Trojan sur xp et avg [Résolu]

Réponse 81 / 102

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

au fait je viens de voir un écran bleu mais pas plus d'une seconde

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

télécharge super grub et pour le mettre sur une clé voir ici

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

super grub sur le pc infecté ?

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

bah non comment veux tu le télécharger là dessus puisque l'ordi démarre pas.

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

si il demarre mais sans le clé ^^
et l'ecan bleu apparait puis disparait de suite et après on me dit
"on a tenté de modifier vos paramètres demarer normalement ect "

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

on s'en fout de ça; ça va pas avancer le schmilblik; installe super grub sur une clé usb et suis la procédure de super grub sur le pc malade

Réponse 82 / 102

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

ps c'est toujours pareil avec l'autre iso (super grub) l'écran bleu disparait en 2 secondes

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

que faire (désoler si je suis impatient)

Réponse 83 / 102

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

formate, j'ai plus d'idée.

Réponse 84 / 102

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

y faut réinstaller Windows après non?

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

si oui ou trouver une version de windows

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

personne ?

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

ben t achète un cd si tu n'en a pas.

xavidou.

Nann j'en ais pas ya pas un autre moyen jai pas les moyens en ce moment

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

j'ai vu que je pouvais restaurer les paramètre d'usine mais cela va il supprimer le probleme
et puis pour le cd c'est mort je peut pas en lire =(

Réponse 85 / 102

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

mon ordi se sent mieux rapport malwere... 46 infection
une question suis-je un pc zombie

rapport
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6391

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18/04/2011 21:41:41
mbam-log-2011-04-18 (21-41-41).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 215194
Temps écoulé: 1 heure(s), 58 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdfss (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wcscd (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\0ESKOMO9JO (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\TBXQRHV4KR (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Value: Regedit32 -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\xavier\local settings\Temp\cdfss (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\drivers\wcscd.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\xavier\local settings\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\xavier\local settings\Temp\NS14A.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\xavier\local settings\Temp\NS14B.tmp (Trojan.Proxy) -> Quarantined and deleted successfully.
c:\documents and settings\xavier\local settings\Temp\NS2.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\xavier\local settings\Temp\Jx0.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\xavier\local settings\Temp\Jx2.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\xavier\local settings\Temp\Jx3.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\xavier\local settings\Temp\Jxv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\xavier\local settings\Temp\Jxw.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\xavier\local settings\Temp\Jxx.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\xavier\local settings\Temp\Jxy.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\xavier\local settings\Temp\Jxz.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\xavier\local settings\Temp\asmrocxwne.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\system volume information\_restore{7ede4772-2366-4bfd-aaec-7d1d4509cdf9}\RP83\A0027368.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{7ede4772-2366-4bfd-aaec-7d1d4509cdf9}\RP83\A0027369.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{7ede4772-2366-4bfd-aaec-7d1d4509cdf9}\RP84\A0033510.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

bonjours je vien de refaire un exam complet de mbam il n'a rien detecte
est ce fini ?
voici le rapport
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6455

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/04/2011 12:44:27
mbam-log-2011-04-28 (12-44-27).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 200850
Temps écoulé: 40 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

personne ?

Réponse 86 / 102

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

ça y'est j'ai réussi a booter depuis l'usb ( je suis rentrer dans le bios) et voici ce que cela m'affiche
https://imageshack.com/
mais impossible de valider quoi que ce soit
comment faire ?

Réponse 87 / 102

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

on voit rien sur ta capture.

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

je suis vraiment désole mais je l'ai prise avec mon téléphone
attend un peu (10 min j'essaie autre chose)

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

voici le lien
http://img576.imageshack.us/i/20110430141956.jpg/
j'espere que cela t'aidera
bonne journée
merci

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

choisi GNU/Linux (advended)

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

bonjour
désoler de ma réponse tardive mais je fais quoi après il ne se passe rien

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

ton pc ne redémarre pas ?

Réponse 88 / 102

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

ok. supprime le tdss killer que tu as et télécharge le nouveau, je te colle la procédure

▶ Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau
▶ Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
dessus, et sur exécuter en tant qu''administrateur)
▶ Clique sur Start Scan

▶ ▶ Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
▶ ▶ Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
▶ ▶ Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
▶ ▶ Si Suspicious file est indiqué, laisse l''option cochée sur Skip

▶ A la fin clique sur Reboot Now
▶ Le PC va redémarrer, et un rapport va s''ouvrir
▶ Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
N° de version_Date_Heure_log.txt) ');INSERT INTO speeches('category', 'name', 'speech') VALUES ('CCM', 'AD-R Clean', '▶ Relance AD-Remover, clique sur Nettoyer
▶ Laisse le pc redémarrer.
▶ Une fois revenu sur le bureau, le rapport devrait s''ouvrir : poste son contenu.
▶ S''il ne s''ouvre pas; il se trouve là : C:\AD-Report[CLEAN]1.txt');INSERT INTO speeches('category', 'name', 'speech') VALUES ('CCM', 'FixLop Suppression', '▶ Relance FixLop et clique sur Suppression
▶ Un backup du registre est effectué, c''est normal
▶ Copie/colle le rapport de suppression.

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

désoler pour le temps de latence ( de ma réponse) je commence de suite)

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

voici le rapport tdss
2011/05/11 19:57:40.0718 2644 TDSS rootkit removing tool 2.5.0.0 May 1 2011 14:20:16
2011/05/11 19:57:41.0093 2644 ================================================================================
2011/05/11 19:57:41.0093 2644 SystemInfo:
2011/05/11 19:57:41.0093 2644
2011/05/11 19:57:41.0093 2644 OS Version: 5.1.2600 ServicePack: 3.0
2011/05/11 19:57:41.0093 2644 Product type: Workstation
2011/05/11 19:57:41.0093 2644 ComputerName: BONNABEL
2011/05/11 19:57:41.0093 2644 UserName: xavier
2011/05/11 19:57:41.0093 2644 Windows directory: C:\WINDOWS
2011/05/11 19:57:41.0093 2644 System windows directory: C:\WINDOWS
2011/05/11 19:57:41.0093 2644 Processor architecture: Intel x86
2011/05/11 19:57:41.0093 2644 Number of processors: 2
2011/05/11 19:57:41.0093 2644 Page size: 0x1000
2011/05/11 19:57:41.0093 2644 Boot type: Normal boot
2011/05/11 19:57:41.0093 2644 ================================================================================
2011/05/11 19:57:41.0640 2644 Initialize success

juste une chose je n'ai plus le choix entre linux et window au boot c'est normal ?

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

juste une chose je n'ai plus le choix entre linux et window au boot c'est normal ? >> pas compris ?!

==> as tu bien cliqué sur Start Scan après avoirlancé tdss killer ?

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

oups, je viens de voir que mon canned tdss killer a bien foiré :p

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

canned ?c'est quoi ??!
par contre je suis desolé je n'arirve pas a mettre la main sur le rapport ad remover

Réponse 89 / 102

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

Ce sont mes explications, elles se sont mélangées, excuse moi.

Reprenons.

Tu as lancé TDSS Killer puis as tu bel et bien cliqué sur Start Scan ????

Comme sur cette image : http://dl.dropbox.com/u/22950063/tdsskiller.jpg

Réponse 90 / 102

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

oui c'est exactement ça

Réponse 91 / 102

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

essaye de le faire en mode sans échec ?

Réponse 92 / 102

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

la meme chose

Réponse 93 / 102

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

Hello,

Je commence sérieusement à désespérer avec toi...

Un coup l'outil trouve ce qu'il faut, un coup il trouve pas.

TDSS Killer qui bloque >> ça craint ... !

=========

▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

▶ ▶ Désactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "exécuter en tant qu''administrateur"

▶ clique sur l''onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la présence d''un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans démarrer ,puis ouvres le bloc note,vas dans édition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

▶ ▶ Ensuite

▶ sur les lignes rouge:

▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files

A+

Réponse 94 / 102

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

bonjour
voici ce que me dit gmer
GMER 1.0.15.15627 - http://www.gmer.net
Rootkit quick scan 2011-05-16 19:04:30
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.PBBO
Running: mz0q42zs.exe; Driver: C:\DOCUME~1\xavier\LOCALS~1\Temp\uwlyqpog.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwEnumerateKey [0x9C064BF2]
SSDT \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software) ZwEnumerateValueKey [0x9C064A5D]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0x9EF96902]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device aswSP.SYS (avast! self protection module/AVAST Software)
Device Ntfs.sys (NT File System Driver/Microsoft Corporation)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

voila bonne journée
xavier
ps ( impossible de faire ? Services:cliques droit delete service
? Process:cliques droit kill process
? Adl ,file:cliques droit delete files
et je ne vois aucune ligne rouge)

Réponse 95 / 102

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

que dalle ....

▶ Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu''administrateur)

▶ Lance OTL
▶ Sous Personnalisation, copie-colle ce qu''il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c

▶ Clique sur le bouton Analyse.
▶ Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

Réponse 96 / 102

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

bonjour voici le lien
https://pjjoint.malekal.com/files.php?id=bdd3fcca065614
bonne journée a toi
xavier

Réponse 97 / 102

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

'ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :

:OTL
IE - HKCU\..\URLSearchHook: {E38FA08E-F56A-4169-ABF5-5C71E3C153A1} - C:\Program Files\Freeze.com\NetAssistant\NetAssistant.dll (W3i, LLC)
O2 - BHO: (NetAssistant) - {E38FA08E-F56A-4169-ABF5-5C71E3C153A1} - C:\Program Files\Freeze.com\NetAssistant\NetAssistant.dll (W3i, LLC)
[2011/04/26 11:21:06 | 000,000,000 | ---D | C] -- C:\Program Files\Freeze.com

:commands
[emptytemp]

▶ Clique sur « Correction » et laisse l''outil travailler. L''ordinateur redémarre.

▶ Copie/colle la totalité du rapport dans ta prochaine réponse.

Réponse 98 / 102

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

ça y'est je viens de rebooter mais aucun rapport ne m'a été fournis

Réponse 99 / 102

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

télécharge et lance ça : http://dl.dropbox.com/u/21363431/Reload_Tdsskiller.exe

Clique sur Téléchargement la dernière version

Ensuite relance Reload_TDSSkiller
Clique sur Lancer un nettoyage

TDSS Killer va se lancer, clique sur Start Scan
Poste le rapport à la fin
.::. Contributeur Sécurité .::.

Réponse 100 / 102

xavidou Messages postés 106 Date d'inscription Statut Membre Dernière intervention

c'a yest rapport totalement vierge et en haut infection:not found

Trojan sur xp et avg

102 réponses

Votre réponse

Discussions similaires