Sujet Précédent Sujet Suivant

Virus et attaque venant d'internet

looo79 Messages postés 109 Date d'inscription   Statut Membre Dernière intervention   -  
moment de grace Messages postés 30049 Statut Contributeur sécurité -
Bonjour,

J'ai un gros problème avec l'ordinateur d'une collègue (sous XP). 3 virus l'ont infecté ainsi que deux clés USB.
Voici le nom des virus :
"Trojan.win32.VBKrypt.chqx"
"Backdoor.win32.blakken.bj"
C'est deux là ont été éliminés assez facilement par Kaspersky.
Le troisième :"Trojan-downloader.win32.CodePack.andf" a mis plus de temps a être éliminé par Kaspersky mais au bout d'un moment, il a fini par me dire que la menace a été détruite.
Maintenant quand je fais une analyse complète, Karspersky me signale qu'il n'y a aucun objet dangereux. Je devrais être contente MAIS, car il y a toujours un MAIS, Karspersky dans le même temps m'indique qu'un objet Internet malicieux tente d'accèder à mon ordi via l'URL : http://k00d.com/gloooza/getcfd.php (je vous déconseille de vous rendre sur cette page). Si je coupe ma connexion Internet, je cesse de recevoir les alertes Karspersky mais dès je reconnecte l'ordi, les alertes reviennent !
Il y a aussi les deux clés USB. Si je les analyse avec Kaspersky, tout va bien, il ne trouve aucun objet malicieux mais dès que l'on clique dessus tous les icônes des dossiers et documents se sont transformés en "raccourci"... Quelques fois, les documents s'ouvrent et d'autres fois il est impossible de les ouvrir mais régulièrement une fenêtre Kaspersky s'ouvre indiquant qu'un élément tente de changer ma clé de registre (je crois, désolée je n'ai pas noté et je refuse systématiquement de peur que ce ne soit le virus).

Help !!! Je ne sais pas quoi faire !!! et je ne trouve pas d'infos sur Internet.
Merci de votre aide.
A voir également:

11 réponses

Réponse 1 / 11
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
bonjour

fais ceci stp

1)

Téléchargez USBFIX de El Desaparecido, C_xx

http://www.teamxscript.org/usbfixTelechargement.html

ou

http://teamxscript.changelog.fr/UsbFix.html

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

Double clic sur le raccourci UsbFix présent sur le bureau .

Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.

Si un message te demande de redémarrer l'ordinateur fais le ...

Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php

Il est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

_____________

2)

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

1
Réponse 2 / 11
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

(clic droit sur le lien ...enregistrer la cible du lien sous )

/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

1
looo79 Messages postés 109 Date d'inscription   Statut Membre Dernière intervention   2
 
Voilà, je viens de terminer avec Combo Fix ! Je t'avoue que j'étais morte de trouille de l'utiliser ! Il ne faut toucher à rien sinon il y a des risques et ici (en Haïti), il y a constamment des coupures d'électricité... je n'étais pas à l'aise dans mes baskets mais au final, j'ai vécu un vrai "moment de grace" :) quand tout s'est terminé sans problème. Internet est connecté (j'ai remis toutes les protections) et il n'y a plus aucun alerte... ce qui signifie que mon problème est résolu !!!!!
Je te laisse regarder de plus près le rapport au cas où tu découvres quelque chose de suspect... Encore une fois, un grand MERCI pour ton aide précieuse. C'est réellement une grande chance de trouver des gens qui comme toi donne des coups de main sans rien attendre en échange !

Voici le rapport :

ComboFix 11-03-23.03 - EdMGuest 23/03/2011 16:33:58.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1015.636 [GMT 1:00]
Lancé depuis: c:\documents and settings\EdMGuest\Bureau\ComboFix.exe
AV: Kaspersky Anti-Virus *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Anti-Virus *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\EdMGuest\kbim.exe
c:\documents and settings\EdMGuest\nroy.exe
c:\windows\Ohojac.exe
c:\windows\system32\drivers\str.sys
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SYNSEND
-------\Service_synsend
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-02-23 au 2011-03-23 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-23 12:43 . 2011-03-23 12:43 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-03-23 12:38 . 2011-03-23 12:43 -------- d-----w- c:\program files\ZHPDiag
2011-03-23 11:47 . 2011-03-23 11:50 -------- d-----w- C:\UsbFix
2011-03-23 10:26 . 2011-03-23 10:27 -------- d-----w- c:\documents and settings\Administrateur
2011-03-04 11:44 . 2008-04-13 10:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2011-03-04 11:44 . 2008-04-13 10:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2011-03-04 11:44 . 2011-03-04 11:44 -------- d-----w- C:\FBBM
2011-03-03 13:58 . 2008-04-13 10:45 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2011-03-03 13:58 . 2008-04-13 10:45 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2011-03-03 13:58 . 2008-04-13 10:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2011-03-03 13:58 . 2008-04-13 10:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2011-03-03 13:58 . 2008-04-13 10:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2011-03-03 13:58 . 2008-04-13 10:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2011-03-03 10:28 . 2001-09-05 03:18 225280 ------w- c:\program files\Fichiers communs\InstallShield\IScript\iscript.dll
2011-03-03 10:28 . 2001-09-05 03:14 176128 ------w- c:\program files\Fichiers communs\InstallShield\Engine\6\Intel 32\iuser.dll
2011-03-03 10:28 . 2001-09-05 03:13 32768 ------w- c:\program files\Fichiers communs\InstallShield\Engine\6\Intel 32\objectps.dll
2011-03-03 10:28 . 2001-09-05 03:18 77824 ----a-w- c:\program files\Fichiers communs\InstallShield\Engine\6\Intel 32\ctor.dll
2011-03-03 10:28 . 2002-07-25 15:07 614532 ----a-w- c:\program files\Fichiers communs\InstallShield\Engine\6\Intel 32\IKernel.exe
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-23 11:50 . 2011-03-23 11:50 3907680 ----a-w- C:\UsbFix_Upload_Me_EDMGUEST1.zip
2011-02-09 13:54 . 2008-04-14 12:00 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2008-04-14 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-02 07:59 . 2010-10-28 16:47 2067456 ----a-w- c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2010-10-28 16:47 677888 ----a-w- c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2008-04-14 12:00 441344 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2008-04-14 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2008-04-14 12:00 1855104 ----a-w- c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2009-08-16 955392]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-05-13 26192168]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-08-24 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-08-24 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-08-24 114688]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe" [2009-09-22 315736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
LINKMAGIC.lnk - c:\program files\LINKMAGIC\LinkMagic.exe [2011-3-3 1822720]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R2 Intel® PROSet Monitoring Service;Intel® PROSet Monitoring Service;c:\windows\system32\IPROSetMonitor.exe [29/10/2010 10:24 87712]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [03/09/2009 15:24 24848]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 13:42 32272]
S2 dgzdkmdtmtyq;dgzdkmdtmtyq;"c:\windows\TEMP\DAT1F9.tmp.exe" --SERVICE --> c:\windows\TEMP\DAT1F9.tmp.exe [?]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\EdMGuest\Application Data\Mozilla\Firefox\Profiles\enug4fhm.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
------- Associations de fichier -------
.
.scr=AutoCADScriptFile
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-yeawoj - c:\documents and settings\EdMGuest\yeawoj.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-23 16:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(2216)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2011-03-23 16:46:30 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-03-23 15:46
.
Avant-CF: 27 984 060 416 octets libres
Après-CF: 28 268 732 416 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - BB448F7CB1E02AF14B85CCBD88F7915A


Merci !
0
Réponse 3 / 11
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
non pas encore résolu...

1)

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::

Driver::
dgzdkmdtmtyq

File::
c:\windows\TEMP\DAT1F9.tmp.exe


* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

___________________

2)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller

Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

______________

3)

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
1
Réponse 4 / 11
Sgmankiller Messages postés 155 Statut Membre 9
 
Fait un nettoyage antivirus avec le disque de Bitdefender bootable. Tu aidera ainsi ton ordinateur. Sinon tu peux démarrer en mode sans échec et fait un scan antivirus.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
looo79 Messages postés 109 Date d'inscription   Statut Membre Dernière intervention   2
 
Merci beaucoup pour la rapidité de ta réponse.
Sais-tu si Bitdefender et Kaspersky sont compatibles ? car un jour j'ai utilisé Spybot sur ordi qui avait Kaspersky et j'ai eu de gros problème de compatibilité entre les deux. Du coup maintenant, je me méfie un peu des réactions de Kaspersky !!!
Bon, en tous les cas merci beaucoup. Je vais tenter en premier de redémarrer en mode sans échec et de faire un scan antivirus et je te dirais ce qu'il en est.

MERCI !!!!
0
Réponse 6 / 11
Sgmankiller Messages postés 155 Statut Membre 9
 
Quand tu démarre un live CD Bitdefender par le BIOS, ton windows nest pas lancer. Donc aucun programme sauf Bitdefender va etre ouvert. Il n'Y a donc aucun risque d'incompatibilité.
0
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
hello

on devrai pouvoir faire "plus simple" si tout va bien
https://forums.commentcamarche.net/forum/affich-21367731-virus-et-attaque-venant-d-internet#3
0
Sgmankiller Messages postés 155 Statut Membre 9
 
Un liveCD n'as pas de préparation. Donc coté simplicité.......
0
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
simplicité pour l'user pas forcément aguerri à cette technique

de plus usbfix va regler immédiatement (normalement) son soucis de dossiers en raccourcis
0
looo79 Messages postés 109 Date d'inscription   Statut Membre Dernière intervention   2
 
Merci pour tous vos conseils. Je suis actuellement en train de faire un scan sur l'ordi en mode sans échec. Je tente dans le même temps de télécharger Bit Defender (sur mon propre ordi) mais j'en ai pour 2 heures (je vis en Haïti avec une connexion Internet vraiment pourrie). Par contre, USBfix s'est téléchargé en peu de temps...bref, j'attends pour le moment pour Bit Defender.
Je vais suivre vos différentes propositions et je vous tiens au courant !

Merci encore
0
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
n'oublie pas de poster le rapport usbfix stp
0
Réponse 7 / 11
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
merci totobetourne (hello)

___________

ok

tu devrais avoir acces à tes dossier

je vois que tu as fait TDSSKiller, poste moi son rapport stp + ZHP à faire
CONTRIBUTEUR SECURITE

En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
0
looo79 Messages postés 109 Date d'inscription   Statut Membre Dernière intervention   2
 
Effectivement, tout est résolu au niveau des clés USB ! c'est génial !!!! :)

Voici le lien suite à l'opération avec ZHP :https://pjjoint.malekal.com/files.php?id=6ce4fe8da79136

Concernant TDSSKiller, je l'ai effectivement utilisé. Mais il m'a indiqué qu'il trouvait "0 threats". Je l'ai utilisé car en fait, le tout premier objet malveillant indiqué par une alerte Kaspersky était "MEM : rootkitWin32.TDSS.fa". En cherchant sur le net, j'ai trouvé que l'on pouvait utiliser TDSSKiller contre ce genre de menace... Puis, je n'ai plus entendu parlé de ce truc sur l'ordi infecté donc je me suis concentrée sur les trois autres menaces (celles citées dans mon premier message)... mais j'aurais probablement dû en parler avant !!! Désolée !!! Voici en tous cas le rapport TDSSKiller :

2011/03/23 09:35:51.0781 2436 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/03/23 09:35:51.0906 2436 ================================================================================
2011/03/23 09:35:51.0906 2436 SystemInfo:
2011/03/23 09:35:51.0906 2436
2011/03/23 09:35:51.0906 2436 OS Version: 5.1.2600 ServicePack: 3.0
2011/03/23 09:35:51.0906 2436 Product type: Workstation
2011/03/23 09:35:51.0906 2436 ComputerName: EDMGUEST1
2011/03/23 09:35:51.0906 2436 UserName: EdMGuest
2011/03/23 09:35:51.0906 2436 Windows directory: C:\WINDOWS
2011/03/23 09:35:51.0906 2436 System windows directory: C:\WINDOWS
2011/03/23 09:35:51.0906 2436 Processor architecture: Intel x86
2011/03/23 09:35:51.0906 2436 Number of processors: 1
2011/03/23 09:35:51.0906 2436 Page size: 0x1000
2011/03/23 09:35:51.0906 2436 Boot type: Normal boot
2011/03/23 09:35:51.0906 2436 ================================================================================
2011/03/23 09:35:53.0750 2436 Initialize success
2011/03/23 09:35:57.0140 2680 ================================================================================
2011/03/23 09:35:57.0140 2680 Scan started
2011/03/23 09:35:57.0140 2680 Mode: Manual;
2011/03/23 09:35:57.0140 2680 ================================================================================
2011/03/23 09:35:59.0625 2680 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/03/23 09:35:59.0921 2680 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/03/23 09:36:00.0265 2680 aeaudio (3cb6ae5435987b1f8c83fd2730479878) C:\WINDOWS\system32\drivers\aeaudio.sys
2011/03/23 09:36:00.0593 2680 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/03/23 09:36:00.0875 2680 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/03/23 09:36:01.0953 2680 ALCXWDM (dd8520280304b6145a6be31008748c7c) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2011/03/23 09:36:03.0265 2680 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/03/23 09:36:03.0390 2680 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/03/23 09:36:03.0562 2680 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/03/23 09:36:03.0781 2680 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/03/23 09:36:03.0968 2680 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/03/23 09:36:04.0140 2680 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/03/23 09:36:04.0343 2680 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/03/23 09:36:04.0515 2680 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/03/23 09:36:04.0656 2680 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/03/23 09:36:05.0265 2680 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/03/23 09:36:05.0453 2680 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/03/23 09:36:05.0609 2680 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2011/03/23 09:36:05.0828 2680 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/03/23 09:36:06.0000 2680 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/03/23 09:36:06.0265 2680 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/03/23 09:36:06.0375 2680 E100B (ac9cf17ee2ae003c98eb4f5336c38058) C:\WINDOWS\system32\DRIVERS\e100b325.sys
2011/03/23 09:36:06.0625 2680 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/03/23 09:36:06.0796 2680 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/03/23 09:36:07.0000 2680 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/03/23 09:36:07.0156 2680 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/03/23 09:36:07.0375 2680 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2011/03/23 09:36:07.0609 2680 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/03/23 09:36:07.0812 2680 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/03/23 09:36:07.0984 2680 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/03/23 09:36:08.0156 2680 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/03/23 09:36:08.0421 2680 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/03/23 09:36:08.0687 2680 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/03/23 09:36:08.0859 2680 ialm (afa7c99d211a2aff21a287bc4264cde6) C:\WINDOWS\system32\DRIVERS\ialmnt5.sys
2011/03/23 09:36:09.0078 2680 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/03/23 09:36:09.0250 2680 IntelIde (4b6da2f0a4095857a9e3f3697399d575) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/03/23 09:36:09.0343 2680 intelppm (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/03/23 09:36:09.0437 2680 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2011/03/23 09:36:09.0562 2680 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/03/23 09:36:09.0656 2680 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/03/23 09:36:09.0828 2680 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/03/23 09:36:10.0031 2680 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/03/23 09:36:10.0187 2680 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/03/23 09:36:10.0406 2680 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/03/23 09:36:10.0484 2680 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/03/23 09:36:10.0546 2680 kl1 (ce3958f58547454884e97bda78cd7040) C:\WINDOWS\system32\drivers\kl1.sys
2011/03/23 09:36:10.0625 2680 KLFLTDEV (adda474c9b18fd829a6c8351485c4842) C:\WINDOWS\system32\DRIVERS\klfltdev.sys
2011/03/23 09:36:10.0875 2680 KLIF (7391ea3fc728c3a7d2c99822d20fe11d) C:\WINDOWS\system32\DRIVERS\klif.sys
2011/03/23 09:36:11.0156 2680 klim5 (fbdc2034b58d2135d25fe99eb8b747c3) C:\WINDOWS\system32\DRIVERS\klim5.sys
2011/03/23 09:36:11.0265 2680 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/03/23 09:36:11.0343 2680 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/03/23 09:36:11.0656 2680 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/03/23 09:36:11.0875 2680 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/03/23 09:36:12.0140 2680 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/03/23 09:36:12.0312 2680 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/03/23 09:36:12.0625 2680 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/03/23 09:36:12.0953 2680 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/03/23 09:36:13.0265 2680 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/03/23 09:36:13.0484 2680 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/03/23 09:36:13.0640 2680 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/03/23 09:36:13.0734 2680 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/03/23 09:36:13.0875 2680 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/03/23 09:36:14.0093 2680 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/03/23 09:36:14.0375 2680 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/03/23 09:36:14.0578 2680 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/03/23 09:36:14.0671 2680 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/03/23 09:36:14.0765 2680 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/03/23 09:36:14.0968 2680 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/03/23 09:36:15.0062 2680 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/03/23 09:36:15.0296 2680 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/03/23 09:36:15.0640 2680 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/03/23 09:36:15.0890 2680 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/03/23 09:36:16.0171 2680 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/03/23 09:36:16.0359 2680 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/03/23 09:36:16.0609 2680 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/03/23 09:36:16.0781 2680 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/03/23 09:36:16.0953 2680 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/03/23 09:36:17.0093 2680 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/03/23 09:36:17.0281 2680 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/03/23 09:36:17.0500 2680 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\drivers\PCIIde.sys
2011/03/23 09:36:17.0703 2680 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/03/23 09:36:18.0625 2680 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/03/23 09:36:18.0765 2680 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/03/23 09:36:18.0859 2680 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/03/23 09:36:19.0578 2680 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/03/23 09:36:19.0750 2680 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/03/23 09:36:20.0000 2680 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/03/23 09:36:20.0250 2680 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/03/23 09:36:20.0453 2680 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/03/23 09:36:20.0593 2680 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/03/23 09:36:20.0812 2680 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/03/23 09:36:21.0203 2680 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/03/23 09:36:21.0328 2680 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/03/23 09:36:21.0500 2680 rtl8185 (de11516a1123a4fa32150f24aa749502) C:\WINDOWS\system32\DRIVERS\rtl8185.sys
2011/03/23 09:36:21.0703 2680 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/03/23 09:36:21.0859 2680 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/03/23 09:36:21.0984 2680 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/03/23 09:36:22.0109 2680 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/03/23 09:36:22.0343 2680 smwdm (4aa922332433cdeb8b82c072c212e32e) C:\WINDOWS\system32\drivers\smwdm.sys
2011/03/23 09:36:22.0593 2680 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/03/23 09:36:22.0734 2680 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/03/23 09:36:22.0984 2680 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/03/23 09:36:23.0218 2680 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/03/23 09:36:23.0359 2680 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/03/23 09:36:24.0046 2680 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/03/23 09:36:24.0234 2680 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/03/23 09:36:24.0406 2680 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/03/23 09:36:24.0515 2680 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/03/23 09:36:24.0671 2680 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/03/23 09:36:25.0171 2680 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/03/23 09:36:25.0500 2680 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/03/23 09:36:25.0796 2680 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/03/23 09:36:25.0968 2680 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/03/23 09:36:26.0187 2680 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/03/23 09:36:26.0515 2680 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/03/23 09:36:26.0687 2680 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/03/23 09:36:26.0812 2680 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/03/23 09:36:27.0000 2680 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/03/23 09:36:27.0093 2680 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/03/23 09:36:27.0343 2680 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/03/23 09:36:27.0500 2680 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/03/23 09:36:27.0718 2680 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/03/23 09:36:28.0468 2680 ================================================================================
2011/03/23 09:36:28.0468 2680 Scan finished
2011/03/23 09:36:28.0468 2680 ================================================================================
2011/03/23 09:36:45.0453 2800 Deinitialize success

Merci !
0
looo79 Messages postés 109 Date d'inscription   Statut Membre Dernière intervention   2
 
Je viens de tenter de reconnecter l'ordi infecté sur le net mais malheureusement les alertes Kaspersky concernant l'URL : http://k00d.com/gloooza/getcfd.php se poursuivent.
Quand je clique sur détails, Kaspersky me dit que c'est un programme malveillant en me donnant l'adresse URL mais je ne peux ni réparer, ni mettre en quarantaine, ni effacer... aucune action n'est possible ! et la fenêtre d'alerte Kaspersky disparait et reviens toutes les 5 secondes ! Il bloque l'accès, il détecte, il bloque l'accès, il détecte et ainsi de suite....
Bon, je coupe à nouveau internet, en attendant...

Merci
0
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
https://forums.commentcamarche.net/forum/affich-21367731-virus-et-attaque-venant-d-internet#14
0
Réponse 8 / 11
looo79 Messages postés 109 Date d'inscription   Statut Membre Dernière intervention   2
 
Désolée, j'étais en déplacement toute la journée. Je viens juste de rentrer, je me lance donc dans cette nouvelle étape maintenant.

Merci !!!!
0
Réponse 9 / 11
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
ok

en attente des rapports correspondants

@+
0
looo79 Messages postés 109 Date d'inscription   Statut Membre Dernière intervention   2
 
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci

J'ai bien vu ta signature et malgré mon long silence, je reste jusqu'au bout ! J'ai juste eu quelques petits soucis à gérer qui n'ont rien à voir avec l'informatique !
Quoique, je viens de me rendre compte qu'un second ordinateur est infecté. Ma collègue a envoyé un fichier par mail (excel je crois) avant que je n'intervienne sur son ordi et un autre collègue a reçu à la place du fichier normal un fichier ".exe" mais il ne l'a pas vu... résultat ordi infecté ! Youpi !!!

Bref, voici les différents rapports à la suite :

RAPPORT 1 :

ComboFix 11-03-27.02 - EdMGuest 28/03/2011 17:47:52.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1015.611 [GMT 2:00]
Lancé depuis: c:\documents and settings\EdMGuest\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\EdMGuest\Bureau\CFScript.txt
AV: Kaspersky Anti-Virus *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Anti-Virus *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
FILE ::
"c:\windows\TEMP\DAT1F9.tmp.exe"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\EdMGuest\doikun.exe
c:\documents and settings\EdMGuest\faanu.exe
c:\documents and settings\EdMGuest\GDPAG.EXE
c:\documents and settings\EdMGuest\liokoz.exe
c:\documents and settings\EdMGuest\yevad.exe
c:\documents and settings\EdMGuest\zuir.exe
c:\windows\system32\sshnas21.dll
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_DGZDKMDTMTYQ
-------\Service_dgzdkmdtmtyq
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-02-28 au 2011-03-28 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-23 12:43 . 2011-03-23 12:43 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-03-23 12:38 . 2011-03-23 12:43 -------- d-----w- c:\program files\ZHPDiag
2011-03-23 11:47 . 2011-03-23 11:50 -------- d-----w- C:\UsbFix
2011-03-23 10:26 . 2011-03-23 10:27 -------- d-----w- c:\documents and settings\Administrateur
2011-03-04 11:44 . 2008-04-13 10:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2011-03-04 11:44 . 2008-04-13 10:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2011-03-04 11:44 . 2011-03-04 11:44 -------- d-----w- C:\FBBM
2011-03-03 13:58 . 2008-04-13 10:45 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2011-03-03 13:58 . 2008-04-13 10:45 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2011-03-03 13:58 . 2008-04-13 10:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2011-03-03 13:58 . 2008-04-13 10:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2011-03-03 13:58 . 2008-04-13 10:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2011-03-03 13:58 . 2008-04-13 10:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2011-03-03 10:28 . 2001-09-05 03:18 225280 ------w- c:\program files\Fichiers communs\InstallShield\IScript\iscript.dll
2011-03-03 10:28 . 2001-09-05 03:14 176128 ------w- c:\program files\Fichiers communs\InstallShield\Engine\6\Intel 32\iuser.dll
2011-03-03 10:28 . 2001-09-05 03:13 32768 ------w- c:\program files\Fichiers communs\InstallShield\Engine\6\Intel 32\objectps.dll
2011-03-03 10:28 . 2001-09-05 03:18 77824 ----a-w- c:\program files\Fichiers communs\InstallShield\Engine\6\Intel 32\ctor.dll
2011-03-03 10:28 . 2002-07-25 15:07 614532 ----a-w- c:\program files\Fichiers communs\InstallShield\Engine\6\Intel 32\IKernel.exe
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-23 11:50 . 2011-03-23 11:50 3907680 ----a-w- C:\UsbFix_Upload_Me_EDMGUEST1.zip
2011-02-09 13:54 . 2008-04-14 12:00 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2008-04-14 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-02 07:59 . 2010-10-28 16:47 2067456 ----a-w- c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2010-10-28 16:47 677888 ----a-w- c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2008-04-14 12:00 441344 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2008-04-14 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2008-04-14 12:00 1855104 ----a-w- c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((( SnapShot@2011-03-23_15.41.10 )))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2009-08-16 955392]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-05-13 26192168]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-08-24 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-08-24 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-08-24 114688]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe" [2009-09-22 315736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R2 Intel® PROSet Monitoring Service;Intel® PROSet Monitoring Service;c:\windows\system32\IPROSetMonitor.exe [29/10/2010 11:24 87712]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [03/09/2009 16:24 24848]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 14:42 32272]
.
.
------- Examen supplémentaire -------
.
IE: Ajouter à Kaspersky Anti-Bannière - c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\ie_banner_deny.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\EdMGuest\Application Data\Mozilla\Firefox\Profiles\enug4fhm.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-faanu - c:\documents and settings\EdMGuest\faanu.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-28 17:56
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(1036)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\LINKMAGIC\LinkMagic.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2011-03-28 18:01:40 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-03-28 16:01
ComboFix2.txt 2011-03-23 15:46
.
Avant-CF: 28 180 017 152 octets libres
Après-CF: 28 179 316 736 octets libres
.
- - End Of File - - F4B32274E25186D376DBFBF3FF733FD2

RAPPORT 2 :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 6198

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/03/2011 18:42:48
mbam-log-2011-03-28 (18-42-48).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 150953
Temps écoulé: 4 minute(s), 32 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\A9YA3MI1CF (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

RAPPORT 3 :

https://pjjoint.malekal.com/files.php?id=323a0329b615715

Merci !
0
Réponse 10 / 11
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
heureux de te voir

encore des soucis ?
0
looo79 Messages postés 109 Date d'inscription   Statut Membre Dernière intervention   2
 
Et bien, de mon côté l'ordi semble fonctionner à merveille :)
Que penses-tu des derniers rapports que j'ai envoyé ?
Et oui, j'ai des soucis avec l'autre ordi mais Kaspersky indique que tout est éliminé et il n'a pas contaminé la clé que j'ai inséré dedans alors... je me dis que tout doit être ok (le problème semblait différent en fait... un logiciel voulait se télécharger constamment mais depuis que Kaspersky est intervenu, plus rien ne se passe. Tout est revenu à la normal !).
Je crois donc que mon cauchemar est terminé !

Un GRAND MERCI à toi pour tout le temps que tu as passé à m'aider et tes précieux conseils !
0
Réponse 11 / 11
moment de grace Messages postés 30049 Statut Contributeur sécurité 2 274
 
Ton dernier zhp est bon

Pour finir

1)

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Classes\CLSID\{b791a095-a4ac-4312-8894-5b7e8ff5b3cd}]

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

......................

2)

Mets à jour Adobe Reader (désinstalle avant la version antérieure)
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

....................

3)
IMPORTANT

Purger les points de restauration système:

Télécharge OneClick2RestorePoint

http://www.multifa7.be/Laddy/OneClick2RP.exe (merci à elle)

Mirroirs si non accessible :
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
https://app.box.com/s/cqcsz5m0oz

* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)
* Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
* * Rends toi dans l'onglet "Autres options"
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
* Les points de restauration système seront purgés sauf le dernier créé.

Ensuite avec le même outil
Créer un nouveau point de restauration reconnaissable
.................

4)
pour supprimer les outils de désinfection :

télécharge Delfix de Xplode

http://www.teamxscript.org/too/Xplode/DelFix.exe

choisis SUPPRESSION

poste son rapport
.............................................

Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
- logiciels non à jour (windows, internet explorer, java, adobe reader etc)
- installation de toolbar
- fréquentation de sites piégés
- P2P
- Application de cracks
- Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus
pour bloquer les publicités
https://addons.mozilla.org/fr/firefox/addon/adblock-plus/

............................

WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX)
http://www.teamxscript.org/too/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse

..........................

Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux utiliser Sécunia
https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php

.........................

utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
FOTOSE (allemagne)
lix -
Yves -

13 réponses
ATTENTION : escroquerie à la carte bleue !!
dvrg -
dvrg -

80 réponses