Redirection HTTP vers porn et publicités

renren54 Messages postés 34 Statut Membre -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
Alors voilà le problème,

je suis infecté à mon avis par un virus ou malware.
Il se manifeste par la présence de page de X ou des publicité malveillantes et du coup je n'ai pas les page sinternet que je souhaite.

J'ai souhaité installer malwaresbytes mais celui ci ne se lance pas.
Pire, une fois qu'il a planté, le programme ne fonctionne meme plus je recois une erreur du système me disant que l'emplacement n'est pas bon ou je ne sais plus quoi !!!
PAreil pour hijackThis ....
Il y avait Bitdefender installé mais je en sais pas si c'est le virus qui l'a bloqué ou s'il etait vraiment en fin de validité, quoi qu'il en soit il est indiqué comme désactivé.

J'ai toruvé un process bizarre dans les processus mais bine sur il ne répond pas à l'ordre de fin de tache.

Plus vicieux, j'ai essayé avec la ligne de commande taskkill, mais je recois bien la réponse comme quoi c'est fait, mais en réalité le process est toujours là
il s'agit du 837472636:2200835534.exe

y'a bien bidefender scan en ligne qui m'a trouvé 7 process potentiellement dangereux, je les ai vérouillé en changeant le nom des fichiers par un démarrage d'une distrib linux
mais cela n'a pas suffit !!! c'est toujours là..

Si vous avez un processus pour résoudre cela ca m'arrangerai bien !!!
D'avance merci pour votre aide ..

16 réponses

  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjours

    tu es salement infecté

    fais ceci

    1)

    Télécharge Reload_TDSSKiller
    http://dl.dropbox.com/u/21363431/Reload_Tdsskiller.exe

    Lance le

    choisis : télécharger la derniere version

    relance-le

    choisis : lancer le nettoyage

    TDSSKiller va s'ouvrir , clique sur "Start Scan"

    Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    Si Suspicious file est indiqué, laisse l''option cochée sur Skip
    Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

    une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

    sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

    Copie/Colle son contenu dans ta prochaine réponse.

    ..........................

    2)

    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    1
  2. renren54 Messages postés 34 Statut Membre
     
    personne n'a une idée ?
    0
  3. renren54 Messages postés 34 Statut Membre
     
    je n'aurai accès au pc en question que demain dans l'après midi,
    je vous donne les éléments à ce moment là,
    en tout cas merci pour la réponse complète !!!

    Est ce qu'on pourra trouver l'origine de l'infection (je cheche particulièrement à comprendre si c'est le fait que bit defender etait arrivé à échéance expliquant alor sla porte ouverte aux attaque, ou alors si c'est les virus qui l'ont désactié et dans ce cas d'ou pourrait venir cette infection?)

    Ps le système m'indique 2 réponses et j'ai un mail avec la réponse de jacques.gache ..; mais je ne la vois pas ici...
    Pour répondre à sa question: oui je suis en xp légal.. pour la pro je ne sais pas je vais vérifier
    0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    je n'avais pas vu Jacques que je salue au passage

    il a du éditer probablement

    @+
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      Windows XP pro/ Internet Explorer 6

      voilà déjà un début de réponse....
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. renren54 Messages postés 34 Statut Membre
     
    Bonjour, voilà le passage de tdsKiller, par contre dans l'ordre il m'a bien trouvé 7cd1ea31 (8f2bb1827cac01aee6a16e30a1260199) C:\WINDOWS\837472636:2200835534.exe
    qui etait le premier item proposé a skip

    et
    Rootkit.Win32.ZAccess.h
    qui etait proposé a cure, vue le choix indiqué dans votre procédure, il etait proposé de mettre cure en haut et delete en bas, mais en bas je n'avais pas le choix de delete que cure, alors j'ai mis delete au premier (7cd1ea31) et cure au deuxieme (Rootkit.Win32.ZAccess.h), j'ai rebooté mais je constate toujours le process 837472636:2200835534.exe dans mes process en cours ...

    ci dessous le log:

    14:47:49.0296 0624 TDSS rootkit removing tool 2.6.4.0 Oct 3 2011 17:37:01
    14:47:49.0406 0624 ============================================================
    14:47:49.0406 0624 Current date / time: 2011/10/04 14:47:49.0406
    14:47:49.0406 0624 SystemInfo:
    14:47:49.0406 0624
    14:47:49.0406 0624 OS Version: 5.1.2600 ServicePack: 2.0
    14:47:49.0406 0624 Product type: Workstation
    14:47:49.0406 0624 ComputerName: BUDGETGENERAL
    14:47:49.0406 0624 UserName: xp
    14:47:49.0406 0624 Windows directory: C:\WINDOWS
    14:47:49.0406 0624 System windows directory: C:\WINDOWS
    14:47:49.0406 0624 Processor architecture: Intel x86
    14:47:49.0406 0624 Number of processors: 2
    14:47:49.0406 0624 Page size: 0x1000
    14:47:49.0406 0624 Boot type: Normal boot
    14:47:49.0406 0624 ============================================================
    14:47:50.0593 0624 Initialize success
    14:48:00.0765 1500 ============================================================
    14:48:00.0765 1500 Scan started
    14:48:00.0765 1500 Mode: Manual;
    14:48:00.0765 1500 ============================================================
    14:48:01.0062 1500 7cd1ea31 (8f2bb1827cac01aee6a16e30a1260199) C:\WINDOWS\837472636:2200835534.exe
    14:48:01.0078 1500 Suspicious file (Hidden): C:\WINDOWS\837472636:2200835534.exe. md5: 8f2bb1827cac01aee6a16e30a1260199
    14:48:01.0078 1500 7cd1ea31 ( HiddenFile.Multi.Generic ) - warning
    14:48:01.0078 1500 7cd1ea31 - detected HiddenFile.Multi.Generic (1)
    14:48:01.0093 1500 Abiosdsk - ok
    14:48:01.0109 1500 abp480n5 - ok
    14:48:01.0156 1500 ACPI (0bd94fbfc14ea3606cd6ca4c0255baa3) C:\WINDOWS\system32\DRIVERS\ACPI.sys
    14:48:01.0171 1500 ACPI - ok
    14:48:01.0203 1500 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
    14:48:01.0203 1500 ACPIEC - ok
    14:48:01.0203 1500 adpu160m - ok
    14:48:01.0250 1500 aec (1ee7b434ba961ef845de136224c30fec) C:\WINDOWS\system32\drivers\aec.sys
    14:48:01.0250 1500 aec - ok
    14:48:01.0265 1500 AFD (55e6e1c51b6d30e54335750955453702) C:\WINDOWS\System32\drivers\afd.sys
    14:48:01.0281 1500 AFD - ok
    14:48:01.0281 1500 Aha154x - ok
    14:48:01.0281 1500 aic78u2 - ok
    14:48:01.0296 1500 aic78xx - ok
    14:48:01.0312 1500 AliIde - ok
    14:48:01.0312 1500 amsint - ok
    14:48:01.0343 1500 Arp1394 (f0d692b0bffb46e30eb3cea168bbc49f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
    14:48:01.0343 1500 Arp1394 - ok
    14:48:01.0359 1500 asc - ok
    14:48:01.0359 1500 asc3350p - ok
    14:48:01.0375 1500 asc3550 - ok
    14:48:01.0390 1500 AsyncMac (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
    14:48:01.0390 1500 AsyncMac - ok
    14:48:01.0421 1500 atapi (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
    14:48:01.0421 1500 atapi - ok
    14:48:01.0421 1500 Atdisk - ok
    14:48:01.0453 1500 Atmarpc (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
    14:48:01.0453 1500 Atmarpc - ok
    14:48:01.0484 1500 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
    14:48:01.0484 1500 audstub - ok
    14:48:01.0562 1500 bdfsfltr (7118d3ddae7d01ffe459a2e9788d8b08) C:\WINDOWS\system32\drivers\bdfsfltr.sys
    14:48:01.0562 1500 bdfsfltr - ok
    14:48:01.0687 1500 bdftdif (406aa867da55e14acd4f50e2f76b6ee9) C:\Program Files\Fichiers communs\BitDefender\BitDefender Firewall\bdftdif.sys
    14:48:01.0687 1500 bdftdif - ok
    14:48:01.0750 1500 BDSelfPr (69a26ca6a374a63afc716b2a86a089ef) C:\Program Files\BitDefender\BitDefender 2008\bdselfpr.sys
    14:48:01.0750 1500 BDSelfPr - ok
    14:48:01.0781 1500 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
    14:48:01.0781 1500 Beep - ok
    14:48:01.0828 1500 BrPar (2fe6d5be0629f706197b30c0aa05de30) C:\WINDOWS\System32\drivers\BrPar.sys
    14:48:01.0828 1500 BrPar - ok
    14:48:01.0859 1500 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
    14:48:01.0859 1500 cbidf2k - ok
    14:48:01.0859 1500 cd20xrnt - ok
    14:48:01.0890 1500 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
    14:48:01.0890 1500 Cdaudio - ok
    14:48:01.0937 1500 Cdfs (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
    14:48:01.0937 1500 Cdfs - ok
    14:48:01.0984 1500 Cdrom (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
    14:48:01.0984 1500 Cdrom - ok
    14:48:01.0984 1500 Changer - ok
    14:48:02.0000 1500 CmdIde - ok
    14:48:02.0015 1500 Cpqarray - ok
    14:48:02.0031 1500 dac2w2k - ok
    14:48:02.0031 1500 dac960nt - ok
    14:48:02.0062 1500 Disk (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
    14:48:02.0062 1500 Disk - ok
    14:48:02.0093 1500 dmboot (e2d3b7620310fe56685f9b15a6b404b3) C:\WINDOWS\system32\drivers\dmboot.sys
    14:48:02.0125 1500 dmboot - ok
    14:48:02.0140 1500 dmio (c77f5c20aa70197a69aa84baa9de43c8) C:\WINDOWS\system32\drivers\dmio.sys
    14:48:02.0140 1500 dmio - ok
    14:48:02.0140 1500 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
    14:48:02.0140 1500 dmload - ok
    14:48:02.0171 1500 DMusic (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
    14:48:02.0187 1500 DMusic - ok
    14:48:02.0187 1500 dpti2o - ok
    14:48:02.0218 1500 drmkaud (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
    14:48:02.0218 1500 drmkaud - ok
    14:48:02.0250 1500 Fastfat (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
    14:48:02.0250 1500 Fastfat - ok
    14:48:02.0265 1500 Fdc (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\drivers\Fdc.sys
    14:48:02.0281 1500 Fdc - ok
    14:48:02.0281 1500 Fips (8b121ff880683607ab2aef0340721718) C:\WINDOWS\system32\drivers\Fips.sys
    14:48:02.0281 1500 Fips - ok
    14:48:02.0296 1500 Flpydisk (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\drivers\Flpydisk.sys
    14:48:02.0296 1500 Flpydisk - ok
    14:48:02.0343 1500 FltMgr (3d234fb6d6ee875eb009864a299bea29) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
    14:48:02.0343 1500 FltMgr - ok
    14:48:02.0375 1500 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
    14:48:02.0375 1500 Fs_Rec - ok
    14:48:02.0390 1500 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
    14:48:02.0390 1500 Ftdisk - ok
    14:48:02.0437 1500 gdrv (ad6bd6bdc97bede8a5507ee01220c00f) C:\WINDOWS\gdrv.sys
    14:48:02.0437 1500 gdrv - ok
    14:48:02.0468 1500 Gpc (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
    14:48:02.0468 1500 Gpc - ok
    14:48:02.0515 1500 HDAudBus (3fcc124b6e08ee0e9351f717dd136939) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
    14:48:02.0515 1500 HDAudBus - ok
    14:48:02.0546 1500 HidUsb (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
    14:48:02.0546 1500 HidUsb - ok
    14:48:02.0562 1500 hpn - ok
    14:48:02.0609 1500 HTTP (9f8b0f4276f618964fd118be4289b7cd) C:\WINDOWS\system32\Drivers\HTTP.sys
    14:48:02.0609 1500 HTTP - ok
    14:48:02.0625 1500 i2omgmt - ok
    14:48:02.0625 1500 i2omp - ok
    14:48:02.0656 1500 i8042prt (d1efcbd693b5ba21314d06368c471070) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
    14:48:02.0656 1500 i8042prt - ok
    14:48:02.0718 1500 ialm (6fcb904910da07c9dc2593d66438fa29) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
    14:48:02.0750 1500 ialm - ok
    14:48:02.0765 1500 Imapi (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
    14:48:02.0765 1500 Imapi - ok
    14:48:02.0812 1500 InCDfs (544f76e71f026099a563c202e2e4a341) C:\WINDOWS\system32\drivers\InCDFs.sys
    14:48:02.0812 1500 InCDfs - ok
    14:48:02.0828 1500 InCDPass (13708047b3988ac50e81e524ac32edbe) C:\WINDOWS\system32\drivers\InCDPass.sys
    14:48:02.0828 1500 InCDPass - ok
    14:48:02.0828 1500 InCDrec (182edee6cfaeaf5174ae6e6d714cf778) C:\WINDOWS\system32\drivers\InCDrec.sys
    14:48:02.0828 1500 InCDrec - ok
    14:48:02.0843 1500 incdrm (367f3d160e7129f057838a341a5339b2) C:\WINDOWS\system32\drivers\InCDRm.sys
    14:48:02.0843 1500 incdrm - ok
    14:48:02.0843 1500 ini910u - ok
    14:48:03.0000 1500 IntcAzAudAddService (60d7460b07012d364ced11dd9fd83e1f) C:\WINDOWS\system32\drivers\RtkHDAud.sys
    14:48:03.0109 1500 IntcAzAudAddService - ok
    14:48:03.0109 1500 IntelIde - ok
    14:48:03.0156 1500 intelppm (dd5ad1e79ac26d3f8d8828ad4627f160) C:\WINDOWS\system32\DRIVERS\intelppm.sys
    14:48:03.0156 1500 intelppm - ok
    14:48:03.0187 1500 Ip6Fw (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
    14:48:03.0187 1500 Ip6Fw - ok
    14:48:03.0203 1500 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
    14:48:03.0203 1500 IpFilterDriver - ok
    14:48:03.0218 1500 IpInIp (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
    14:48:03.0218 1500 IpInIp - ok
    14:48:03.0250 1500 IpNat (e2168cbc7098ffe963c6f23f472a3593) C:\WINDOWS\system32\DRIVERS\ipnat.sys
    14:48:03.0250 1500 IpNat - ok
    14:48:03.0296 1500 IPSec (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
    14:48:03.0296 1500 IPSec - ok
    14:48:03.0328 1500 IRENUM (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
    14:48:03.0328 1500 IRENUM - ok
    14:48:03.0359 1500 isapnp (54632f1a7de61dc3615d756f2a90fa72) C:\WINDOWS\system32\DRIVERS\isapnp.sys
    14:48:03.0359 1500 isapnp - ok
    14:48:03.0375 1500 JGOGO (c995c0e8b4503fac38793bb0236ad246) C:\WINDOWS\system32\DRIVERS\JGOGO.sys
    14:48:03.0390 1500 JGOGO - ok
    14:48:03.0390 1500 JRAID (fc7cc3cfef56fdbb55d754b207326a15) C:\WINDOWS\system32\DRIVERS\jraid.sys
    14:48:03.0390 1500 JRAID - ok
    14:48:03.0421 1500 Kbdclass (e798705e8dc7fab596ef6bfdf167e007) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
    14:48:03.0421 1500 Kbdclass - ok
    14:48:03.0468 1500 kbdhid (62dd5eefcec4ef4163f1168d4262a9e4) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
    14:48:03.0468 1500 kbdhid - ok
    14:48:03.0515 1500 kmixer (ba5deda4d934e6288c2f66caf58d2562) C:\WINDOWS\system32\drivers\kmixer.sys
    14:48:03.0515 1500 kmixer - ok
    14:48:03.0546 1500 KSecDD (674d3e5a593475915dc6643317192403) C:\WINDOWS\system32\drivers\KSecDD.sys
    14:48:03.0546 1500 KSecDD - ok
    14:48:03.0562 1500 lbrtfdc - ok
    14:48:03.0578 1500 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
    14:48:03.0578 1500 mnmdd - ok
    14:48:03.0609 1500 Modem (5ac7e16f5b40a6da14b5f2b3ada4693e) C:\WINDOWS\system32\drivers\Modem.sys
    14:48:03.0609 1500 Modem - ok
    14:48:03.0625 1500 Mouclass (7d4f19411bd941e1d432a99e24230386) C:\WINDOWS\system32\DRIVERS\mouclass.sys
    14:48:03.0625 1500 Mouclass - ok
    14:48:03.0671 1500 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
    14:48:03.0671 1500 mouhid - ok
    14:48:03.0671 1500 MountMgr (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
    14:48:03.0671 1500 MountMgr - ok
    14:48:03.0687 1500 mraid35x - ok
    14:48:03.0734 1500 MRxDAV (29414447eb5bde2f8397dc965dbb3156) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
    14:48:03.0734 1500 MRxDAV - ok
    14:48:03.0781 1500 MRxSmb (fb6c89bb3ce282b08bdb1e3c179e1c39) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
    14:48:03.0796 1500 MRxSmb - ok
    14:48:03.0796 1500 Msfs (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
    14:48:03.0796 1500 Msfs - ok
    14:48:03.0843 1500 MSKSSRV (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
    14:48:03.0843 1500 MSKSSRV - ok
    14:48:03.0859 1500 MSPCLOCK (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
    14:48:03.0859 1500 MSPCLOCK - ok
    14:48:03.0875 1500 MSPQM (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
    14:48:03.0875 1500 MSPQM - ok
    14:48:03.0906 1500 mssmbios (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
    14:48:03.0906 1500 mssmbios - ok
    14:48:03.0921 1500 Mup (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
    14:48:03.0921 1500 Mup - ok
    14:48:03.0937 1500 NDIS (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
    14:48:03.0937 1500 NDIS - ok
    14:48:03.0984 1500 NdisTapi (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
    14:48:03.0984 1500 NdisTapi - ok
    14:48:04.0031 1500 Ndisuio (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
    14:48:04.0031 1500 Ndisuio - ok
    14:48:04.0046 1500 NdisWan (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
    14:48:04.0046 1500 NdisWan - ok
    14:48:04.0046 1500 NDProxy (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
    14:48:04.0046 1500 NDProxy - ok
    14:48:04.0062 1500 NetBIOS (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
    14:48:04.0062 1500 NetBIOS - ok
    14:48:04.0109 1500 NetBT (fd77b44152d384214341073daa6c0a47) C:\WINDOWS\system32\DRIVERS\netbt.sys
    14:48:04.0109 1500 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\netbt.sys. Real md5: fd77b44152d384214341073daa6c0a47, Fake md5: 0c80e410cd2f47134407ee7dd19cc86b
    14:48:04.0109 1500 NetBT ( Rootkit.Win32.ZAccess.h ) - infected
    14:48:04.0109 1500 NetBT - detected Rootkit.Win32.ZAccess.h (0)
    14:48:04.0125 1500 NIC1394 (5c5c53db4fef16cf87b9911c7e8c6fbc) C:\WINDOWS\system32\DRIVERS\nic1394.sys
    14:48:04.0125 1500 NIC1394 - ok
    14:48:04.0140 1500 Npfs (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
    14:48:04.0140 1500 Npfs - ok
    14:48:04.0187 1500 Ntfs (19a811ef5f1ed5c926a028ce107ff1af) C:\WINDOWS\system32\drivers\Ntfs.sys
    14:48:04.0203 1500 Ntfs - ok
    14:48:04.0218 1500 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
    14:48:04.0218 1500 Null - ok
    14:48:04.0250 1500 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
    14:48:04.0250 1500 NwlnkFlt - ok
    14:48:04.0265 1500 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
    14:48:04.0265 1500 NwlnkFwd - ok
    14:48:04.0281 1500 ohci1394 (0951db8e5823ea366b0e408d71e1ba2a) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
    14:48:04.0281 1500 ohci1394 - ok
    14:48:04.0328 1500 Parport (318696359ac7df48d1e51974ec527dd2) C:\WINDOWS\system32\DRIVERS\parport.sys
    14:48:04.0328 1500 Parport - ok
    14:48:04.0328 1500 PartMgr (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
    14:48:04.0328 1500 PartMgr - ok
    14:48:04.0375 1500 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
    14:48:04.0375 1500 ParVdm - ok
    14:48:04.0390 1500 PCI (7c5da5c1ed801ad8b0309d5514f0b75e) C:\WINDOWS\system32\DRIVERS\pci.sys
    14:48:04.0390 1500 PCI - ok
    14:48:04.0406 1500 PCIDump - ok
    14:48:04.0406 1500 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
    14:48:04.0406 1500 PCIIde - ok
    14:48:04.0437 1500 Pcmcia (641da274e163617ea7a33506bc6da8e3) C:\WINDOWS\system32\drivers\Pcmcia.sys
    14:48:04.0453 1500 Pcmcia - ok
    14:48:04.0453 1500 PDCOMP - ok
    14:48:04.0453 1500 PDFRAME - ok
    14:48:04.0468 1500 PDRELI - ok
    14:48:04.0468 1500 PDRFRAME - ok
    14:48:04.0484 1500 perc2 - ok
    14:48:04.0484 1500 perc2hib - ok
    14:48:04.0515 1500 PptpMiniport (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
    14:48:04.0531 1500 PptpMiniport - ok
    14:48:04.0656 1500 Profos (688dbb446b61e7aa9d0198a39b0d3a3f) C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\profos.sys
    14:48:04.0671 1500 Profos - ok
    14:48:04.0671 1500 PSched (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
    14:48:04.0671 1500 PSched - ok
    14:48:04.0687 1500 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
    14:48:04.0687 1500 Ptilink - ok
    14:48:04.0687 1500 ql1080 - ok
    14:48:04.0703 1500 Ql10wnt - ok
    14:48:04.0703 1500 ql12160 - ok
    14:48:04.0718 1500 ql1240 - ok
    14:48:04.0718 1500 ql1280 - ok
    14:48:04.0750 1500 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
    14:48:04.0750 1500 RasAcd - ok
    14:48:04.0765 1500 Rasl2tp (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
    14:48:04.0765 1500 Rasl2tp - ok
    14:48:04.0781 1500 RasPppoe (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
    14:48:04.0781 1500 RasPppoe - ok
    14:48:04.0781 1500 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
    14:48:04.0781 1500 Raspti - ok
    14:48:04.0828 1500 Rdbss (03b965b1ca47f6ef60eb5e51cb50e0af) C:\WINDOWS\system32\DRIVERS\rdbss.sys
    14:48:04.0828 1500 Rdbss - ok
    14:48:04.0843 1500 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
    14:48:04.0843 1500 RDPCDD - ok
    14:48:04.0890 1500 rdpdr (a2cae2c60bc37e0751ef9dda7ceaf4ad) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
    14:48:04.0906 1500 rdpdr - ok
    14:48:04.0953 1500 RDPWD (b54cd38a9ebfbf2b3561426e3fe26f62) C:\WINDOWS\system32\drivers\RDPWD.sys
    14:48:04.0953 1500 RDPWD - ok
    14:48:05.0000 1500 redbook (2cc30b68dd62b73d444a41322cd7fc4c) C:\WINDOWS\system32\DRIVERS\redbook.sys
    14:48:05.0000 1500 redbook - ok
    14:48:05.0062 1500 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
    14:48:05.0062 1500 Secdrv - ok
    14:48:05.0078 1500 serenum (a2d868aeeff612e70e213c451a70cafb) C:\WINDOWS\system32\DRIVERS\serenum.sys
    14:48:05.0078 1500 serenum - ok
    14:48:05.0078 1500 Serial (653201755ca96ab4aaa4131daf6da356) C:\WINDOWS\system32\DRIVERS\serial.sys
    14:48:05.0078 1500 Serial - ok
    14:48:05.0093 1500 Sfloppy (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\drivers\Sfloppy.sys
    14:48:05.0093 1500 Sfloppy - ok
    14:48:05.0109 1500 Simbad - ok
    14:48:05.0109 1500 Sparrow - ok
    14:48:05.0156 1500 splitter (0ce218578fff5f4f7e4201539c45c78f) C:\WINDOWS\system32\drivers\splitter.sys
    14:48:05.0156 1500 splitter - ok
    14:48:05.0203 1500 sr (b52181023b827acda36c1b76751ebffd) C:\WINDOWS\system32\DRIVERS\sr.sys
    14:48:05.0203 1500 sr - ok
    14:48:05.0234 1500 Srv (7a4f147cc6b133f905f6e65e2f8669fb) C:\WINDOWS\system32\DRIVERS\srv.sys
    14:48:05.0250 1500 Srv - ok
    14:48:05.0265 1500 swenum (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
    14:48:05.0265 1500 swenum - ok
    14:48:05.0296 1500 swmidi (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
    14:48:05.0296 1500 swmidi - ok
    14:48:05.0296 1500 symc810 - ok
    14:48:05.0312 1500 symc8xx - ok
    14:48:05.0312 1500 sym_hi - ok
    14:48:05.0328 1500 sym_u3 - ok
    14:48:05.0359 1500 sysaudio (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
    14:48:05.0359 1500 sysaudio - ok
    14:48:05.0406 1500 Tcpip (2a5554fc5b1e04e131230e3ce035c3f9) C:\WINDOWS\system32\DRIVERS\tcpip.sys
    14:48:05.0406 1500 Tcpip - ok
    14:48:05.0453 1500 TDPIPE (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
    14:48:05.0453 1500 TDPIPE - ok
    14:48:05.0453 1500 TDTCP (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
    14:48:05.0453 1500 TDTCP - ok
    14:48:05.0484 1500 TermDD (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
    14:48:05.0484 1500 TermDD - ok
    14:48:05.0500 1500 TosIde - ok
    14:48:05.0625 1500 Trufos (2d81f753af1093877572d8a0b680f924) C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\trufos.sys
    14:48:05.0640 1500 Trufos - ok
    14:48:05.0687 1500 Udfs (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
    14:48:05.0687 1500 Udfs - ok
    14:48:05.0687 1500 ultra - ok
    14:48:05.0718 1500 Update (ced744117e91bdc0beb810f7d8608183) C:\WINDOWS\system32\DRIVERS\update.sys
    14:48:05.0734 1500 Update - ok
    14:48:05.0765 1500 usbehci (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
    14:48:05.0765 1500 usbehci - ok
    14:48:05.0781 1500 usbhub (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
    14:48:05.0781 1500 usbhub - ok
    14:48:05.0828 1500 usbscan (a6bc71402f4f7dd5b77fd7f4a8ddba85) C:\WINDOWS\system32\DRIVERS\usbscan.sys
    14:48:05.0828 1500 usbscan - ok
    14:48:05.0859 1500 USBSTOR (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
    14:48:05.0859 1500 USBSTOR - ok
    14:48:05.0875 1500 usbuhci (f8fd1400092e23c8f2f31406ef06167b) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
    14:48:05.0875 1500 usbuhci - ok
    14:48:05.0906 1500 VgaSave (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
    14:48:05.0906 1500 VgaSave - ok
    14:48:05.0921 1500 ViaIde - ok
    14:48:05.0968 1500 VolSnap (313b1a0d5db26dfe1c34a6c13b2ce0a7) C:\WINDOWS\system32\drivers\VolSnap.sys
    14:48:05.0968 1500 VolSnap - ok
    14:48:05.0984 1500 Wanarp (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
    14:48:05.0984 1500 Wanarp - ok
    14:48:05.0984 1500 WDICA - ok
    14:48:06.0031 1500 wdmaud (efd235ca22b57c81118c1aeb4798f1c1) C:\WINDOWS\system32\drivers\wdmaud.sys
    14:48:06.0031 1500 wdmaud - ok
    14:48:06.0109 1500 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
    14:48:06.0109 1500 WudfPf - ok
    14:48:06.0125 1500 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
    14:48:06.0140 1500 WudfRd - ok
    14:48:06.0187 1500 yukonwxp (a5d4eae27e68625296d685a786897491) C:\WINDOWS\system32\DRIVERS\yk51x86.sys
    14:48:06.0187 1500 yukonwxp - ok
    14:48:06.0218 1500 MBR (0x1B8) (2f0166db6e389fd2cb824657729259b7) \Device\Harddisk0\DR0
    14:48:06.0250 1500 \Device\Harddisk0\DR0 - ok
    14:48:06.0250 1500 MBR (0x1B8) (5c616939100b85e558da92b899a0fc36) \Device\Harddisk1\DR3
    14:48:06.0265 1500 \Device\Harddisk1\DR3 - ok
    14:48:06.0265 1500 MBR (0x1B8) (973e9ba32fdbb305c552ed3e1ebf0686) \Device\Harddisk2\DR5
    14:48:06.0281 1500 \Device\Harddisk2\DR5 - ok
    14:48:06.0281 1500 Boot (0x1200) (76d66c9dba1f49ed4909018db00352b2) \Device\Harddisk0\DR0\Partition0
    14:48:06.0281 1500 \Device\Harddisk0\DR0\Partition0 - ok
    14:48:06.0281 1500 Boot (0x1200) (03ce25e9764741c0559f325d2c591777) \Device\Harddisk1\DR3\Partition0
    14:48:06.0281 1500 \Device\Harddisk1\DR3\Partition0 - ok
    14:48:06.0281 1500 Boot (0x1200) (839c14e53520bca6fc7a1e186ba65135) \Device\Harddisk2\DR5\Partition0
    14:48:06.0296 1500 \Device\Harddisk2\DR5\Partition0 - ok
    14:48:06.0296 1500 ============================================================
    14:48:06.0296 1500 Scan finished
    14:48:06.0296 1500 ============================================================
    14:48:06.0296 1476 Detected object count: 2
    14:48:06.0296 1476 Actual detected object count: 2
    14:48:56.0500 1476 HKLM\SYSTEM\ControlSet001\services\7cd1ea31 - will be deleted on reboot
    14:48:56.0515 1476 HKLM\SYSTEM\ControlSet002\services\7cd1ea31 - will be deleted on reboot
    14:48:56.0515 1476 C:\WINDOWS\837472636:2200835534.exe - will be deleted on reboot
    14:48:56.0515 1476 7cd1ea31 ( HiddenFile.Multi.Generic ) - User select action: Delete
    14:48:56.0843 1476 Backup copy found, using it..
    14:48:56.0859 1476 C:\WINDOWS\system32\DRIVERS\netbt.sys - will be cured on reboot
    14:48:56.0859 1476 NetBT ( Rootkit.Win32.ZAccess.h ) - User select action: Cure
    14:49:12.0765 0660 Deinitialize success
    0
    1. renren54 Messages postés 34 Statut Membre
       
      Dernière action en date, dans le doute j'ai essayer de lancer combofix, il n'est pasarrivé au bout de son install et maintenant quand j'essaie de relancer l'install je recois l'erreur:
      windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichie spécifié. Vous ne disposez peut etre pas des autorisation appropriées pour avoir accès à l'élément !!!
      0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu


    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan
    http://dl.dropbox.com/u/21363431/Pre_scan.exe

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif
    http://dl.dropbox.com/u/21363431/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ? Clique sur Parcourir et cherche le fichier ci-dessus.

    ? Clique sur Ouvrir.

    ? Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ? Copie ce lien dans ta réponse.

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

    0
  8. renren54 Messages postés 34 Statut Membre
     
    yop, voilà le fichier, l'exe a été efectivement bloqué mais pas le pif ...

    http://www.cijoint.fr/cjlink.php?file=cj201110/cijvpYWJ3M.txt

    encore merci pour votre aide car j'en perd mon latin ...
    0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "{BE828DD8-9B5F-88D2-6BF7-D3E096D9A5ED}"=-
    [-HKEY_CURRENT_USER\Software\EoRezo]
    [-HKEY_CURRENT_USER\Software\pdfforge.org]
    [-HKEY_CURRENT_USER\Software\Trymedia Systems]
    [-HKEY_LOCAL_MACHINE\Software\EoRezo]
    [-HKEY_LOCAL_MACHINE\Software\pdfforge.org]
    [-HKEY_LOCAL_MACHINE\Software\Trymedia Systems]
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3389:TCP"=-
    "1900:UDP"=-
    "2869:TCP"=-
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]
    "3389:TCP"=-
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "F:\driver\usb\- ¼#'S*+'Í€OEZ"=-

    File::
    C:\WINDOWS\Tasks\20080401_132900_xp.job

    folder::
    C:\Documents and Settings\xp\Application Data\EoRezo
    C:\Documents and Settings\All Users\Application Data\Trymedia
    C:\Documents and Settings\xp\Application Data\Awosaxa
    C:\Program Files\Spybot - Search & Destroy
    C:\Documents and Settings\All Users\Application Data\Trymedia
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    C:\Documents and Settings\xp\Application Data\EoRezo
    C:\Documents and Settings\xp\Application Data\Odd
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
    C:\WINDOWS\837472636

    ADS::
    C:\WINDOWS\837472636

    attrib::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

    CONTRIBUTEUR SECURITE

    En désinfection, c'est la fin le plus important !
    "Restez" jusqu'au bout...merci
    0
  10. renren54 Messages postés 34 Statut Membre
     
    hé bien j'ai suivi mais je ne toruve pas de pre_script.txt sur mon bureau juste un pre_script.exe qui n'arrive plus à se lancer avec la meme erreur que celle mentionnée plus haut !!!
    0
  11. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bon

    on refait combofix mais en le renommant RENREN avant de l'enregistrer sur le bureau, et tu l'exécute en mode sans echec avec prise en charge reseau

    https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

    ..........................

    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    0
  12. renren54 Messages postés 34 Statut Membre
     
    bon ben ca je pourrai le faire que demain matin car je suis a distance sur ce pc :-( j'y aurai acces a parti de 9h ... donc la suite demain matin ;-)

    encore merci !!
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      ok

      @+
      0
  13. renren54 Messages postés 34 Statut Membre
     
    Ha si je peux peut etre redemarrer en mode sans echec, j'essaie !!!
    j'ai renommé en renren.exe ?
    0
    1. renren54 Messages postés 34 Statut Membre
       
      arf c'est balo, a distance je ne peux pas me déco d'internet LOL donc à demain ;-)
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      (sourire)
      0
  14. renren54 Messages postés 34 Statut Membre
     
    Yes, ca semble avoir fonctionné:
    ComboFix 11-10-04.04 - xp 05/10/2011 7:29.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1015.678 [GMT 2:00]
    Lancé depuis: c:\documents and settings\xp\Bureau\RENREN.exe
    AV: Bitdefender Antivirus *Disabled/Outdated* {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\documents and settings\xp\WINDOWS
    c:\windows\$NtUninstallKB26911$
    c:\windows\$NtUninstallKB26911$\2094131761\@
    c:\windows\$NtUninstallKB26911$\2094131761\click.tlb
    c:\windows\$NtUninstallKB26911$\2094131761\L\wlogshrx
    c:\windows\$NtUninstallKB26911$\2094131761\loader.tlb
    c:\windows\$NtUninstallKB26911$\2094131761\U\@00000001
    c:\windows\$NtUninstallKB26911$\2094131761\U\@000000c0
    c:\windows\$NtUninstallKB26911$\2094131761\U\@000000cb
    c:\windows\$NtUninstallKB26911$\2094131761\U\@000000cf
    c:\windows\$NtUninstallKB26911$\2094131761\U\@80000000
    c:\windows\$NtUninstallKB26911$\2094131761\U\@800000c0
    c:\windows\$NtUninstallKB26911$\2094131761\U\@800000cb
    c:\windows\$NtUninstallKB26911$\2094131761\U\@800000cf
    c:\windows\$NtUninstallKB26911$\2425740075
    c:\windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}
    c:\windows\dasetup.log
    c:\windows\system32\
    c:\windows\system32\c_87934.nls
    c:\windows\system32\comct332.ocx
    c:\windows\TEMP\MPENGINE.DLL
    .
    Une copie infectée de c:\windows\system32\drivers\mrxsmb.sys a été trouvée et désinfectée
    Copie restaurée à partir de - The cat found it :)
    Une copie infectée de c:\msde2000\MSSQL$COSOLUCE\Binn\sqlservr.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\system volume information\_restore{D7D29F76-4B71-4028-87C6-A8B9AF3D3964}\RP903\A0080374.exe
    .
    Une copie infectée de c:\msde2000\MSSQL$COSOLUCE\Binn\sqlservr.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\system volume information\_restore{D7D29F76-4B71-4028-87C6-A8B9AF3D3964}\RP903\A0080374.exe
    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    -------\Service_7cd1ea31
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-09-05 au 2011-10-05 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-10-05 05:28 . 2010-02-24 12:31 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2011-10-04 21:46 . 2011-10-04 21:46 -------- d-----w- c:\documents and settings\LocalService\Application Data\TeamViewer
    2011-10-04 18:43 . 2011-10-04 21:02 -------- d-----w- C:\Kill'em
    2011-10-04 14:07 . 2002-12-17 14:23 33340 ----a-w- c:\windows\system32\dbmsqlgc.dll
    2011-10-04 14:07 . 2002-10-20 12:01 24576 ----a-w- c:\windows\system32\dbmsgnet.dll
    2011-10-04 14:07 . 1998-10-29 13:45 306688 ----a-w- c:\windows\IsUninst.exe
    2011-10-04 14:07 . 2011-10-04 14:07 -------- d-----w- c:\program files\Microsoft SQL Server
    2011-10-04 14:07 . 2011-10-04 14:07 -------- d-----w- C:\MSDE2000
    2011-10-04 13:49 . 2011-10-04 13:50 -------- d-----w- c:\program files\Kill Process
    2011-10-03 18:00 . 2011-10-04 08:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2011-10-03 18:00 . 2011-10-03 18:00 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2011-10-03 17:52 . 2011-10-03 17:52 -------- d-----w- c:\program files\CCleaner
    2011-10-03 17:38 . 2011-10-03 17:38 -------- d---a-w- C:\.Trash-999
    2011-10-03 17:05 . 2011-10-03 17:05 -------- d--h--w- c:\documents and settings\All Users\Application Data\Common Files
    2011-10-03 17:02 . 2011-10-03 17:06 -------- d-----w- c:\documents and settings\All Users\Application Data\MFAData
    2011-10-03 16:38 . 2011-10-03 16:39 -------- d-----w- c:\documents and settings\xp\Application Data\QuickScan
    2011-10-03 15:37 . 2011-10-03 15:37 -------- d-----w- c:\program files\Trend Micro
    2011-10-03 14:14 . 2011-10-03 14:25 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2011-10-03 14:13 . 2011-10-03 14:13 -------- d-----w- c:\documents and settings\xp\Application Data\Malwarebytes
    2011-10-03 14:13 . 2011-10-03 14:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2011-10-03 14:13 . 2011-10-03 14:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2011-10-03 14:13 . 2011-08-31 15:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-09-30 14:45 . 2011-09-30 14:45 -------- d-----w- c:\program files\Fichiers communs\Adobe
    2011-09-30 14:17 . 2011-10-04 12:59 -------- d-----w- c:\documents and settings\xp\Application Data\Odd
    2011-09-30 07:10 . 2011-09-30 07:10 56200 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\{21F8C741-133C-4C85-87EA-B14DE5C78A3B}\offreg.dll
    2011-09-28 07:28 . 2011-09-12 23:14 7269712 ------w- c:\documents and settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\{21F8C741-133C-4C85-87EA-B14DE5C78A3B}\mpengine.dll
    2011-09-05 09:40 . 2004-08-19 14:00 14848 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys
    2011-09-05 09:40 . 2004-08-19 14:00 14848 ----a-w- c:\windows\system32\drivers\kbdhid.sys
    2011-09-05 09:26 . 2001-08-23 15:04 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
    2011-09-05 09:26 . 2001-08-23 15:04 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
    2011-09-05 09:26 . 2001-08-17 20:02 9600 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
    2011-09-05 09:26 . 2001-08-17 20:02 9600 ----a-w- c:\windows\system32\drivers\hidusb.sys
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-10-04 13:10 . 2007-10-29 12:00 49536 ----a-w- c:\windows\system32\drivers\cdrom.sys
    2011-10-04 12:50 . 2007-10-29 12:00 162816 ----a-w- c:\windows\system32\drivers\netbt.sys
    2011-09-12 23:14 . 2008-12-19 08:49 7269712 ------w- c:\documents and settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-10-05 114688]
    "RTHDCPL"="RTHDCPL.EXE" [2006-11-14 16270848]
    "BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 61440]
    "BDAgent"="c:\program files\BitDefender\BitDefender 2008\bdagent.exe" [2011-10-03 368640]
    "Cobian Backup 9"="c:\program files\Cobian Backup 9\Cobian.exe" [2008-07-03 579584]
    "Protect"="SHVRTF.EXE" [2006-03-29 1286144]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-10-29 15360]
    .
    c:\documents and settings\xp\Menu D'marrer\Programmes\D'marrage\
    Notification de cadeaux MSN.lnk - c:\documents and settings\xp\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2011-4-13 135680]
    .
    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Nuances (Accueil Coloris).lnk - c:\program files\Cosoluce\COLORIS\Nuances.exe [2008-3-14 2985984]
    Service Manager.lnk - c:\program files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308]
    Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "InCDsrv"=2 (0x2)
    "WSearch"=2 (0x2)
    "SQLServerAgent"=2 (0x2)
    "CrossLoopService"=2 (0x2)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Documents and Settings\\xp\\Local Settings\\Application Data\\CrossLoop\\vncviewer.exe"=
    "c:\\Documents and Settings\\xp\\Local Settings\\Application Data\\CrossLoop\\tvnserver.exe"=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
    "5910:TCP"= 5910:TCP:vnc5910
    .
    R2 MSSQL$COSOLUCE;MSSQL$COSOLUCE;c:\msde2000\MSSQL$COSOLUCE\Binn\sqlservr.exe -sCOSOLUCE --> c:\msde2000\MSSQL$COSOLUCE\Binn\sqlservr.exe -sCOSOLUCE [?]
    S2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 20:19 13592]
    S3 SQLAgent$COSOLUCE;SQLAgent$COSOLUCE;c:\msde2000\MSSQL$COSOLUCE\Binn\sqlagent.EXE -i COSOLUCE --> c:\msde2000\MSSQL$COSOLUCE\Binn\sqlagent.EXE -i COSOLUCE [?]
    S3 tvnserver;TightVNC Server;c:\documents and settings\xp\Local Settings\Application Data\CrossLoop\tvnserver.exe [24/03/2011 12:40 814080]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    bdx REG_MULTI_SZ scan
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-10-03 c:\windows\Tasks\MP Scheduled Scan.job
    - c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.com/
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    TCP: Interfaces\{470BFD25-2B23-46B4-B3C5-6FBECFEC7FF8}: NameServer = 192.168.1.1,193.252.19.3
    FF - ProfilePath - c:\documents and settings\xp\Application Data\Mozilla\Firefox\Profiles\p5ryi91h.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MIAWB1&q=
    FF - prefs.js: network.proxy.type - 0
    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - user.js: network.cookie.cookieBehavior - 0
    FF - user.js: privacy.clearOnShutdown.cookies - false
    FF - user.js: security.warn_viewing_mixed - false
    FF - user.js: security.warn_viewing_mixed.show_once - false
    FF - user.js: security.warn_submit_insecure - false
    FF - user.js: security.warn_submit_insecure.show_once - false
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    SafeBoot-13683412.sys
    SafeBoot-43896465.sys
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-10-05 08:01
    Windows 5.1.2600 Service Pack 2 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------
    .
    - - - - - - - > 'explorer.exe'(3016)
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll
    c:\windows\system32\browselc.dll
    c:\progra~1\SPYBOT~1\SDHelper.dll
    c:\windows\system32\igfxsrvc.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\msdtc.exe
    c:\msde2000\MSSQL$COSOLUCE\Binn\sqlservr.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\RTHDCPL.EXE
    c:\windows\system32\SHVRTF.EXE
    c:\program files\Cobian Backup 9\cbInterface.exe
    c:\windows\system32\igfxsrvc.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-10-05 08:04:21 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-10-05 06:04
    .
    Avant-CF: 114 389 094 400 octets libres
    Après-CF: 114 070 622 208 octets libres
    .
    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect
    .
    - - End Of File - - C7337A7BCE30108A08F8D4C9E4EC6A66

    par contre plusieurs point:
    1/ j'ai réactivé le parefeu windows
    2/ j'ai désinstallé le bitdefender
    3/ j'ai installé AVG free
    4/ j'ai réinstallé malwarebytes et lancé un scan rapide, rien trouvé

    Sauf que pendant cette analyse, avg me dit nom du fichier detecté: c:\windows\system32\searchprotocol.exe
    Virus identifié Win32/Katusha.A
    et le détail: nom du processus c:\Program Files\Malwarebytes' Anti-Malware\mbam.exe ID du processus 512

    je suppose que c'est un faux positif non ?

    5/ certains des fichiers executables contrés par le virus sont encore sur mon bureau et je n'arrive pas à les supprimer.. comment puis je faire ?

    6/Dernier point, y a t il autre chose à faire ?
    encore mercip our votre aide
    0
  15. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    hello

    4) oui faux positif

    5) on garde tout pour l'instant

    6) oui et voici

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista/Seven )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

    0
  16. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    non on garde les outils jusqu'à la fin

    1)

    Copie tout le texte présent en gras ci-dessous (tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )



    O4 - HKLM\..\Run: [Protect] . (.SoftThinks - Shvrtf.) -- C:\WINDOWS\system32\SHVRTF.exe
    [HKCU\Software\pdfforge.org]
    [HKLM\Software\Classes\AppID\EoRezoBHO.DLL]
    [HKLM\Software\Classes\eorezobho.eobho]
    [HKLM\Software\Classes\eorezobho.eobho.1]
    EMPTYTEMP
    EMPTYFLASH


    Puis Lance ZHPFix depuis le raccourci du bureau . (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)

    * Une fois l'outil ZHPFix ouvert ,

    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

    ............................

    2)
    Téléchargeable depuis ce lien : http://anywhere.webrootcloudav.com/antizeroaccess.exe

    lance le
    Répondre Yes (oui) à la question, en tapant sur Y puis Entrée
    Si le fix trouve l'infection, des lignes rouges doivent apparaître.
    Le fix vous informe qu'un des fichiers systèmes a été patché et vous propose de le nettoyer.
    Tapez Y (oui) et Entrée pour lancer le nettoyage.
    Si l'opération a réussi, vous devez avoir le message Cleaned en vert.
    Appuyez sur une touche et redémarrer l'ordinateur.
    (Merci à Malekal pour ce tutoriel)

    0