Virus Farceur ? BKDR_TDSS.SMZ
mykae12
Messages postés
10
Statut
Membre
-
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
Bonjour,
Infecté par un virus , je me retrouve avec un pc qui demarre mais ou le contenu de programe file et mes documents est VIDE !!
J'ai un message d'erreur comme quoi mon disque dur] a perdu 30% de stockage et qu'il est endomagé.
Mais lorsque que je redemarre le pc avec un cd de tous les programes sont là et tous mes documents aussi sont presents sur le disque et il ne manque pas 30% de stockage.
Je vous fais parvenir 2 rapports le premier est le rapport de mon antivirus et le deuxieme de
Ci joint le rapport de mon anti virus
Damage Cleanup Engine (DCE) 6.3(Build 1015) (RCM: 2.90.0-1131)
Windows XP(Build 2600: Service Pack 3)
Start time : Sa Apr 16 2011 09:16:13
Load Damage Cleanup Template (DCT) "C:\Program Files\Trend Micro\OfficeScan Client\\TMRDCT.ptn" (version ) [fail]
Load Damage Cleanup Template (DCT) "C:\Program Files\Trend Micro\OfficeScan Client\\tsc.ptn" (version 1114) [success]
Normal File Check for Detected File "C:\temp\smwcoxnare.tmp" (Virus Name BKDR_TDSS.SMZ): Normal file check result 0x00031B00.
TSC_GENCLEAN[virus found]
-->reboot delete registry value("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr") success
-->reboot modify registry data("HKEY_CURRENT_USER","Control Panel\Desktop","SCRNSAVE.EXE") success
-->reboot modify registry data("HKEY_CURRENT_USER","Control Panel\Desktop","WallPaper") success
-->reboot modify registry data("HKEY_CURRENT_USER","Software\Microsoft\Internet Explorer\Desktop\General","WallPaper") success
-->reboot modify registry data("HKEY_CURRENT_USER","Software\Microsoft\Internet Explorer\Desktop\General","BackupWallpaper") success
-->reboot modify registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Internet Explorer\Main","Start page") success
-->reboot modify registry data("HKEY_CURRENT_USER","Software\Microsoft\Internet Explorer\Main","Start page") success
-->reboot modify registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update","AUOptions") success
-->reboot modify registry data("HKEY_CURRENT_USER","Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","HideFileExt") success
-->reboot modify registry data("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Services\Messenger","Start") success
-->reboot modify registry data("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Services\TlntSvr","Start") success
-->reboot modify registry data("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Services\wscsvc","Start") success
GenericClean::Pattern:TSC_GENCLEAN,Virus Name:BKDR_TDSS.SMZ,Virus File Path:C:\temp\smwcoxnare.tmp
GenericClean::Pattern:WORM_DOWNAD,Virus Name:BKDR_TDSS.SMZ,Virus File Path:C:\temp\smwcoxnare.tmp
GenericClean::Pattern:PE_PATCHEP.A,Virus Name:BKDR_TDSS.SMZ,Virus File Path:C:\temp\smwcoxnare.tmp
GenericClean::Pattern:BKDR_TIDIES,Virus Name:BKDR_TDSS.SMZ,Virus File Path:C:\temp\smwcoxnare.tmp
Complete time : Sa Apr 16 2011 09:17:21
Execute pattern count(4), Virus found count(1), Virus clean count(1), Clean failed count(0)
ci joint le rapport de hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:00:07, on 22.04.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\WINDOWS\system32\Empirum\EmpirumRemoteSettings.exe
C:\Program Files\Apoint\HidFind.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\Empirum\SWDepot.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\All Users\Application Data\XjFfFSETuJNIM.exe
C:\WINDOWS\Ttolec.exe
C:\WINDOWS\system32\attrib.exe
C:\Documents and Settings\All Users\Application Data\18407220.exe
C:\Documents and Settings\ivanov\Desktop\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet.mss.magna-europa.eu-ias.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.20.186.178:3128
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [RunSWDepot1] SWDEPOT /WU /S /T /Q
O4 - HKLM\..\Run: [RunSWDepot2] SWDEPOT \\%EmpirumServer%\Configurator$\User\SwDepot.dds /I\\%EmpirumServer%\Values$\MachineValues\%DomainName%\%Computername%.ddc /I\\%EmpirumServer%\Values$\UserValues\%UserDomain%\%UserName%.ddc /S /K30 /E /F /Z2
O4 - HKLM\..\Run: [IBM Lotus Notes Preloader] "C:\Program Files\Lotus\Notes\nntspreld.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [DWQueuedReporting] "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKLM\..\RunOnce: [DCERegBootClean] C:\WINDOWS\RegBootClean.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TBXQRHV4KR] C:\WINDOWS\Ttolec.exe
O4 - HKCU\..\Run: [XjFfFSETuJNIM] C:\Documents and Settings\All Users\Application Data\XjFfFSETuJNIM.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://intranet.mss.magna-europa.eu-ias.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = seating-go.eu-ias.com
O17 - HKLM\Software\..\Telephony: DomainName = seating-go.eu-ias.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = seating-go.eu-ias.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = seating-go.eu-ias.com
O23 - Service: Empirum Remote Control Service (EmpirumRC_Service) - matrix42 AG - C:\WINDOWS\system32\Empirum\EmpirumRCHost.exe
O23 - Service: Lotus Notes Diagnostics - IBM - C:\Program Files\Lotus\Notes\nsd.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Program Files\Lotus\Notes\ntmulti.exe
O23 - Service: Aventail VPN Client (NgVpnMgr) - Aventail Corporation - C:\WINDOWS\system32\ngvpnmgr.exe
O23 - Service: OfficeScan NT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Empirum-Agent (SetupService) - Matrix42 AG - C:\WINDOWS\system32\EMPIRUM\SetupSvc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\StacSV.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: uvnc_service - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe
Infecté par un virus , je me retrouve avec un pc qui demarre mais ou le contenu de programe file et mes documents est VIDE !!
J'ai un message d'erreur comme quoi mon disque dur] a perdu 30% de stockage et qu'il est endomagé.
Mais lorsque que je redemarre le pc avec un cd de tous les programes sont là et tous mes documents aussi sont presents sur le disque et il ne manque pas 30% de stockage.
Je vous fais parvenir 2 rapports le premier est le rapport de mon antivirus et le deuxieme de
Ci joint le rapport de mon anti virus
Damage Cleanup Engine (DCE) 6.3(Build 1015) (RCM: 2.90.0-1131)
Windows XP(Build 2600: Service Pack 3)
Start time : Sa Apr 16 2011 09:16:13
Load Damage Cleanup Template (DCT) "C:\Program Files\Trend Micro\OfficeScan Client\\TMRDCT.ptn" (version ) [fail]
Load Damage Cleanup Template (DCT) "C:\Program Files\Trend Micro\OfficeScan Client\\tsc.ptn" (version 1114) [success]
Normal File Check for Detected File "C:\temp\smwcoxnare.tmp" (Virus Name BKDR_TDSS.SMZ): Normal file check result 0x00031B00.
TSC_GENCLEAN[virus found]
-->reboot delete registry value("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr") success
-->reboot modify registry data("HKEY_CURRENT_USER","Control Panel\Desktop","SCRNSAVE.EXE") success
-->reboot modify registry data("HKEY_CURRENT_USER","Control Panel\Desktop","WallPaper") success
-->reboot modify registry data("HKEY_CURRENT_USER","Software\Microsoft\Internet Explorer\Desktop\General","WallPaper") success
-->reboot modify registry data("HKEY_CURRENT_USER","Software\Microsoft\Internet Explorer\Desktop\General","BackupWallpaper") success
-->reboot modify registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Internet Explorer\Main","Start page") success
-->reboot modify registry data("HKEY_CURRENT_USER","Software\Microsoft\Internet Explorer\Main","Start page") success
-->reboot modify registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update","AUOptions") success
-->reboot modify registry data("HKEY_CURRENT_USER","Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","HideFileExt") success
-->reboot modify registry data("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Services\Messenger","Start") success
-->reboot modify registry data("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Services\TlntSvr","Start") success
-->reboot modify registry data("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Services\wscsvc","Start") success
GenericClean::Pattern:TSC_GENCLEAN,Virus Name:BKDR_TDSS.SMZ,Virus File Path:C:\temp\smwcoxnare.tmp
GenericClean::Pattern:WORM_DOWNAD,Virus Name:BKDR_TDSS.SMZ,Virus File Path:C:\temp\smwcoxnare.tmp
GenericClean::Pattern:PE_PATCHEP.A,Virus Name:BKDR_TDSS.SMZ,Virus File Path:C:\temp\smwcoxnare.tmp
GenericClean::Pattern:BKDR_TIDIES,Virus Name:BKDR_TDSS.SMZ,Virus File Path:C:\temp\smwcoxnare.tmp
Complete time : Sa Apr 16 2011 09:17:21
Execute pattern count(4), Virus found count(1), Virus clean count(1), Clean failed count(0)
ci joint le rapport de hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:00:07, on 22.04.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\WINDOWS\system32\Empirum\EmpirumRemoteSettings.exe
C:\Program Files\Apoint\HidFind.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\Empirum\SWDepot.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\All Users\Application Data\XjFfFSETuJNIM.exe
C:\WINDOWS\Ttolec.exe
C:\WINDOWS\system32\attrib.exe
C:\Documents and Settings\All Users\Application Data\18407220.exe
C:\Documents and Settings\ivanov\Desktop\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet.mss.magna-europa.eu-ias.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.20.186.178:3128
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [RunSWDepot1] SWDEPOT /WU /S /T /Q
O4 - HKLM\..\Run: [RunSWDepot2] SWDEPOT \\%EmpirumServer%\Configurator$\User\SwDepot.dds /I\\%EmpirumServer%\Values$\MachineValues\%DomainName%\%Computername%.ddc /I\\%EmpirumServer%\Values$\UserValues\%UserDomain%\%UserName%.ddc /S /K30 /E /F /Z2
O4 - HKLM\..\Run: [IBM Lotus Notes Preloader] "C:\Program Files\Lotus\Notes\nntspreld.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [DWQueuedReporting] "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKLM\..\RunOnce: [DCERegBootClean] C:\WINDOWS\RegBootClean.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TBXQRHV4KR] C:\WINDOWS\Ttolec.exe
O4 - HKCU\..\Run: [XjFfFSETuJNIM] C:\Documents and Settings\All Users\Application Data\XjFfFSETuJNIM.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://intranet.mss.magna-europa.eu-ias.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = seating-go.eu-ias.com
O17 - HKLM\Software\..\Telephony: DomainName = seating-go.eu-ias.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = seating-go.eu-ias.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = seating-go.eu-ias.com
O23 - Service: Empirum Remote Control Service (EmpirumRC_Service) - matrix42 AG - C:\WINDOWS\system32\Empirum\EmpirumRCHost.exe
O23 - Service: Lotus Notes Diagnostics - IBM - C:\Program Files\Lotus\Notes\nsd.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Program Files\Lotus\Notes\ntmulti.exe
O23 - Service: Aventail VPN Client (NgVpnMgr) - Aventail Corporation - C:\WINDOWS\system32\ngvpnmgr.exe
O23 - Service: OfficeScan NT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Empirum-Agent (SetupService) - Matrix42 AG - C:\WINDOWS\system32\EMPIRUM\SetupSvc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\StacSV.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: uvnc_service - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe
A voir également:
- Virus Farceur ? BKDR_TDSS.SMZ
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
17 réponses
Bonjour,
Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
Effectivement, ton ordinateur est très infecté. Commence par utiliser cet outil de désinfection spécifique au rootkit TDSS (détecté par ton antivirus) :
* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur [Start Scan] pour démarrer l'analyse.
* Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now]
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt
Ensuite, même si les symptômes disparaissent, utilise ce logiciel de diagnostic (il est plus complet que Hijackthis) :
* Télécharge ZHPDiag (de Nicolas Coolman)
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Rends toi sur ce site, clique sur "Parcourir" et sélectionne le rapport de ZHPDiag, choisis une durée de conservation illimitée et clique sur "créer le lien Cjoint". Copie/colle le lien fourni dans ta prochaine réponse sur le forum
Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
Effectivement, ton ordinateur est très infecté. Commence par utiliser cet outil de désinfection spécifique au rootkit TDSS (détecté par ton antivirus) :
* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur [Start Scan] pour démarrer l'analyse.
* Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now]
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt
Ensuite, même si les symptômes disparaissent, utilise ce logiciel de diagnostic (il est plus complet que Hijackthis) :
* Télécharge ZHPDiag (de Nicolas Coolman)
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Rends toi sur ce site, clique sur "Parcourir" et sélectionne le rapport de ZHPDiag, choisis une durée de conservation illimitée et clique sur "créer le lien Cjoint". Copie/colle le lien fourni dans ta prochaine réponse sur le forum
Merci anthony5151
Malheureusement lorsque je lance TDSSKiller j'ai un message d'erreur " can not read drive "
et l'autre ZHPDiag pas les droit administrateur... pc de boulot
et pour l'histoire je viens de le récuperer de la maintenance ;qui m'a passé un savon à cause de mon utilisation éfrénée sur le net (de chez moi ) mais c'est juste en voulant downloader un episode de ma serie préférée : ploum pendant le telechargement...
je pense que je suis dans la merde...
c'est ma faute d'habitude je fais tout mes downloads via Linux...et la seule fois que je le fais de windows ça chie
Malheureusement lorsque je lance TDSSKiller j'ai un message d'erreur " can not read drive "
et l'autre ZHPDiag pas les droit administrateur... pc de boulot
et pour l'histoire je viens de le récuperer de la maintenance ;qui m'a passé un savon à cause de mon utilisation éfrénée sur le net (de chez moi ) mais c'est juste en voulant downloader un episode de ma serie préférée : ploum pendant le telechargement...
je pense que je suis dans la merde...
c'est ma faute d'habitude je fais tout mes downloads via Linux...et la seule fois que je le fais de windows ça chie
La maintenance a désinfecté l'ordi ?
Sinon effectivement, ça va être plus difficile de t'aider sans les droits d'administrateur, mais pas forcément impossible.
L'infection d'un ordi sous Windows n'est pas une fatalité, il faut juste savoir quoi faire pour le sécuriser ;)
Sinon effectivement, ça va être plus difficile de t'aider sans les droits d'administrateur, mais pas forcément impossible.
L'infection d'un ordi sous Windows n'est pas une fatalité, il faut juste savoir quoi faire pour le sécuriser ;)
Ok chuis prêt
si tu as la possibilité de faire quelque chose sans les droits d'admin je prends,
De mon coté je vais tenté un forcing pour avoir le mots de passe admin
si tu as la possibilité de faire quelque chose sans les droits d'admin je prends,
De mon coté je vais tenté un forcing pour avoir le mots de passe admin
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
On va utiliser un LiveCD : suis ce tutoriel illustré pour faire un diagnostic avec OTLPE. Poste le rapport quand tu auras terminé, je te donnerais des conseils à partir de ce rapport ;)
hello Anthony5151 ,
Aprés un weekend de pâques arrosé je reviens vers toi.
J'ai demarrer donc avec le live Cd ,et suivis les consignes du tuto , en voici le resultat:
Rapport de OTLPE :
http://www.cijoint.fr/cjlink.php?file=cj201104/cij62ZT83B.txt
Attends instructions...
Aprés un weekend de pâques arrosé je reviens vers toi.
J'ai demarrer donc avec le live Cd ,et suivis les consignes du tuto , en voici le resultat:
Rapport de OTLPE :
http://www.cijoint.fr/cjlink.php?file=cj201104/cij62ZT83B.txt
Attends instructions...
* Démarre sur le CD de OTLPE de la même façon.
* Une fois sur le Bureau, lance OTL
* Copie/colle ce script en entier dans la zone "custom scans"
* Clique sur « Run Fix » et laisse l'outil travailler.
* Copie/colle la totalité du rapport dans ta prochaine réponse.
Je vois aussi sur ce rapport que tu as téléchargé Combofix (évite de le faire depuis Softonic, ce n'est pas le site officiel de l'outil, il ne propose pas forcément la version la plus récente). Le vrai lien de téléchargement est ici. Si tu l'as utilisé, poste le rapport stp
* Une fois sur le Bureau, lance OTL
* Copie/colle ce script en entier dans la zone "custom scans"
* Clique sur « Run Fix » et laisse l'outil travailler.
* Copie/colle la totalité du rapport dans ta prochaine réponse.
Je vois aussi sur ce rapport que tu as téléchargé Combofix (évite de le faire depuis Softonic, ce n'est pas le site officiel de l'outil, il ne propose pas forcément la version la plus récente). Le vrai lien de téléchargement est ici. Si tu l'as utilisé, poste le rapport stp
Salut voici le rapport :
pour combofix je m'en occuppe et je poste.
http://www.cijoint.fr/cjlink.php?file=cj201104/cijfwgOvQW.txt
pour combofix je m'en occuppe et je poste.
http://www.cijoint.fr/cjlink.php?file=cj201104/cijfwgOvQW.txt
J'ai tenté de lancer Combofix sur le live Cd de reatogo. Il ne se lance pas, j'ai droit à un message d'erreur :
" Errors encountered while performing the operation look at the information window for more details"
j'attends tes consignes avant de redémarer sur le Xp du disque dur pour lancer combofix
" Errors encountered while performing the operation look at the information window for more details"
j'attends tes consignes avant de redémarer sur le Xp du disque dur pour lancer combofix
Parfait pour le rapport du script OTL :)
N'oublie pas de poster un nouveau rapport de diagnostic de OTL (depuis OTLPE), comme ici.
Pour Combofix, c'est normal, il doit être lancé sur le système et non depuis OTLPE.
Les consignes pour l'utiliser sont indiquées dans le tutoriel (notamment l'importance de désactiver tous les logiciels de protection). Il va également te demander d'installer la console de récupération : tu dois absolument accepter.
N'oublie pas de poster un nouveau rapport de diagnostic de OTL (depuis OTLPE), comme ici.
Pour Combofix, c'est normal, il doit être lancé sur le système et non depuis OTLPE.
Les consignes pour l'utiliser sont indiquées dans le tutoriel (notamment l'importance de désactiver tous les logiciels de protection). Il va également te demander d'installer la console de récupération : tu dois absolument accepter.
Pour l'instant voici le rapport OTL comme dans le tuto illustré ( scan + le script donné dans le tuto )
http://www.cijoint.fr/cjlink.php?file=cj201104/cijciv4yqt.txt
je tentes de lancer l'installation de combofix sur le système
http://www.cijoint.fr/cjlink.php?file=cj201104/cijciv4yqt.txt
je tentes de lancer l'installation de combofix sur le système
arrh ! je ne peux lancer pas Combofix , toujours le meme message d'erreur...
Je n'arrive pas à descativer le logiciel de protection(OFFICE SCAN de Trendmicro) il me demande un mot de passe...
Je n'arrive pas à descativer le logiciel de protection(OFFICE SCAN de Trendmicro) il me demande un mot de passe...
Ok, laisse tomber Combofix. On a désinfecté tout ce qui était visible depuis OTLPE, le rapport ne montre plus d'infection.
Est-ce que l'antivirus détecte toujours des choses ? Si tu le souhaites, tu peux encore faire deux autres scans de vérification :
1) MalwareBytes :
* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
2) Une analyse antivirus avec un LiveCD : https://forum.pcastuces.com/analyse_antivirus_par_un_live_cd-f31s36.htm
Est-ce que l'antivirus détecte toujours des choses ? Si tu le souhaites, tu peux encore faire deux autres scans de vérification :
1) MalwareBytes :
* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
2) Une analyse antivirus avec un LiveCD : https://forum.pcastuces.com/analyse_antivirus_par_un_live_cd-f31s36.htm
pour Malwarebyte's Anti-Malware c'est mort... Pas de droit admin..
L'anti virus officeScan de mon pc est en train de scaner le systeme
ensuite je relancerais le live cd pour l'analyse antivirus.
En fait depuis le fix de OTL , le systeme n'affiche plus de message comme quoi le disque dur est endommagé.
Par contre tous les fichers dans mes documents et programes file sont en lecture cachée et read only. J'ai pris l'initiative des les changer pour les rendre visibles et enlever le read only (pour programmes files).
Le truc bizzare est que je n'ai plus les raccourcis dans le menu démarrer , je pense que je dois les remettre manuellement?
Le scan de antivirus du systeme vient de se terminer "Pas de virus détecté" Cool
Je lance le live Cd
la suite au prochain épisode
L'anti virus officeScan de mon pc est en train de scaner le systeme
ensuite je relancerais le live cd pour l'analyse antivirus.
En fait depuis le fix de OTL , le systeme n'affiche plus de message comme quoi le disque dur est endommagé.
Par contre tous les fichers dans mes documents et programes file sont en lecture cachée et read only. J'ai pris l'initiative des les changer pour les rendre visibles et enlever le read only (pour programmes files).
Le truc bizzare est que je n'ai plus les raccourcis dans le menu démarrer , je pense que je dois les remettre manuellement?
Le scan de antivirus du systeme vient de se terminer "Pas de virus détecté" Cool
Je lance le live Cd
la suite au prochain épisode
Bon j'ai fais le scan de Dr WEB , 4h de scan... ça rigole pas !
alors je n'ai pas pu voir assez longuement le rapport mais il y avait une vintaine de fichiers infectés...
Est- ce que Dr WEB a t-il désincfecté les fichiers ou dois-je faire encore quelchose?
en tout cas merci Anthony, tu m'as évité un aller retour en allemagne pour prendre une soufflante.
attend instruction ;-)
alors je n'ai pas pu voir assez longuement le rapport mais il y avait une vintaine de fichiers infectés...
Est- ce que Dr WEB a t-il désincfecté les fichiers ou dois-je faire encore quelchose?
en tout cas merci Anthony, tu m'as évité un aller retour en allemagne pour prendre une soufflante.
attend instruction ;-)
Je suis vraiment désolé pour le délai de réponse.
Sans un rapport de DrWeb, je vais avoir du mal à te répondre ;) Si tu veux assurer le coup, n'hésite pas à faire aussi le scan du LiveCD Avira. Mais pour moi ton ordinateur est sain.
Je vais maintenant te donner des conseils pour terminer le nettoyage et sécuriser ton ordinateur. J'espère que tu pourras les appliquer sans les droits d'admin (ou qu'on te les accordera pour ces manipulations là). Comme je ne dispose pas des rapports habituels (ZHPDiag), je vais devoir procéder en plusieurs fois. Voici la première partie :
* Il faut mettre à jour tous tes programmes pour combler des failles de sécurité. Pour identifier les principaux programmes qui ont besoin d'être mis à jour, tu peux utiliser RIC-Run (de Ric025). Lance le --> Clique sur "Mises à jour" --> "Rapport des versions actuelles" --> Clique sur OK et poste le rapport qui va apparaitre
* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'utiliser le navigateur Firefox avec les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
* Si tu préfères utiliser Google Chrome, il existe des extensions équivalentes :
- WOT
- AdBlock
* S'il n'y a que Internet Explorer et qu'il t'est impossible d'installer un autre navigateur, WOT est aussi disponible pour ce navigateur (ici), mais il n'existe pas d'équivalent à AdBlockPlus à ma connaissance.
Sans un rapport de DrWeb, je vais avoir du mal à te répondre ;) Si tu veux assurer le coup, n'hésite pas à faire aussi le scan du LiveCD Avira. Mais pour moi ton ordinateur est sain.
Je vais maintenant te donner des conseils pour terminer le nettoyage et sécuriser ton ordinateur. J'espère que tu pourras les appliquer sans les droits d'admin (ou qu'on te les accordera pour ces manipulations là). Comme je ne dispose pas des rapports habituels (ZHPDiag), je vais devoir procéder en plusieurs fois. Voici la première partie :
* Il faut mettre à jour tous tes programmes pour combler des failles de sécurité. Pour identifier les principaux programmes qui ont besoin d'être mis à jour, tu peux utiliser RIC-Run (de Ric025). Lance le --> Clique sur "Mises à jour" --> "Rapport des versions actuelles" --> Clique sur OK et poste le rapport qui va apparaitre
* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'utiliser le navigateur Firefox avec les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
* Si tu préfères utiliser Google Chrome, il existe des extensions équivalentes :
- WOT
- AdBlock
* S'il n'y a que Internet Explorer et qu'il t'est impossible d'installer un autre navigateur, WOT est aussi disponible pour ce navigateur (ici), mais il n'existe pas d'équivalent à AdBlockPlus à ma connaissance.
