tdssinit.dll persistant Résolu

Question

Bonjour,

comme un certain nombre de personne j'ai choppé le virus qui me fait des redirection débiles dans Google.
J'ai bien regardé tous les bons conseils postés a droite a gauche :
- Anti Malware qui ne detecte le troyen tddsinit.dll dans windows etc....
- SDfix lancé en mode sans echec qui me vire tdsserv

J'ai aussi l'AV Kapersky a jour (mais après m'être choppé cette merde) il y a 2 jour j'avais encore McaFee (a jour aussi)

Sauf que en fait le troyen revient tout le temps, et me colle sur certain liens sa redirection go.google de merde....!!!! il me bloque quand je veut aller sur les sites d'editeurs d'anitvirus etc....

HELP !!!

je poste mes rapports ci dessous

MALWARE :
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1184
Windows 5.1.2600 Service Pack 3

21/09/2008 09:22:22
mbam-log-2008-09-21 (09-22-22).txt

Type de recherche: Examen rapide
Eléments examinés: 44338
Temps écoulé: 1 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion	dssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE	dss (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\xdpdk.sys (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	dssinit.dll (Trojan.Agent) -> Delete on reboot.


SDIFX

[b]SDFix: Version 1.227 /b
Run by Administrateur on 21/09/2008 at 09:36

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:

[b]Name /b: 
tdssserv

[b]Path /b:
\systemroot\system32\drivers\TDSSjcxe.sys 

tdssserv - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check /b:
 


                                 [b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-21 09:41:51
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\pierre
tuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\Program Files\Steam\SteamApps\pete_exxtreme\team fortress 2\hl2.exe"="C:\Program Files\Steam\SteamApps\pete_exxtreme\team fortress 2\hl2.exe:*:Enabled:hl2"
"C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe"="C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe:*:Enabled:Sentinel Protection Server"
"C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe"="C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe:*:Enabled:Sentinel Keys Server"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Program Files\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe"="C:\Program Files\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)"
"C:\Program Files\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe"="C:\Program Files\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)"
"C:\Program Files\Fichiers communs\McAfee\MNA\McNASvc.exe"="C:\Program Files\Fichiers communs\McAfee\MNA\McNASvc.exe:*:Enabled:McAfee Network Agent"
"C:\Program Files\Deep Silver\S.T.A.L.K.E.R. - Clear Sky\bin\xrEngine.exe"="C:\Program Files\Deep Silver\S.T.A.L.K.E.R. - Clear Sky\bin\xrEngine.exe:*:Enabled:S.T.A.L.K.E.R. - Clear Sky (CLI)"
"C:\Program Files\Deep Silver\S.T.A.L.K.E.R. - Clear Sky\bin\dedicated\xrEngine.exe"="C:\Program Files\Deep Silver\S.T.A.L.K.E.R. - Clear Sky\bin\dedicated\xrEngine.exe:*:Enabled:S.T.A.L.K.E.R. - Clear Sky (SRV)"
"C:\WINDOWS\system32\drivers\svchost.exe"="C:\WINDOWS\system32\drivers\svchost.exe:*:Disabled:svchost"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files /b:



[b]Files with Hidden Attributes /b:

Sat  8 Jul 2006       722,185 A..H. --- "C:\Downloads\glview225.exe"
Mon 14 Apr 2008     1,695,232 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Sat 17 Nov 2007             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Mon 13 Nov 2006       319,456 A..H. --- "C:\Program Files\Fichiers communs\Motorola Shared\MotPCSDrivers\difxapi.dll"
Thu 10 Apr 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c57cd590c1f8d8f8f70d62332e13288c\BIT1.tmp"
Sun  3 Aug 2008         1,745 ...HR --- "C:\Documents and Settings\pierre\Application Data\SecuROM\UserData\securom_v7_01.bak"
Sat 20 Sep 2008           172 A..H. --- "C:\Documents and Settings\pierre\Local Settings\Temp\Free Download Manager	ic18.tmp"

[b]Finished!/b

HIJACK THIS
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:58:09, on 21/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\CTHELPER.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\pierre\Bureau\HiJackThis.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - https://www.asus.com/de/support
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE40455E-5398-49A2-BC81-73521F5082AE}: NameServer = 80.10.246.1 81.253.149.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = MSHOME.NET
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = MSHOME.NET
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - Unknown owner - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe (file missing)
O23 - Service: McAfee SystemGuards (McSysmon) - Unknown owner - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sentinel Keys Server (SentinelKeysServer) - SafeNet, Inc. - C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

Destrio5 · Answer

Salut,

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

InfernO.vir · Answer

Bonjour,


Pour suivre ^^ +1 destrio5, sage decision =D

Madpeter · Answer

pour completer ma demande je rajoute que j'ai dans l'ordre :

fait tourner Malware qui malgre le reboot n'arrive aps a supprimer le troyen
fait tourner sdfix qui me dit avoir supprimé le troyen

mais si je relance malware il le retrouve direct....

InfernO.vir · Answer

Oui mais fais ce qu'a dit Destrio5, combofix ne fera surement pas de detail ! pas grand chose resiste a combofix.

Madpeter · Answer

Merci beaucoup pour les infos et la réaction super rapide :)

Bon j'ai lancé combofix qui a rebooté la machine a la fin.
On redémarrage de windows, par contre il n'a pas pu terminé son rapport var la machine est resté figée 10 min sans que rien ne se passe. Il n'y a vait que la fenetre DOS disant de ne rien faire tant que combofix n'avait pas terminé sans rapport.

J'ai vraiment attendu 10 min puis j'ai rebooté la machine en désespoir de cause.

ca a l'air un peu mieux d'après malware dont voici le rapport :

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1184
Windows 5.1.2600 Service Pack 3

2008-09-21 10:55:43
mbam-log-2008-09-21 (10-55-39).txt

Type de recherche: Examen rapide
Eléments examinés: 43995
Temps écoulé: 2 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE	dss (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


puisqu'il ne detecte plus que la clé de regsitre...

Vous en pensez quoi ?

Destrio5 · Answer

Utilise cet utilitaire :
http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe

InfernO.vir · Answer

Tu n'as pas de rapport de combofix --> C:\Combofix.txt ?

Madpeter · Answer

non pas de rapport car reboot....je dois attendre plus de 10 min ? c'est un E6750 comme proc donc ce n'est pas une brouette le PC ?????


Sinon j'ai parlé trop vite revoila le troyen :


Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1184
Windows 5.1.2600 Service Pack 3

2008-09-21 11:01:47
mbam-log-2008-09-21 (11-01-45).txt

Type de recherche: Examen rapide
Eléments examinés: 43724
Temps écoulé: 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion	dssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE	dss (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32	dssinit.dll (Trojan.Agent) -> No action taken.


je telecharge l'utilitaire sur mon autre Pc car le virus me bloque l'acces a Mcafee...

Je relance tout ça

Merc iencore du support :)

Madpeter · Answer

cette fois c'est bon. Voici le rapport

ComboFix 08-09-20.05 - pierre 2008-09-21 11:17:44.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2889 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\pierre\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\tdsserv.sys
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssservers.dat
.
---- Previous Run -------
.
C:\WINDOWS\system32\drivers\tdsserv.sys
C:\WINDOWS\system32\msvcsv60.dll
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\TDSSerrors.log
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssservers.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV

((((((((((((((((((((((((((((( Fichiers créés du 2008-08-21 au 2008-09-21 ))))))))))))))))))))))))))))))))))))
.

2008-09-21 08:41 . 2008-09-21 08:41 <REP> d-------- C:\Program Files\Lavasoft
2008-09-21 08:41 . 2008-09-21 08:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-09-20 23:08 . 2008-09-20 23:08 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-09-20 23:06 . 2008-09-20 23:06 <REP> d-------- C:\WINDOWS\ERUNT
2008-09-20 23:03 . 2008-09-21 09:41 <REP> d-------- C:\SDFix
2008-09-20 21:01 . 2008-09-20 21:07 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-20 21:01 . 2008-09-20 21:01 <REP> d-------- C:\Documents and Settings\pierre\Application Data\Malwarebytes
2008-09-20 21:01 . 2008-09-20 21:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-20 21:01 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-20 21:01 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-20 20:36 . 2008-09-20 20:36 <REP> d-------- C:\Program Files\CCleaner
2008-09-20 20:35 . 2008-09-20 20:35 2,928,600 --a------ C:\Temp\ccsetup211.exe
2008-09-20 20:13 . 2008-09-20 20:13 <REP> d-------- C:\Program Files\Trend Micro
2008-09-20 20:13 . 2008-09-20 20:13 812,344 --a------ C:\Temp\hijackthis_hijackthis_2.02_anglais_17891.exe
2008-09-20 19:19 . 2008-09-20 19:19 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf
2008-09-20 19:19 . 2008-09-20 19:19 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-09-20 19:18 . 2008-09-20 19:18 <REP> d-------- C:\Documents and Settings\pierre\Application Data\Logitech
2008-09-20 19:13 . 2008-09-20 19:13 <REP> d-------- C:\Program Files\Logitech
2008-09-20 19:13 . 2008-09-20 19:13 <REP> d-------- C:\Program Files\Fichiers communs\Logitech
2008-09-20 19:13 . 2008-09-20 19:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Logitech
2008-09-20 19:13 . 2007-02-14 12:22 163,840 --a------ C:\WINDOWS\system32\kemutb.dll
2008-09-20 19:13 . 2007-02-14 12:21 135,168 --a------ C:\WINDOWS\system32\KemUtil.dll
2008-09-20 19:13 . 2007-02-14 12:21 110,592 --a------ C:\WINDOWS\system32\KemWnd.dll
2008-09-20 19:13 . 2007-02-14 12:22 69,632 --a------ C:\WINDOWS\system32\KemXML.dll
2008-09-20 19:13 . 2007-01-23 15:45 34,576 --a------ C:\WINDOWS\system32\drivers\LHidFilt.Sys
2008-09-20 19:13 . 2007-01-23 15:45 28,176 --a------ C:\WINDOWS\system32\drivers\LUsbFilt.sys
2008-09-20 19:13 . 2007-01-23 15:44 20,496 --a------ C:\WINDOWS\system32\drivers\L8042Kbd.sys
2008-09-20 18:55 . 2008-09-20 18:55 7,601,152 --a------ C:\Temp\Firefox Setup 3.0.1.exe
2008-09-20 18:50 . 2008-09-20 18:50 79,458 --a------ C:\Bookmarks 2008-09-20.json
2008-09-20 18:26 . 2008-09-20 18:26 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-09-20 18:26 . 2008-09-21 11:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-09-20 18:26 . 2008-09-20 21:25 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-09-20 18:26 . 2008-09-20 21:25 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-09-20 16:56 . 2008-09-20 16:56 <REP> d-------- C:\Program Files\Alwil Software
2008-09-20 16:45 . 2008-09-20 18:21 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-09-20 16:38 . 2007-11-18 16:10 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-09-20 16:38 . 2007-11-18 16:10 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-09-20 16:38 . 2007-11-17 15:17 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-09-20 16:38 . 2007-11-18 16:10 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-09-20 16:38 . 2007-11-18 16:10 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-09-20 16:38 . 2007-11-18 16:10 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-09-20 16:38 . 2008-09-21 10:37 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-09-20 16:38 . 2008-09-20 16:38 <REP> d-------- C:\Documents and Settings\Administrateur
2008-09-20 11:30 . 2008-09-20 11:30 <REP> d-------- C:\Documents and Settings\pierre\Application Data\XRay Engine
2008-09-14 22:26 . 2008-09-15 07:29 <REP> d-------- C:\Program Files\NOS
2008-09-14 22:26 . 2008-09-15 07:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NOS
2008-09-12 06:43 . 2008-09-12 06:43 <REP> d-------- C:\Program Files\MSXML 4.0
2008-09-11 08:53 . 2008-09-11 08:53 <REP> d-------- C:\Program Files\Motorola
2008-09-11 08:53 . 2008-09-11 08:53 <REP> d-------- C:\Program Files\Common Files
2008-09-09 23:18 . 2008-09-09 23:18 279,712 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2008-09-09 23:18 . 2008-09-09 23:18 25,888 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2008-09-09 23:11 . 2008-09-20 12:58 <REP> d-------- C:\WINDOWS\Logs
2008-09-09 22:56 . 2008-09-09 22:56 <REP> d-------- C:\Program Files\Deep Silver
2008-09-08 00:00 . 2008-09-08 00:01 <REP> d-------- C:\maison
2008-09-07 20:44 . 2008-09-11 08:45 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-07 20:44 . 2008-09-07 20:44 1,409 --a------ C:\WINDOWS\QTFont.for
2008-09-06 10:34 . 2008-09-06 11:33 <REP> d-------- C:\Program Files\Return to Castle Wolfenstein
2008-09-06 10:27 . 2008-09-06 11:33 600 --a------ C:\WINDOWS\Rtcw.INI

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-21 08:12 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-09-21 06:41 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-09-20 18:37 --------- d-----w C:\Documents and Settings\pierre\Application Data\Free Download Manager
2008-09-20 17:13 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-20 10:11 --------- d-----w C:\Program Files\Steam
2008-09-20 08:36 --------- d-----w C:\Documents and Settings\pierre\Application Data\XnView
2008-09-20 08:31 --------- d-----w C:\Documents and Settings\pierre\Application Data\OpenOffice.org2
2008-09-14 20:33 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-09-11 06:53 --------- d-----w C:\Program Files\Motorola Phone Tools
2008-08-17 15:25 --------- d-----w C:\Program Files\Avanquest update
2008-08-14 20:39 --------- d-----w C:\Program Files\Netdevil
2008-08-14 18:31 --------- d-----w C:\Documents and Settings\pierre\Application Data\Download Manager
2008-08-14 17:22 --------- d-----w C:\Program Files\FileZilla Client
2008-08-13 06:41 --------- d-----w C:\Program Files\AGEIA Technologies
2008-08-08 21:03 22 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-08-08 21:03 198 ----a-w C:\WINDOWS\system32\drivers\cmvep.txt
2008-08-02 17:00 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2008-08-02 17:00 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-08-02 17:00 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-08-02 17:00 22,328 ----a-w C:\Documents and Settings\pierre\Application Data\PnkBstrK.sys
2008-08-02 17:00 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-08-01 09:05 70,936 ----a-w C:\WINDOWS\system32\PhysXLoader.dll
2008-07-29 16:05 453,152 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2008-07-28 16:26 --------- d-----w C:\Program Files\DOSBox-0.72
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:44 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2007-11-18 14:01 92,064 ----a-w C:\Documents and Settings\pierre\mqdmmdm.sys
2007-11-18 14:01 9,232 ----a-w C:\Documents and Settings\pierre\mqdmmdfl.sys
2007-11-18 14:01 79,328 ----a-w C:\Documents and Settings\pierre\mqdmserd.sys
2007-11-18 14:01 66,656 ----a-w C:\Documents and Settings\pierre\mqdmbus.sys
2007-11-18 14:01 6,208 ----a-w C:\Documents and Settings\pierre\mqdmcmnt.sys
2007-11-18 14:01 5,936 ----a-w C:\Documents and Settings\pierre\mqdmwhnt.sys
2007-11-18 14:01 4,048 ----a-w C:\Documents and Settings\pierre\mqdmcr.sys
2007-11-18 14:01 25,600 ----a-w C:\Documents and Settings\pierre\usbsermptxp.sys
2007-11-18 14:01 22,768 ----a-w C:\Documents and Settings\pierre\usbsermpt.sys
2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
2008-05-25 20:05 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008052520080526\index.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"SetDefaultMIDI"="MIDIDef.exe" [2005-10-22 C:\WINDOWS\MIDIDEF.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-08-02 13570048]
"itype"="C:\Program Files\Microsoft IntelliType Pro\itype.exe" [2006-11-22 813912]
"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2007-02-06 849280]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 90112]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-12-11 286720]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-08-02 86016]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 201992]
"nwiz"="nwiz.exe" [2008-08-02 C:\WINDOWS\system32\nwiz.exe]
"CTHelper"="CTHELPER.EXE" [2005-10-22 C:\WINDOWS\CTHELPER.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Program Files\\Steam\\SteamApps\\pete_exxtreme\\team fortress 2\\hl2.exe"=
"C:\\Program Files\\Fichiers communs\\SafeNet Sentinel\\Sentinel Protection Server\\WinNT\\spnsrvnt.exe"=
"C:\\Program Files\\Fichiers communs\\SafeNet Sentinel\\Sentinel Keys Server\\sntlkeyssrvr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"C:\\Program Files\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"C:\\Program Files\\Deep Silver\\S.T.A.L.K.E.R. - Clear Sky\\bin\\xrEngine.exe"=
"C:\\Program Files\\Deep Silver\\S.T.A.L.K.E.R. - Clear Sky\\bin\\dedicated\\xrEngine.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R2 SentinelKeysServer;Sentinel Keys Server;C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe [2007-04-27 316992]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 24592]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 176128]
R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18432]
S0 dirsrnnw;dirsrnnw;C:\WINDOWS\system32\drivers\ydjla.sys [ ]
S0 rljy;rljy;C:\WINDOWS\system32\drivers\ixkgsIn.sys [ ]
S0 rrawes;rrawes;C:\WINDOWS\system32\drivers\uwvsgoy.sys [ ]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2006-03-31 13532]

*Newly Created Service* - TDSSSERV
.
Contenu du dossier 'Tâches planifiées'
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-fsm - (no file)

.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\pierre\Application Data\Mozilla\Firefox\Profiles\ejyfsr0d.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npmozax.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-21 11:25:57
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv]
"imagepath"="\systemroot\system32\drivers\TDSSjcxe.sys"
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Windows Defender\MsMpEng.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2008-09-21 11:28:20 - La machine a redémarré [pierre]
ComboFix-quarantined-files.txt 2008-09-21 09:28:18

Avant-CF: 220,692,631,552 octets libres
Après-CF: 220,676,263,936 octets libres

230 --- E O F --- 2008-09-12 04:43:48

Destrio5 · Answer

Refais SDFix.

Madpeter · Answer

voila :



[b]SDFix: Version 1.227 [/b]
Run by Administrateur on 21/09/2008 at 11:40

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

[b]Name [/b]: 
tdssserv

[b]Path [/b]:
\systemroot\system32\drivers\TDSSjcxe.sys 

tdssserv - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:



Could Not Remove C:\WINDOWS\system32	dssinit.dll 



Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-21 11:47:43
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\pierre
tuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\Program Files\Steam\SteamApps\pete_exxtreme\team fortress 2\hl2.exe"="C:\Program Files\Steam\SteamApps\pete_exxtreme\team fortress 2\hl2.exe:*:Enabled:hl2"
"C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe"="C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe:*:Enabled:Sentinel Protection Server"
"C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe"="C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe:*:Enabled:Sentinel Keys Server"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Program Files\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe"="C:\Program Files\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)"
"C:\Program Files\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe"="C:\Program Files\THQ\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\dedicated\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)"
"C:\Program Files\Deep Silver\S.T.A.L.K.E.R. - Clear Sky\bin\xrEngine.exe"="C:\Program Files\Deep Silver\S.T.A.L.K.E.R. - Clear Sky\bin\xrEngine.exe:*:Enabled:S.T.A.L.K.E.R. - Clear Sky (CLI)"
"C:\Program Files\Deep Silver\S.T.A.L.K.E.R. - Clear Sky\bin\dedicated\xrEngine.exe"="C:\Program Files\Deep Silver\S.T.A.L.K.E.R. - Clear Sky\bin\dedicated\xrEngine.exe:*:Enabled:S.T.A.L.K.E.R. - Clear Sky (SRV)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files [/b]:

C:\WINDOWS\system32	dssinit.dll  Found

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sat  8 Jul 2006       722,185 A..H. --- "C:\Downloads\glview225.exe"
Mon 14 Apr 2008     1,695,232 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Sat 17 Nov 2007             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Mon 13 Nov 2006       319,456 A..H. --- "C:\Program Files\Fichiers communs\Motorola Shared\MotPCSDrivers\difxapi.dll"
Thu 10 Apr 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c57cd590c1f8d8f8f70d62332e13288c\BIT1.tmp"
Sun  3 Aug 2008         1,745 ...HR --- "C:\Documents and Settings\pierre\Application Data\SecuROM\UserData\securom_v7_01.bak"

[b]Finished![/b]

Destrio5 · Answer

/!\ Seul Madpeter peut suivre cette procédure /!\


1/

---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :





KillAll::

File::
C:\WINDOWS\system32	dssinit.dll 
C:\WINDOWS\system32\drivers\TDSSjcxe.sys
C:\WINDOWS\system32\drivers\uwvsgoy.sys
C:\WINDOWS\system32\drivers\ixkgsIn.sys
C:\WINDOWS\system32\drivers\ydjla.sys
C:\WINDOWS\system32\drivers	dsserv.sys
C:\WINDOWS\system32\msvcsv60.dll
C:\WINDOWS\system32	dssadw.dll
C:\WINDOWS\system32\TDSSerrors.log
C:\WINDOWS\system32	dssl.dll
C:\WINDOWS\system32	dssmain.dll
C:\WINDOWS\system32	dssservers.dat 

Folder::
C:\SDFix

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"SunJavaUpdateSched"=-
"QuickTime Task"=-
"Adobe Reader Speed Launcher"=-

Driver::
rrawes
rljy
dirsrnnw





---> Colle la sélection dans le bloc-notes

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes


2/

---> Redémarre en mode sans échec

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

Madpeter · Answer

J'ai peut être merdé au début car j'ai 2 comptes sur PC : Admin + Pierre qui est aussi admin est qui est mon compte courant.

hors en mode sans échec je démarrais sur Admin : c'est peut être pour ça que j'avais des pb au redémarrage et que SDifx n'arrive pas a virer les ficheris ?

J'ai donc relancé combofix avec le script de destrio5 sous le compte pierre cette fois

résultat :

ComboFix 08-09-20.05 - pierre 2008-09-21 12:17:04.3 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.3061 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\pierre\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\pierre\Bureau\CFScript.txt

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\system32\drivers\ixkgsIn.sys
C:\WINDOWS\system32\drivers\tdsserv.sys
C:\WINDOWS\system32\drivers\TDSSjcxe.sys
C:\WINDOWS\system32\drivers\uwvsgoy.sys
C:\WINDOWS\system32\drivers\ydjla.sys
C:\WINDOWS\system32\msvcsv60.dll
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\TDSSerrors.log
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssservers.dat
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\SDFix
C:\SDFix\Add_DBFix_RunOnce_key.inf
C:\SDFix\apps\assosfix.reg
C:\SDFix\apps\Cghtme.exe
C:\SDFix\apps\cliptext.exe
C:\SDFix\apps\DBFix.inf
C:\SDFix\apps\download.exe
C:\SDFix\apps\dummy.sys
C:\SDFix\apps\Enable_Command_Prompt.inf
C:\SDFix\apps\Enable_Command_Prompt.reg
C:\SDFix\apps\ERDNT.E_E
C:\SDFix\apps\ERDNTDOS.LOC
C:\SDFix\apps\ERDNTWIN.LOC
C:\SDFix\apps\ERUNT.EXE
C:\SDFix\apps\ERUNT.LOC
C:\SDFix\apps\fix.reg
C:\SDFix\apps\FixBeep.reg
C:\SDFix\apps\FixBH.reg
C:\SDFix\apps\FixComponents.reg
C:\SDFix\apps\FIXCU.reg
C:\SDFix\apps\FIXLM.reg
C:\SDFix\apps\FixPath.exe
C:\SDFix\apps\FixRedir.reg
C:\SDFix\apps\FixSchedule.reg
C:\SDFix\apps\FixWebCheck.reg
C:\SDFix\apps\fixXP.reg
C:\SDFix\apps\FixXPsp2.reg
C:\SDFix\apps\grep.exe
C:\SDFix\apps\HaxdFix.reg
C:\SDFix\apps\HPFix.reg
C:\SDFix\apps\HPFix2.reg
C:\SDFix\apps\HPFix3.reg
C:\SDFix\apps\HPFix4.reg
C:\SDFix\apps\HPFix5.reg
C:\SDFix\apps\HPFix6.reg
C:\SDFix\apps\HPFix7.reg
C:\SDFix\apps\HPFix8.reg
C:\SDFix\apps\HPFix9.reg
C:\SDFix\apps\Installed.txt
C:\SDFix\apps\isadmin.exe
C:\SDFix\apps\leg2.txt
C:\SDFix\apps\legacy.txt
C:\SDFix\apps\legacybk.txt
C:\SDFix\apps\locate.com
C:\SDFix\apps\LS.exe
C:\SDFix\apps\MD5File.exe
C:\SDFix\apps\moveex.exe
C:\SDFix\apps\MyGcpvFix.reg
C:\SDFix\apps\MyGkFix2.reg
C:\SDFix\apps\Process.exe
C:\SDFix\apps\procs.exe
C:\SDFix\apps\psservice.exe
C:\SDFix\apps\Rem.txt
C:\SDFix\apps\Rem2.txt
C:\SDFix\apps\Replace\regedit.exe
C:\SDFix\apps\Replace\w2k\AUTOEXEC.NT
C:\SDFix\apps\Replace\w2k\beep.sys
C:\SDFix\apps\Replace\w2k\command.com
C:\SDFix\apps\Replace\w2k\command.PIF
C:\SDFix\apps\Replace\w2k\CONFIG.NT
C:\SDFix\apps\Replace\w2k\null.sys
C:\SDFix\apps\Replace\xp\AUTOEXEC.NT
C:\SDFix\apps\Replace\xp\beep.sys
C:\SDFix\apps\Replace\xp\command.com
C:\SDFix\apps\Replace\xp\command.PIF
C:\SDFix\apps\Replace\xp\CONFIG.NT
C:\SDFix\apps\Replace\xp\null.sys
C:\SDFix\apps\Reset_AppInit_DLLs.reg
C:\SDFix\apps\RestartIt!.exe
C:\SDFix\apps\Restore_SafeBoot_Windows2000.reg
C:\SDFix\apps\Restore_SafeBoot_WindowsXP.reg
C:\SDFix\apps\Restore_SafeBoot_WindowsXP_SP2.reg
C:\SDFix\apps\Restore_SafeBoot_WindowsXP_SP3.reg
C:\SDFix\apps\Restore_SecurityCenter.reg
C:\SDFix\apps\Restore_SharedAccess.reg
C:\SDFix\apps\sc.exe
C:\SDFix\apps\sed.exe
C:\SDFix\apps\SF.exe
C:\SDFix\apps\shutdown.exe
C:\SDFix\apps\srv2.txt
C:\SDFix\apps\srv2bk.txt
C:\SDFix\apps\svc.txt
C:\SDFix\apps\svcbk.txt
C:\SDFix\apps\Swreg.exe
C:\SDFix\apps\swsc.exe
C:\SDFix\apps\unzip.exe
C:\SDFix\apps\vfind.exe
C:\SDFix\apps\WINMSG.EXE
C:\SDFix\apps\winsec.reg
C:\SDFix\apps\zip.exe
C:\SDFix\backups\backupreg.zip
C:\SDFix\backups\backups.zip
C:\SDFix\backups\catchme.log
C:\SDFix\backups\HOSTS
C:\SDFix\backups\tdssserv.reg
C:\SDFix\backups_old\backupreg.zip
C:\SDFix\backups_old\backups.zip
C:\SDFix\backups_old\catchme.log
C:\SDFix\backups_old\HOSTS
C:\SDFix\backups_old\tdssserv.reg
C:\SDFix\backups_old1\backupreg.zip
C:\SDFix\backups_old1\catchme.log
C:\SDFix\backups_old1\HOSTS
C:\SDFix\backups_old1\tdssserv.reg
C:\SDFix\backups_old2\backupreg.zip
C:\SDFix\backups_old2\backups.zip
C:\SDFix\backups_old2\catchme.log
C:\SDFix\backups_old2\HOSTS
C:\SDFix\backups_old2\tdssserv.reg
C:\SDFix\backups_old3\backupreg.zip
C:\SDFix\backups_old3\catchme.log
C:\SDFix\backups_old3\HOSTS
C:\SDFix\backups_old3\tdssserv.reg
C:\SDFix\catchme.exe
C:\SDFix\DBFix.bat
C:\SDFix\dummy.sys
C:\SDFix\Report.txt
C:\SDFix\Report_old_1.txt
C:\SDFix\Report_old_2.txt
C:\SDFix\Report_old_3.txt
C:\SDFix\Report_old_4.txt
C:\SDFix\RunThis.bat
C:\SDFix\SDFIX_ReadMe_Online.url
C:\SDFix\W2K_VirusAlert_Repair.inf
C:\SDFix\XP_VirusAlert_Repair.inf
C:\WINDOWS\system32\drivers\TDSSjcxe.sys
C:\WINDOWS\system32\TDSSerrors.log
C:\WINDOWS\system32\tdssinit.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_dirsrnnw
-------\Service_rljy
-------\Service_rrawes
-------\Service_TDSSserv

((((((((((((((((((((((((((((( Fichiers créés du 2008-08-21 au 2008-09-21 ))))))))))))))))))))))))))))))))))))
.

2008-09-21 12:22 . 2008-09-21 12:23 49,184 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-21 12:22 . 2008-09-21 12:23 32,288 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-21 12:22 . 2008-09-21 12:23 1,808 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-21 12:22 . 2008-09-21 12:23 1,416 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-09-21 08:41 . 2008-09-21 08:41 <REP> d-------- C:\Program Files\Lavasoft
2008-09-21 08:41 . 2008-09-21 08:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-09-20 23:08 . 2008-09-20 23:08 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-09-20 23:06 . 2008-09-20 23:06 <REP> d-------- C:\WINDOWS\ERUNT
2008-09-20 21:14 . 2008-09-21 12:14 29,696 --a------ C:\WINDOWS\system32\TDSStqnw.dll
2008-09-20 21:01 . 2008-09-20 21:07 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-20 21:01 . 2008-09-20 21:01 <REP> d-------- C:\Documents and Settings\pierre\Application Data\Malwarebytes
2008-09-20 21:01 . 2008-09-20 21:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-20 21:01 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-20 21:01 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-20 20:36 . 2008-09-20 20:36 <REP> d-------- C:\Program Files\CCleaner
2008-09-20 20:35 . 2008-09-20 20:35 2,928,600 --a------ C:\Temp\ccsetup211.exe
2008-09-20 20:13 . 2008-09-20 20:13 <REP> d-------- C:\Program Files\Trend Micro
2008-09-20 20:13 . 2008-09-20 20:13 812,344 --a------ C:\Temp\hijackthis_hijackthis_2.02_anglais_17891.exe
2008-09-20 19:19 . 2008-09-20 19:19 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf
2008-09-20 19:19 . 2008-09-20 19:19 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-09-20 19:18 . 2008-09-20 19:18 <REP> d-------- C:\Documents and Settings\pierre\Application Data\Logitech
2008-09-20 19:13 . 2008-09-20 19:13 <REP> d-------- C:\Program Files\Logitech
2008-09-20 19:13 . 2008-09-20 19:13 <REP> d-------- C:\Program Files\Fichiers communs\Logitech
2008-09-20 19:13 . 2008-09-20 19:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Logitech
2008-09-20 19:13 . 2007-02-14 12:22 163,840 --a------ C:\WINDOWS\system32\kemutb.dll
2008-09-20 19:13 . 2007-02-14 12:21 135,168 --a------ C:\WINDOWS\system32\KemUtil.dll
2008-09-20 19:13 . 2007-02-14 12:21 110,592 --a------ C:\WINDOWS\system32\KemWnd.dll
2008-09-20 19:13 . 2007-02-14 12:22 69,632 --a------ C:\WINDOWS\system32\KemXML.dll
2008-09-20 19:13 . 2007-01-23 15:45 34,576 --a------ C:\WINDOWS\system32\drivers\LHidFilt.Sys
2008-09-20 19:13 . 2007-01-23 15:45 28,176 --a------ C:\WINDOWS\system32\drivers\LUsbFilt.sys
2008-09-20 19:13 . 2007-01-23 15:44 20,496 --a------ C:\WINDOWS\system32\drivers\L8042Kbd.sys
2008-09-20 18:55 . 2008-09-20 18:55 7,601,152 --a------ C:\Temp\Firefox Setup 3.0.1.exe
2008-09-20 18:50 . 2008-09-20 18:50 79,458 --a------ C:\Bookmarks 2008-09-20.json
2008-09-20 18:26 . 2008-09-20 18:26 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-09-20 18:26 . 2008-09-21 12:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-09-20 18:26 . 2008-09-20 21:25 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-09-20 18:26 . 2008-09-20 21:25 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-09-20 16:56 . 2008-09-20 16:56 <REP> d-------- C:\Program Files\Alwil Software
2008-09-20 16:45 . 2008-09-20 18:21 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-09-20 16:38 . 2007-11-18 16:10 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-09-20 16:38 . 2007-11-18 16:10 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-09-20 16:38 . 2007-11-17 15:17 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-09-20 16:38 . 2007-11-18 16:10 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-09-20 16:38 . 2007-11-18 16:10 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-09-20 16:38 . 2007-11-18 16:10 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-09-20 16:38 . 2008-09-21 10:37 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-09-20 16:38 . 2008-09-20 16:38 <REP> d-------- C:\Documents and Settings\Administrateur
2008-09-20 12:56 . 2008-09-21 12:14 77,824 --a------ C:\WINDOWS\system32\TDSSpbll.dll
2008-09-20 12:56 . 2008-09-21 11:52 37,376 --a------ C:\WINDOWS\system32\TDSSjjsm.dll
2008-09-20 12:56 . 2008-09-21 12:14 11,264 --a------ C:\WINDOWS\system32\TDSShpue.dll
2008-09-20 12:56 . 2008-09-21 12:14 9,728 --a------ C:\WINDOWS\system32\TDSSevri.dll
2008-09-20 11:30 . 2008-09-20 11:30 <REP> d-------- C:\Documents and Settings\pierre\Application Data\XRay Engine
2008-09-14 22:26 . 2008-09-15 07:29 <REP> d-------- C:\Program Files\NOS
2008-09-14 22:26 . 2008-09-15 07:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NOS
2008-09-12 06:43 . 2008-09-12 06:43 <REP> d-------- C:\Program Files\MSXML 4.0
2008-09-11 08:53 . 2008-09-11 08:53 <REP> d-------- C:\Program Files\Motorola
2008-09-11 08:53 . 2008-09-11 08:53 <REP> d-------- C:\Program Files\Common Files
2008-09-09 23:18 . 2008-09-09 23:18 279,712 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2008-09-09 23:18 . 2008-09-09 23:18 25,888 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2008-09-09 23:11 . 2008-09-20 12:58 <REP> d-------- C:\WINDOWS\Logs
2008-09-09 22:56 . 2008-09-09 22:56 <REP> d-------- C:\Program Files\Deep Silver
2008-09-08 00:00 . 2008-09-08 00:01 <REP> d-------- C:\maison
2008-09-07 20:44 . 2008-09-11 08:45 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-07 20:44 . 2008-09-07 20:44 1,409 --a------ C:\WINDOWS\QTFont.for
2008-09-06 10:34 . 2008-09-06 11:33 <REP> d-------- C:\Program Files\Return to Castle Wolfenstein
2008-09-06 10:27 . 2008-09-06 11:33 600 --a------ C:\WINDOWS\Rtcw.INI

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-21 08:12 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-09-21 06:41 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-09-20 18:37 --------- d-----w C:\Documents and Settings\pierre\Application Data\Free Download Manager
2008-09-20 17:13 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-20 10:11 --------- d-----w C:\Program Files\Steam
2008-09-20 08:36 --------- d-----w C:\Documents and Settings\pierre\Application Data\XnView
2008-09-20 08:31 --------- d-----w C:\Documents and Settings\pierre\Application Data\OpenOffice.org2
2008-09-14 20:33 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-09-11 06:53 --------- d-----w C:\Program Files\Motorola Phone Tools
2008-08-17 15:25 --------- d-----w C:\Program Files\Avanquest update
2008-08-14 20:39 --------- d-----w C:\Program Files\Netdevil
2008-08-14 18:31 --------- d-----w C:\Documents and Settings\pierre\Application Data\Download Manager
2008-08-14 17:22 --------- d-----w C:\Program Files\FileZilla Client
2008-08-13 06:41 --------- d-----w C:\Program Files\AGEIA Technologies
2008-08-08 21:03 22 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-08-08 21:03 198 ----a-w C:\WINDOWS\system32\drivers\cmvep.txt
2008-08-02 17:00 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2008-08-02 17:00 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-08-02 17:00 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-08-02 17:00 22,328 ----a-w C:\Documents and Settings\pierre\Application Data\PnkBstrK.sys
2008-08-02 17:00 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-08-01 09:05 70,936 ----a-w C:\WINDOWS\system32\PhysXLoader.dll
2008-07-29 16:05 453,152 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2008-07-28 16:26 --------- d-----w C:\Program Files\DOSBox-0.72
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:44 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2007-11-18 14:01 92,064 ----a-w C:\Documents and Settings\pierre\mqdmmdm.sys
2007-11-18 14:01 9,232 ----a-w C:\Documents and Settings\pierre\mqdmmdfl.sys
2007-11-18 14:01 79,328 ----a-w C:\Documents and Settings\pierre\mqdmserd.sys
2007-11-18 14:01 66,656 ----a-w C:\Documents and Settings\pierre\mqdmbus.sys
2007-11-18 14:01 6,208 ----a-w C:\Documents and Settings\pierre\mqdmcmnt.sys
2007-11-18 14:01 5,936 ----a-w C:\Documents and Settings\pierre\mqdmwhnt.sys
2007-11-18 14:01 4,048 ----a-w C:\Documents and Settings\pierre\mqdmcr.sys
2007-11-18 14:01 25,600 ----a-w C:\Documents and Settings\pierre\usbsermptxp.sys
2007-11-18 14:01 22,768 ----a-w C:\Documents and Settings\pierre\usbsermpt.sys
2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
2008-05-25 20:05 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008052520080526\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-09-21_11.28.04.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-09-21 07:34:08 548,864 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-09-21 09:59:09 6,451,200 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
- 2008-09-21 07:34:08 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-09-21 09:59:09 217,088 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
- 2008-09-21 09:25:43 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-09-21 10:07:04 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-09-21 09:25:43 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-09-21 10:07:04 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-09-21 09:25:43 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-09-21 10:07:04 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"SetDefaultMIDI"="MIDIDef.exe" [2005-10-22 C:\WINDOWS\MIDIDEF.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-08-02 13570048]
"itype"="C:\Program Files\Microsoft IntelliType Pro\itype.exe" [2006-11-22 813912]
"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2007-02-06 849280]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 90112]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-08-02 86016]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 201992]
"nwiz"="nwiz.exe" [2008-08-02 C:\WINDOWS\system32\nwiz.exe]
"CTHelper"="CTHELPER.EXE" [2005-10-22 C:\WINDOWS\CTHELPER.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSjcxe.sys]
@="driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Program Files\\Steam\\SteamApps\\pete_exxtreme\\team fortress 2\\hl2.exe"=
"C:\\Program Files\\Fichiers communs\\SafeNet Sentinel\\Sentinel Protection Server\\WinNT\\spnsrvnt.exe"=
"C:\\Program Files\\Fichiers communs\\SafeNet Sentinel\\Sentinel Keys Server\\sntlkeyssrvr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"C:\\Program Files\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"C:\\Program Files\\Deep Silver\\S.T.A.L.K.E.R. - Clear Sky\\bin\\xrEngine.exe"=
"C:\\Program Files\\Deep Silver\\S.T.A.L.K.E.R. - Clear Sky\\bin\\dedicated\\xrEngine.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R2 SentinelKeysServer;Sentinel Keys Server;C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe [2007-04-27 316992]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 24592]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 176128]
R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18432]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2006-03-31 13532]
.
Contenu du dossier 'Tâches planifiées'
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-21 12:22:35
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Windows Defender\MsMpEng.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2008-09-21 12:26:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-09-21 10:26:11
ComboFix2.txt 2008-09-21 09:28:21

Avant-CF: 220ÿ698ÿ079ÿ232 octets libres
Après-CF: 220,671,352,832 octets libres

364 --- E O F --- 2008-09-12 04:43:48

Destrio5 · Answer

Supprime ces fichiers :

C:\WINDOWS\system32\TDSStqnw.dll
C:\WINDOWS\system32\TDSSpbll.dll
C:\WINDOWS\system32\TDSSjjsm.dll
C:\WINDOWS\system32\TDSShpue.dll
C:\WINDOWS\system32\TDSSevri.dll

Madpeter · Answer

Cool ca a l'air de marcher car Malware ne détecte plus rien, même après le reboot :) !!!

J'ai viré les fichiers aussi comme tu me l'as dit.

DOCTEUR c'est bon cette fois ?????

Destrio5 · Answer

- Crée un fichier Bloc-notes avec le texte qui se trouve ci-dessous (copie/colle): 


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSjcxe.sys] 



- Enregistre ce fichier dans : Bureau
- Nom du fichier : fix.reg
- Type : tous les fichiers !!
- Clique sur Enregistrer
- Quitte le Bloc-notes

Utilisation du fichier : fix.reg :
Double-clique sur le fichier (Bureau) / Accepte l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valide le message disant que la fusion est terminée.

Madpeter · Answer

c'est fait !

Destrio5 · Answer

---> Supprime les traces de McAfee avec ceci :
http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe

Madpeter · Answer

C'est deja fait comme tu me l'avais dit un peu plus haut :)

Destrio5 · Answer

Poste un nouveau rapport HijackThis.

Madpeter · Answer

voila :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:48:04, on 21/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\CTHELPER.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Thunderbird	hunderbird.exe
C:\Documents and Settings\pierre\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - https://www.asus.com/de/support
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE40455E-5398-49A2-BC81-73521F5082AE}: NameServer = 81.253.149.1 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = MSHOME.NET
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = MSHOME.NET
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sentinel Keys Server (SentinelKeysServer) - SafeNet, Inc. - C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

Destrio5 · Answer

As-tu encore des problèmes ou on peut passer à la dernière étape ?

Madpeter · Answer

encore une étape? et beh....

Pour moi c'est ok car :
- donc google je n'ai plus d'URL Go.google qui me font pointer sur n'importe quoi quand je cherche surtout sur mot clés antivirus etc
- j'accède au pages Mcafee,Kpaersky qui étaient bloquées
- Malware ne voit plus rien

Destrio5 · Answer

Pavé César :

---> Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.ccleaner.com/ccleaner/download

---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

---> Télécharge Tools Cleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
Clique sur Recherche et laisse le scan agir.
Clique sur Suppression pour finaliser. 
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter pour obtenir le rapport. 
Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php

Madpeter · Answer

[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\pierre\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\pierre\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\pierre\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\pierre\Bureau\hijackthis.log: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\QooBox\Quarantine\C\SDFIX: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\pierre\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\pierre\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\pierre\Bureau\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\pierre\Bureau\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !



J'avais déjà désactivée la restauration avant car je pensais que le troyen s'etait répliqué dans la copie et que c'est pour cela que je le retrouvais a chaque reboot !


Tu crois que c'est bon ?

Destrio5 · Answer

Tu peux supprimer ToolsCleaner et ComboFix.

Je pense que c'est bon ;)

Madpeter · Answer

BRAVO et MILLE mercis pour ton aide :)

You're the Best !!

Destrio5 · Answer

Bonne journée ;)

Tdssinit.dll persistant

28 réponses

Votre réponse

Discussions similaires

Newsletters