Cheval de Troie non supprimableFermé

Question

Bonjour, 

Depuis quelques jours, Avira AntiVir m'indique que j'ai des chevaux de Troie (TR/Kazy.15563.5)
Je ne peux pas supprimer les fichiers .exe qui se trouvent dans mes fichiers temporaires.

J'ai scanné avec Avira, Malwarebyte's antimalware, spybot et ccleaner histoire de faire un peu le ménage.

Mais ils sont toujours là.

Pourriez-vous m'aider, svp ?

Merci à vous!
Céline
Configuration: Windows Vista / Firefox 3.6.13

Malekal_morte- · Answer

Salut,

Spybot est dépassé, désinstalle.
CCleaner est un nettoyeur, aucun interêt de le passer pour désinfecter.

C'est détecté dans quel fichier ?

gen-hackman · Answer

salut poste ton rapport de malwqarebytes

de plus :

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Letsmotiv · Answer

Merci pour vos messages. Je vais télécharger usbfix et je reviens.

En attendant, voici le log de malware :

Malwarebytes' Anti-Malware 1.17
Version de la base de données: 846

18:53:04 14/03/2011
mbam-log-3-14-2011 (18-53-04).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 295178
Temps écoulé: 1 hour(s), 30 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Letsmotiv · Answer

Et voici le log d'Usbfix : 

############################## | UsbFix 7.042 | [Suppression]

Utilisateur: Céline (Administrateur) # PC-DE-CÉLINE [Hewlett-Packard HP Pavilion dv7 Notebook PC]
Mis à jour le 14/03/2011 par TeamXscript
Lancé à 19:52:34 | 15/03/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: ***@***

CPU: Intel(R) Core(TM)2 Duo CPU P7350 @ 2.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU P7350 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-Bit) # Service Pack 1
Internet Explorer 7.0.6001.18000

Pare-feu Windows: Activé
RAM -> 3069 Mo 
C:\ (%systemdrive%) -> Disque fixe # 224 Go (138 Go libre(s) - 62%) [] # NTFS
D:\ -> Disque fixe # 9 Go (2 Go libre(s) - 18%) [HP_RECOVERY] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\$RECYCLE.BIN\S-1-5-21-132196259-1906079041-1556265902-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-132196259-1906079041-1556265902-500
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2692589750-4280226949-1803133592-500
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-132196259-1906079041-1556265902-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-132196259-1906079041-1556265902-500

################## | Registre |

Supprimé! HKCU\Software\KUGHGZXAKT
Supprimé! HKCU\Software\XML
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Metropolis

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c3864b2c-a0b9-11df-9131-001eec822d29}

################## | Listing |

[15/03/2011 - 19:55:06 | SHD ] 	C:\$RECYCLE.BIN
[09/06/2008 - 23:27:26 | N | 74] 	C:\autoexec.bat
[08/03/2011 - 18:30:34 | D ] 	C:\BigFishGamesCache
[10/06/2008 - 10:04:54 | D ] 	C:\boot
[21/01/2008 - 03:24:42 | RASH | 333203] 	C:\bootmgr
[18/09/2006 - 22:43:37 | N | 10] 	C:\config.sys
[02/11/2006 - 14:02:03 | SHD ] 	C:\Documents and Settings
[15/03/2011 - 19:32:58 | ASH | 3219341312] 	C:\hiberfil.sys
[04/10/2008 - 14:18:28 | D ] 	C:\HP
[09/07/2008 - 23:35:54 | D ] 	C:\Intel
[08/03/2009 - 15:31:51 | N | 0] 	C:\IO.SYS
[04/10/2008 - 14:18:28 | N | 373] 	C:\IPH.PH
[24/03/2010 - 21:06:37 | D ] 	C:\MONKEY
[08/03/2009 - 15:32:18 | D ] 	C:\MPS
[08/03/2009 - 15:31:51 | N | 0] 	C:\MSDOS.SYS
[09/06/2008 - 23:37:17 | RHD ] 	C:\MSOCache
[15/03/2011 - 19:32:56 | ASH | 3533123584] 	C:\pagefile.sys
[21/01/2008 - 03:32:31 | D ] 	C:\PerfLogs
[08/03/2011 - 19:56:53 | D ] 	C:\Program Files
[01/03/2011 - 19:13:00 | HD ] 	C:\ProgramData
[05/10/2008 - 08:39:21 | D ] 	C:\Sierra
[14/06/2009 - 18:35:28 | D ] 	C:\SwSetup
[15/03/2011 - 19:47:18 | SHD ] 	C:\System Volume Information
[04/10/2008 - 14:16:47 | D ] 	C:\System.sav
[12/12/2009 - 13:23:24 | D ] 	C:\Temp
[15/03/2011 - 19:55:06 | D ] 	C:\UsbFix
[15/03/2011 - 19:52:34 | A | 2785] 	C:\UsbFix.txt
[04/10/2008 - 14:14:55 | D ] 	C:\Users
[15/03/2011 - 07:51:15 | D ] 	C:\Windows
[08/03/2009 - 15:33:59 | D ] 	C:\~MSSTFQF.T
[15/03/2011 - 19:55:06 | SHD ] 	D:\$RECYCLE.BIN
[04/10/2008 - 14:15:28 | N | 13] 	D:\BLOCK.RIN
[10/07/2008 - 00:05:32 | D ] 	D:\boot
[03/10/2006 - 23:02:44 | SH | 438328] 	D:\bootmgr
[26/03/2008 - 16:08:32 | SH | 1089] 	D:\Desktop.ini
[10/09/2002 - 16:14:28 | N | 8134] 	D:\Folder.htt
[10/07/2008 - 00:06:08 | D ] 	D:\HP
[04/10/2008 - 16:24:36 | N | 22] 	D:\HPCD.sys
[15/03/2011 - 19:52:44 | N | 189] 	D:\MASTER.LOG
[24/03/2010 - 21:53:24 | N | 44385] 	D:\MO_B2880.SAV
[04/10/2008 - 16:24:37 | D ] 	D:\PRELOAD
[16/09/2002 - 14:37:48 | N | 181898] 	D:\protect.chinese hong kong
[16/09/2002 - 14:37:40 | N | 181916] 	D:\protect.chinese simplified
[16/09/2002 - 14:37:48 | N | 181898] 	D:\protect.chinese traditional
[27/04/2006 - 16:19:40 | N | 181865] 	D:\protect.czech
[03/11/2005 - 15:21:26 | N | 181726] 	D:\protect.danish
[10/09/2002 - 13:56:12 | N | 181605] 	D:\protect.dutch
[10/09/2002 - 13:50:18 | N | 181651] 	D:\protect.ed
[22/11/2004 - 15:28:30 | N | 181648] 	D:\protect.english
[03/11/2005 - 15:20:20 | N | 181673] 	D:\protect.finnish
[03/11/2005 - 15:19:52 | N | 181736] 	D:\protect.french
[03/11/2005 - 15:18:10 | N | 181669] 	D:\protect.german
[23/11/2005 - 15:56:46 | N | 182689] 	D:\protect.greek
[23/01/2006 - 09:18:00 | N | 182605] 	D:\protect.hebrew
[28/08/2007 - 14:58:08 | N | 181696] 	D:\protect.hungarian
[03/11/2005 - 15:17:00 | N | 181554] 	D:\protect.italian
[19/06/2007 - 15:22:10 | N | 182351] 	D:\protect.japanese
[24/11/2005 - 11:24:44 | N | 218295] 	D:\protect.korean
[03/11/2005 - 15:15:12 | N | 181578] 	D:\protect.norwegian
[25/04/2006 - 14:44:10 | N | 181789] 	D:\protect.polish
[03/11/2005 - 15:13:12 | N | 181624] 	D:\protect.portuguese
[27/10/2005 - 19:24:10 | N | 181882] 	D:\protect.portuguese brazilian
[28/06/2004 - 08:52:46 | N | 211936] 	D:\protect.russian
[03/11/2005 - 15:11:46 | N | 181586] 	D:\protect.spanish
[10/09/2002 - 14:15:06 | N | 181602] 	D:\protect.swedish
[12/08/2003 - 10:37:30 | N | 181783] 	D:\protect.turkish
[04/10/2008 - 15:01:10 | N | 26] 	D:\RCBoot.sys
[10/07/2008 - 00:05:31 | RD ] 	D:\RECOVERY
[10/07/2008 - 00:05:36 | D ] 	D:\SOURCES
[09/07/2008 - 18:25:39 | SHD ] 	D:\System Volume Information
[10/07/2008 - 00:05:58 | D ] 	D:\Tools
[10/07/2008 - 00:05:39 | D ] 	D:\WINDOWS

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-CÉLINE.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

Letsmotiv · Answer

Je viens de voir que le fichier .exe que je n'arrivais pas à supprimer n'est plus là (en tout cas, au dernier endroit où je l'avais vu ;-) ) !


Question subsidiaire : que me conseillez-vous comme protection ? Puis-je garder les logiciels que j'ai ou y en a-t-il des plus performants ? 
J'ai bien compris que Spybot n'était plus utile...

Merci encore à vous !
Céline

gen-hackman · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Letsmotiv · Answer

Voici les deux liens :

OTL.txt
http://www.cijoint.fr/cjlink.php?file=cj201103/cijim8rOEM.txt

et
Extra.txt
http://www.cijoint.fr/cjlink.php?file=cj201103/cijGiaWr28.txt

Merci gen-hackman pour le temps que tu prends.

gen-hackman · Answer

&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Letsmotiv · Answer

Je n'arrive pas à copier le log, voici le lien vers le fichier :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijN1OZz1x.txt

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

et enregistre le sur ton bureau 

lance l'outil , il va stopper les processus infectieux , puis une fois la voie degagée , il va telecharger son supplement que tu devras installer

enregistre le sur ton bureau et lance l'installation 

(entre temps poste "rapport.txt" apparu sur ton bureau

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" 

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95% à l'affichage "2nd Check", relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

&#9654 Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

&#9654&#9654&#9654 NE LES POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ces liens dans ta réponse.

Letsmotiv · Answer

Bonsoir,

J'ai mis un peu de temps pour répondre, parce que je n'arrivais pas à faire tourner correctement List_Kill'em (ça bloquait à 10%). Après désinstal/réinstal, c'est résolu.
Voici les fichiers demandés : 

List'em.txt :
http://www.cijoint.fr/cjlink.php?file=cj201103/cijCheIww9.txt


More.txt :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijzNmRZBI.txt


Tu découvres quoi avec les fichiers que j'envoie ?
Encore merci !

gen-hackman · Answer

desinstalle spybot inutile et freine ton pc pour 3 cookies

=================================

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List&Kill'em , avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Tools puis Kill Proxy

laisse travailler l'outil.

en fin de scan un rapport s'ouvre 

&#9654 colle le contenu dans ta reponse 

==================================

ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

&#9654 Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Tools puis Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :


PROC:SDWinSec.exe 
REM:"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SpybotSD TeaTimer"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "HP Software Update"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "TkBellExe"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "QuickTime Task"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "iTunesHelper"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Adobe Reader Speed Launcher"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SunJavaUpdateSched"
REM:HKEY_CURRENT_USER\software\KCSCPW1HKH

&#9654 enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

laisse travailler l'outil

&#9654 poste le resultat
 
&#9654 Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

=============================================

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Suppression

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse 

&#9654 envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr

Letsmotiv · Answer

Première étape, voici le rapport :

¤¤¤¤¤¤¤¤¤¤ Proxy ¤¤¤¤¤¤¤¤¤¤

[HKCU\..\..\Internet Settings] | ProxyHttp1.1 = 1
[HKCU\..\..\Internet Settings] | ProxyEnable = 0
[HKCU\..\..\Internet Settings] | EnableHttp1_1 = 1
[HKCU\..\..\Internet Settings] | ProxyServer = 
[HKCU\..\..\Internet Settings] | AutoConfigProxy = wininet.dll

¤¤¤¤¤¤¤¤¤¤ Réparation ¤¤¤¤¤¤¤¤¤¤

[HKCU\..\..\Internet Settings] | ProxyHttp1.1 = 1
[HKCU\..\..\Internet Settings] | ProxyEnable = 0
[HKCU\..\..\Internet Settings] | EnableHttp1_1 = 1
[HKCU\..\..\Internet Settings] | ProxyServer = 
[HKCU\..\..\Internet Settings] | AutoConfigProxy = wininet.dll

Letsmotiv · Answer

2ème étape :

¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : Céline (Administrateurs) 
Update on 15/03/2011 by g3n-h@ckm@n ::::: 16.00
Start at: 21:24:40 | 17/03/2011

Intel(R) Core(TM)2 Duo CPU     P7350  @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000

WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 223,71 Go (138,07 Go free) | NTFS
D:\ -> Disque fixe local | 9,17 Go (1,66 Go free) [HP_RECOVERY] | NTFS
E:\ -> Disque CD-ROM
 

Running Process Killed : PID 5040 'Firefox.exe'  
Running Process Killed : PID 2964 'explorer.exe'  
 
¤¤¤¤¤¤¤¤¤¤ Processus :
 
stoppe : SDWinSec.exe  

¤¤¤¤¤¤¤¤¤¤ Added Keys :
 

¤¤¤¤¤¤¤¤¤¤ Removed Keys :
 
Suppression : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : HP Software Update   
Suppression : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : TkBellExe   
Suppression : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : QuickTime Task   
Suppression : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : iTunesHelper   
Suppression : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : Adobe Reader Speed Launcher   
Suppression : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : SunJavaUpdateSched   

¤¤¤¤¤¤¤¤¤¤ Ports closed :
 

¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :
 

¤¤¤¤¤¤¤¤¤¤ Drivers deleted :
 
 
 

¤¤¤¤¤¤¤¤¤¤ Object Restored :
 

¤¤¤¤¤¤¤¤¤¤ Folder List :
 

¤¤¤¤¤¤¤¤¤¤ Read File :
 

¤¤¤¤¤¤¤¤¤¤ Sign control :
 

¤¤¤¤¤¤¤¤¤¤ Key Look :
 

End at 21:25:08

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

le parefeu de windows n'est pas desactivé

Letsmotiv · Answer

3ème étape :

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.6 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Céline (Administrateurs) 
Update on 15/03/2011 by g3n-h@ckm@n ::::: 16.00
Start at: 21:27:17 | 17/03/2011

Intel(R) Core(TM)2 Duo CPU     P7350  @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000

WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 223,71 Go (138,12 Go free) | NTFS
D:\ -> Disque fixe local | 9,17 Go (1,66 Go free) [HP_RECOVERY] | NTFS
E:\ -> Disque CD-ROM
 
Killed : PID 5336 'Firefox.exe'
Killed : PID 3344 'explorer.exe'
 

¤¤¤¤¤¤¤¤¤¤ Fichiers | Dossiers 

Mis en quarantaine : C:\Users\C'line\errorlog.tmp   
Mis en quarantaine : C:\Users\C'line\Documents\cc_20090329_111431.reg   
Mis en quarantaine : C:\Users\C'line\Documents\cc_20090329_111622.reg   
Mis en quarantaine : C:\Users\C'line\Documents\cc_20090919_150714.reg   
Mis en quarantaine : C:\Users\C'line\Documents\cc_20100619_111737.reg   
Mis en quarantaine : C:\Users\C'line\Documents\cc_20100619_111815.reg   
Mis en quarantaine : C:\Users\C'line\AppData\Local\d3d9caps.dat   
Mis en quarantaine : C:\Users\C'line\AppData\Local\GDIPFONTCACHEV1.DAT   
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

C:\Windows\System32\Drivers\etc\hosts
127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Search Page	=         	http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	http://www.google.com/
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Centre de securite ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
cval	=      	1 (0x1) 
FirstRunDisabled	=      	1 (0x1) 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio -> Start = 3   
 EapHost -> Start = 2   
 Wlansvc -> Start = 2   
 SharedAccess -> Start = 2   
 windefend -> Start = 2   
 wuauserv -> Start = 2   
 wscsvc -> Start = 2   
 
 ¤¤¤¤¤¤¤¤¤¤ Winlogon
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 AutoRestartShell	=      	1 (0x1) 
 Shell	=         	explorer.exe 
 Userinit	=         	C:\Windows\System32\userinit.exe, 
 VMapplet	=         	rundll32 shell32,Control_RunDLL sysdm.cpl 
 System	=         	 
 PowerdownAfterShutdown	=         	1 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

TDSS | svchost | Internet Explorer: 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: WDC_WD2500BEVS-60UST0 rev.01.01A01 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll acpi.sys ataport.SYS PCIIDEX.SYS msahci.sys 
C:\Windows\system32\DRIVERS\hpdskflt.sys Hewlett-Packard Corporation Hewlett-Packard Corporation Mobile Data Protection System
1 ntkrnlpa!IofCallDriver[0x82103FEF] -> \Device\Harddisk0\DR0[0x8687D920]
3 CLASSPNP[0x82612745] -> ntkrnlpa!IofCallDriver[0x82103FEF] -> [0x8677A4C0]
5 hpdskflt[0x8B3A8F05] -> ntkrnlpa!IofCallDriver[0x82103FEF] -> [0x85FA4C10]
7 acpi[0x806996A0] -> ntkrnlpa!IofCallDriver[0x82103FEF] -> \Device\Ide\IdeDeviceP0T0L0-0[0x85F598E0]
kernel: MBR read successfully
user & kernel MBR OK 


Fin du Nettoyage : 21:29:29

 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Letsmotiv · Answer

Dernière étape :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijHhoa8xx.zip

Letsmotiv · Answer

Tu t'en sors, gen-hackman ?
J'espère que tu perds pas trop de temps avec mon cas...
Merci beaucoup à toi en tout cas !

gen-hackman · Answer

tu te fais aider sur un autre forum en parallele ?

Letsmotiv · Answer

Euh non pas du tout... pourquoi ?
J'ai un peu tardé pour répondre parce que je n'ai pas beaucoup été chez moi ces deux derniers jours et que je n'arrivais pas à faire fonction list_kill'em.

Letsmotiv · Answer

Ah mince, je viens de voir ton message intercalé entre les miens. 
Faut que je repasse list-kill'em après avoir désactivé le pare-feu ? Les 4 étapes ?

Je ne pense pas avoir le temps avant de partir au boulot ce matin.
Je repasserai plus tard.

gen-hackman · Answer

salut

ok refais un scan OTL stp

Letsmotiv · Answer

Bonjour gen ! 
Voici le log d'otl : 

http://www.cijoint.fr/cjlink.php?file=cj201103/cijP4DkiRj.txt

http://www.cijoint.fr/cjlink.php?file=cj201103/cijLnNBsLg.txt

gen-hackman · Answer

mets vista à jour

Letsmotiv · Answer

Euh comment je fais ?

Edit : ok j'ai trouvé un lien. 

ps : je pars pour une semaine, je ne pourrai sans doute pas me connecter. Je reviens le week-end prochain.
Merci gen :-)

gen-hackman · Answer

pas de soucis signale toi à ton retour :)

Cheval de Troie non supprimable

26 réponses

Discussions similaires

Newsletters