:09.0703 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/01/13 17:59:09.0765 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/01/13 17:59:09.0875 PCANDIS5 (2f9806b52cb3748b1e49222744b28e3c) C:\WINDOWS\system32\PCANDIS5.SYS
2011/01/13 17:59:10.0000 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/01/13 17:59:10.0125 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/01/13 17:59:10.0187 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/01/13 17:59:10.0625 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/01/13 17:59:10.0687 Ps2 (390c204ced3785609ab24e9c52054a84) C:\WINDOWS\system32\DRIVERS\PS2.sys
2011/01/13 17:59:10.0734 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/01/13 17:59:10.0796 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/01/13 17:59:10.0890 PxHelp20 (153d02480a0a2f45785522e814c634b6) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/01/13 17:59:11.0109 RasAcd (c0008c4d47013f466dea601eb14e74f8) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/01/13 17:59:11.0109 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\rasacd.sys. Real md5: c0008c4d47013f466dea601eb14e74f8, Fake md5: fe0d99d6f31e4fad8159f690d68ded9c
2011/01/13 17:59:11.0125 RasAcd - detected Rootkit.Win32.TDSS.tdl3 (0)
2011/01/13 17:59:11.0203 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/01/13 17:59:11.0250 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/01/13 17:59:11.0421 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/01/13 17:59:11.0531 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/01/13 17:59:11.0562 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/01/13 17:59:11.0671 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/01/13 17:59:11.0781 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/01/13 17:59:11.0890 RTL8023xp (7988bfe882bcd94199225b5c3482f1bd) C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys
2011/01/13 17:59:11.0984 rtl8139 (d507c1400284176573224903819ffda3) C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
2011/01/13 17:59:12.0093 se59bus (7c38fc284136981ebe002252fa0900d3) C:\WINDOWS\system32\DRIVERS\se59bus.sys
2011/01/13 17:59:12.0125 se59mdfl (3ced539f4373ccf8d3fe71ae51053d5d) C:\WINDOWS\system32\DRIVERS\se59mdfl.sys
2011/01/13 17:59:12.0171 se59mdm (c6a6aa039d14f2ea1998e5f922014067) C:\WINDOWS\system32\DRIVERS\se59mdm.sys
2011/01/13 17:59:12.0203 se59mgmt (7eecfa334292b1cd8de4990b63e02360) C:\WINDOWS\system32\DRIVERS\se59mgmt.sys
2011/01/13 17:59:12.0250 se59nd5 (555895a241611c59ce057c42bc8b6e85) C:\WINDOWS\system32\DRIVERS\se59nd5.sys
2011/01/13 17:59:12.0296 se59obex (729dfa6451b7356834bfa6faec9e3092) C:\WINDOWS\system32\DRIVERS\se59obex.sys
2011/01/13 17:59:12.0343 se59unic (5f453e3e797dbeefe35869dc0239effa) C:\WINDOWS\system32\DRIVERS\se59unic.sys
2011/01/13 17:59:12.0406 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/01/13 17:59:12.0500 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\drivers\Serial.sys
2011/01/13 17:59:12.0625 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\DRIVERS\sfloppy.sys
2011/01/13 17:59:12.0859 SIS163u (7c36050a7b2ce88d2e3749d3714a06d2) C:\WINDOWS\system32\DRIVERS\sis163u.sys
2011/01/13 17:59:13.0015 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/01/13 17:59:13.0062 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/01/13 17:59:13.0171 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/01/13 17:59:13.0234 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/01/13 17:59:13.0281 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/01/13 17:59:13.0671 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/01/13 17:59:13.0781 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/01/13 17:59:13.0890 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/01/13 17:59:13.0968 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/01/13 17:59:14.0031 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/01/13 17:59:14.0265 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/01/13 17:59:14.0421 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/01/13 17:59:14.0531 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/01/13 17:59:14.0578 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/01/13 17:59:14.0609 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/01/13 17:59:14.0656 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/01/13 17:59:14.0687 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/01/13 17:59:14.0718 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/01/13 17:59:14.0781 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/01/13 17:59:14.0890 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/01/13 17:59:14.0984 ViaIde (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys
2011/01/13 17:59:15.0015 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/01/13 17:59:15.0171 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/01/13 17:59:15.0281 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/01/13 17:59:15.0468 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/01/13 17:59:15.0703 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/01/13 17:59:15.0765 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/01/13 17:59:15.0953 ================================================================================
2011/01/13 17:59:15.0953 Scan finished
2011/01/13 17:59:15.0953 ================================================================================
2011/01/13 17:59:15.0984 Detected object count: 1
2011/01/13 17:59:33.0000 RasAcd (c0008c4d47013f466dea601eb14e74f8) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/01/13 17:59:33.0000 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\rasacd.sys. Real md5: c0008c4d47013f466dea601eb14e74f8, Fake md5: fe0d99d6f31e4fad8159f690d68ded9c
2011/01/13 17:59:33.0015 C:\WINDOWS\system32\DRIVERS\rasacd.sys - copied to quarantine
2011/01/13 17:59:33.0109 \HardDisk0\TDLFS\config.ini - copied to quarantine
2011/01/13 17:59:33.0250 \HardDisk0\TDLFS\tdl - copied to quarantine
2011/01/13 17:59:33.0250 \HardDisk0\TDLFS\rsrc.dat - copied to quarantine
2011/01/13 17:59:33.0796 \HardDisk0\TDLFS\tdlcmd.dll - copied to quarantine
2011/01/13 17:59:33.0812 \HardDisk0\TDLFS\data.db - copied to quarantine
2011/01/13 17:59:33.0843 \HardDisk0\TDLFS\data.js - copied to quarantine
2011/01/13 17:59:33.0859 Rootkit.Win32.TDSS.tdl3(RasAcd) - User select action: Quarantine
2011/01/13 18:07:15.0609 Deinitialize success
0
Réponse 46 / 66
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
jojomomo,

1/ Relance TDSSKiller et poste le rapport obtenu.

2/ Télécharge RootRepeal à partir d'un des liens suivants et enregistre-le sur ton bureau.
o http://ad13.geekstogo.com/RootRepeal.exe
o https://download.bleepingcomputer.com/rootrepeal/RootRepeal.exe

· Double clique sur RootRepeal.exe
( Si sous vista --> Click droit et choisir exécuter en tant qu'administrateur )
· Clique sur l'onglet Report puis sur le bouton Scan.
· Sélectionne ensuite chacune des cases ( Drivers, Files, processes, ... )
· Valide en cliquant sur Ok
· Une fenêtre va s'ouvrir. Sélectionne ton disque dur ( genéralement C: ), et valide.
· RootRepeal va maintenant scanner ton PC. .
· Une fois les analyses terminées, clique sur le bouton Save Report
. Sauvegarde le rapport sur ton bureau
· Poste-le .

A+
0
Réponse 47 / 66
jojomomo
 
voila le rapport de tdsskiller:

C:\WINDOWS\system32\DRIVERS\rasacd.sys - copied to quarantine
\HardDisk0\TDLFS\config.ini - copied to quarantine
\HardDisk0\TDLFS\tdl - copied to quarantine
\HardDisk0\TDLFS\rsrc.dat - copied to quarantine
\HardDisk0\TDLFS\tdlcmd.dll - copied to quarantine
\HardDisk0\TDLFS\data.db - copied to quarantine
\HardDisk0\TDLFS\data.js - copied to quarantine
0
Réponse 48 / 66
jojomomo
 
voila le rapport de rootrepeal :

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2011/01/14 11:15
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB8212000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: c:\windows\temp\perflib_perfdata_740.dat
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: c:\windows\temp\sqlite_aticzsfyay7oaco
Status: Allocation size mismatch (API: 4096, Raw: 0)

SSDT
-------------------
#: 025 Function Name: NtClose
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf12386b8

#: 041 Function Name: NtCreateKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf1238574

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf1238a52

#: 068 Function Name: NtDuplicateObject
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf123814c

#: 119 Function Name: NtOpenKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf123864e

#: 122 Function Name: NtOpenProcess
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf123808c

#: 128 Function Name: NtOpenThread
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf12380f0

#: 177 Function Name: NtQueryValueKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf123876e

#: 204 Function Name: NtRestoreKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf123872e

#: 247 Function Name: NtSetValueKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf12388ae

==EOF==
0
Réponse 49 / 66
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Jojomomo,

Tu as peut-être l'impression qu'on tourne en rond. ;-(
Ce n'est pas faux.

TDSSKiller n'arrive pas à supprimer l'infection avec ce rootkit.
Il y a donc autre chose sur le PC qui doit vérouiller l'infection ou la réécrire.

Combofix si on arrivait à le passer nous en dirait plus mais ....

--------------------------------------------------------

Relance OTL

* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante. 

netsvcs   
Drivers32  
msconfig    
activex  
C:\TDLFS\*.* /s  
/md5start  
rasacd.sys  
c:\windows\temp\sqlite_aticzsfyay7oaco   
winlogon.exe   
explorer.exe  
wininit.exe  
/md5stop  
%SYSTEMDRIVE%\*.exe  
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s  
%appdata%\*.exe /s   
%APPDATA%\*.    
%systemroot%\*. /mp /s   
%systemroot%\system32\drivers\*.sys /lockedfiles  
%systemroot%\system32\*.dll /lockedfiles  
%systemroot%\Tasks\*.job /lockedfiles  
CREATERESTOREPOINT


* Enfin, clique sur le bouton Analyse rapide.

* Une fois l'analyse terminée, poste le rapport obtenu, OTL.txt

Utilise un site comme http://cijoint.fr pour le déposer.
indique ensuite le lien crée.

A+
Allez jusqu'au bout de la procédure de désinfection.
0
Réponse 50 / 66
jojomomo
 
je vois bien que tu fais ce que tu peux...mais tout le monde n'est pas lisbeth salander !

voilà le lien :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijCTUNwVb.txt
0
Réponse 51 / 66
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Re,

Télécharge SEAF de C_XX.
http://www.teamxscript.org/SEAFTelechargement.html

# Double clique sur SEAF.exe
Si sous Vista , click droit sur le fichier et choisir "éxécuter en tant qu'administrateur"

# Tape aticzsfyay7oaco dans la zone de recherche.
# Pour l'option Calculer le checksum, choisis MD5
# Sélectionne l'option " Chercher également dans la base de registre "

# Valide en cliquant sur " lancer la recherche "
# Laisse l'outil scanner.

Copie/Colle le rapport qui s'ouvrira dans ton prochain message

--------------------------------------------------------

Télécharge USBFix ( par El Desaparecido ) sur ton bureau.

* Double clique sur UsbFix.exe présent sur ton bureau .
* clique sur Recherche .
* Un message t'avertira de brancher les supports amovibles.
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
FAIS-LE.
* Laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )


A+
Allez jusqu'au bout de la procédure de désinfection.
0
Réponse 52 / 66
jojomomo
 
rapport de SEAF

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 15:56:41 le 14/01/2011
4.
5. Valeur(s) recherchée(s):
6. aticzsfyay7oaco
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Recherche registre
12.
13. ====== Fichier(s) ======
14.
15.
16. "C:\WINDOWS\Temp\sqlite_aTIcZsfyay7OacO" [ TEMPORARY|ARCHIVE | 2 Ko ]
17. TC: 14/01/2011,11:01:24 | TM: 14/01/2011,11:01:24 | DA: 14/01/2011,11:01:24
18.
19. Hash MD5: [Impossible à obtenir]
20.
21.
22. =========================
23.
24.
25.
26. ====== Entrée(s) du registre ======
27.
28. Aucun élément dans le registre trouvé
29.
30. =========================
31.
32. Fin à: 16:00:28 le 14/01/2011
33. 266407 Éléments analysés
34.
35. =========================
36. E.O.F
0
Réponse 53 / 66
jojomomo
 
rapport de usbfix

############################## | UsbFix 7.037 | [Recherche]

Utilisateur: HP_Propriétaire (Administrateur) # JOAN [ ]
Mis à jour le 10/01/2011 par El Desaparecido / C_XX
Lancé à 16:05:52 | 14/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Pentium(R) 4 CPU 3.06GHz
CPU 2: Intel(R) Pentium(R) 4 CPU 3.06GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.11

Pare-feu Windows: Désactivé /!\
Antivirus: avast! antivirus 4.8.1351 [VPS 110113-1] 4.8.1351 [(!) Disabled | Updated]
Firewall: Norton Internet Worm Protection 2006 [(!) Disabled]
RAM -> 959 Mo
C:\ (%systemdrive%) -> Disque fixe # 180 Go (53 Go libre(s) - 29%) [HP_PAVILION] # NTFS
D:\ -> Disque fixe # 6 Go (653 Mo libre(s) - 10%) [HP_RECOVERY] # FAT32
E:\ -> CD-ROM
J:\ -> Disque amovible # 4 Go (3 Go libre(s) - 86%) [USB DISK] # FAT32
L:\ -> Disque amovible # 240 Mo (240 Mo libre(s) - 100%) [JOAN] # FAT32

################## | Éléments infectieux |


Présent! C:\WINDOWS\fonts\RandFont.dll
Présent! D:\AUTORUN.INF

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{979bd782-4c4c-11dd-97b6-00032f4106f0}
Shell\AutoRun\Command = J:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{e4c790ef-2f86-11db-b42f-806d6172696f}
Shell\AutoRun\Command = D:\setupSNK.exe


################## | Vaccin |

D:\Autorun.inf -> Dossier créé par Panda USB Vaccine

################## | E.O.F |
0
Réponse 54 / 66
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Re,

USBFix n'a pas trouvé grand chose.

------------------------------------------

Relance OTL.

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant : 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\FICHIE~1\SYMANT~1\SymcData\idsdefs\20081114.002\symidsco.sys -- (SYMIDSCO)
[2011/01/10 18:57:29 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011/01/13 18:11:27 | 004,154,145 | ---- | C] () -- C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe
[2007/12/22 18:09:38 | 000,000,008 | ---- | C] () -- C:\WINDOWS\total.INI

:files
C:\WINDOWS\c??.INI
C:\WINDOWS\compteur??.INI
C:\TDLFS
C:\WINDOWS\Temp\sqlite_aTIcZsfyay7OacO
C:\WINDOWS\fonts\RandFont.dll 

:Commands
[EMPTYTEMP]
[EMPTYFLASH]


* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log

2/ Tu vas réutiliser Combofix mais en le renommant lorsque tu le télécharges.
Dans un premier temps, on va essayer sous windows et on verra si il ne passe pas, tu essayeras en mode sans échec.

Sous windows, dans un premier temps :

Suis les consignes de ce tuto pour faire cette manip.

https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm

A+
0
Réponse 55 / 66
jojomomo
 
rappoer de OTL


All processes killed
========== OTL ==========
Service SYMIDSCO stopped successfully!
Service SYMIDSCO deleted successfully!
File C:\PROGRA~1\FICHIE~1\SYMANT~1\SymcData\idsdefs\20081114.002\symidsco.sys not found.
C:\Qoobox\Quarantine\Registry_backups folder moved successfully.
C:\Qoobox\Quarantine folder moved successfully.
C:\Qoobox folder moved successfully.
C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe moved successfully.
C:\WINDOWS\total.INI moved successfully.
========== FILES ==========
C:\WINDOWS\c1.INI moved successfully.
C:\WINDOWS\c10.INI moved successfully.
C:\WINDOWS\c11.INI moved successfully.
C:\WINDOWS\c12.INI moved successfully.
C:\WINDOWS\c13.INI moved successfully.
C:\WINDOWS\c14.INI moved successfully.
C:\WINDOWS\c15.INI moved successfully.
C:\WINDOWS\c16.INI moved successfully.
C:\WINDOWS\c17.INI moved successfully.
C:\WINDOWS\c18.INI moved successfully.
C:\WINDOWS\c19.INI moved successfully.
C:\WINDOWS\c2.INI moved successfully.
C:\WINDOWS\c20.INI moved successfully.
C:\WINDOWS\c3.INI moved successfully.
C:\WINDOWS\c4.INI moved successfully.
C:\WINDOWS\c5.INI moved successfully.
C:\WINDOWS\c6.INI moved successfully.
C:\WINDOWS\c7.INI moved successfully.
C:\WINDOWS\c8.INI moved successfully.
C:\WINDOWS\c9.INI moved successfully.
C:\WINDOWS\compteur10.INI moved successfully.
C:\WINDOWS\compteur11.INI moved successfully.
C:\WINDOWS\compteur12.INI moved successfully.
C:\WINDOWS\compteur13.INI moved successfully.
C:\WINDOWS\compteur4.INI moved successfully.
C:\WINDOWS\compteur5.INI moved successfully.
C:\WINDOWS\compteur6.INI moved successfully.
C:\WINDOWS\compteur7.INI moved successfully.
C:\WINDOWS\compteur8.INI moved successfully.
C:\WINDOWS\compteur9.INI moved successfully.
File\Folder C:\TDLFS not found.
File\Folder C:\WINDOWS\Temp\sqlite_aTIcZsfyay7OacO not found.
C:\WINDOWS\fonts\RandFont.dll moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: HP_Propriétaire
->Temp folder emptied: 3655763 bytes
->Temporary Internet Files folder emptied: 3255907 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 63657760 bytes
->Flash cache emptied: 1658 bytes

User: HP_PropriÚtaire
->Temp folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 235862 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 68,00 mb


[EMPTYFLASH]

User: All Users

User: Default User

User: HP_Propriétaire
->Flash cache emptied: 0 bytes

User: HP_PropriÚtaire

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.20.1 log created on 01142011_163319

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\Perflib_Perfdata_740.dat scheduled to be moved on reboot.

Registry entries deleted on Reboot...
0
Réponse 56 / 66
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Re, 

que faire à l'avenir pour éviter tout ce ramdam...???

Tenir son PC à jour . Ce qui n'est pas le cas.
Arrêter le P2P. C'est le 1er vecteur d'infection.

----------------------------------------------

Des changements pour les redirections ?

On va vérifier certaines choses.

1/ Relance gmer et après l'analyse rapide poste le rapport.

2/ Utilise l'outil suivant pour nettoyer malwarebytes qui n'avait pas fonctionné.
https://data-cdn.mbamupdates.com/v1/tools/mbam-clean/data/mbam-clean-2.3.0.1001.exe

puis reprends la démarche pour utiliser malwarebytes.

Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam.php

Tu l'installes. Choisis les options par défaut.
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir.

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
0
Réponse 57 / 66
jojomomo
 
j'ai eu des emmerdes avec mon écran mais me revoila avec le rapport !


GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2011-01-19 15:08:26
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-7 ST3200827AS rev.3.AHH
Running: n2jwie45.exe; Driver: C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\uxldypog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----
0
Réponse 58 / 66
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
bonjour, jojomomo

Je ne pensais pas te revoir.

Le rapport de gmer est nickel.
Notre rootkit semble bien parti.

On va faire les analyses nécessaires pour vérifier que le PC est propre.

Passe à malwarebytes.

A+
0
Réponse 59 / 66
jojomomo
 
vla le rapport :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5553

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

19/01/2011 16:42:57
mbam-log-2011-01-19 (16-42-57).txt

Type d'examen: Examen complet (C:\|D:\|I:\|)
Elément(s) analysé(s): 248682
Temps écoulé: 1 heure(s), 19 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\echanblard\evid4226patch.exe (Malware.Tool) -> Quarantined and deleted successfully.
c:\tdsskiller_quarantine\12.01.2011_14.30.32\tdl30000\tdlfs0000\tsk0003.dta (Trojan.Agent) -> Quarantined and deleted successfully.
c:\tdsskiller_quarantine\13.01.2011_17.58.56\tdl30000\tdlfs0000\tsk0003.dta (Trojan.Agent) -> Quarantined and deleted successfully.
c:\tdsskiller_quarantine\14.01.2011_11.12.37\tdl30000\tdlfs0000\tsk0003.dta (Trojan.Agent) -> Quarantined and deleted successfully.
0
Réponse 60 / 66
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
jojomomo,

Pour les redirections, plus de problèmes ?

Une dernière analyse.

1/ on va enlever les outils pour ne biaiser les résultats.

# Ouvre OTL et clique sur Purge Outils.
Le PC va redémarrer et supprimer certains outils.
Vérifie que ComboFix et C:\Qoobox est bien supprimé.

# Ouvre AD-Remover et USBFix et choisis leur option de désinstallation.

2/ fais un scan en ligne avec ESET :
Tuto : https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

Poste le rapport si infections.

On termine ensuite.
Si tu as des questions.

A+
0

Discussions similaires

Virus détecté
Koony -
MisteryBean -

6 réponses
mustapha
mustapha -
Ainillia -

1 réponse
Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Problème avec Goméo
D.F. -
D.F. -

6 réponses
infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses