Mail enovyé a mon insu

Dragvador -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,

Voila mon problème, hier plusieurs de mes contact msn ont reçu des mail comme suit

Dear sir:
We are a wholesaler of electronic products, our products are sold to all over the world, we primarily sell mobile phone, laptop, GPS, TV, and many other prodcuts, hope you can be our new customer in near futhure,we are glad to offer you best service and products. For more inquiry contact us at any time.
Website: www.cvvtrade.com
E-mail: cvvtrade@hotmail.com
MSN: cvvtrade@hotmail.com

Et bien entendu sans que je n'ai envoyé celui-ci. Comment pourrais je me débarrasser de ce virus svp car j'ai lancé malwarebyte mais il ne trouve rien et visiblement Avast est inéfficace contre lui ...

Merci d'avance

16 réponses

  1. Bidou
     
    J'ai exactement le même problème.

    Et à l'instant, j'ai un mail pour www.expss78.com qui est parti.

    A chaque fois, je me retrouve aussi avec une partie de mes mails envoyés et une partie des mails de ma boîte de réception dans mes messages supprimés.

    Quelqu'un sait d'où ça vient et comment stopper ça ?
    0
  2. Dragvador
     
    Petit complément, voici un mail reçu ce matin comme quoi un de mes "mails" avait été bloqué.

    This is the Symantec Mail Security program at host mx01.sherpa.be. ##################################################################### THIS IS A WARNING ONLY. YOU DO NOT NEED TO RESEND YOUR MESSAGE. ##################################################################### Your message could not be delivered for 4.0 hours.It will be retried until it is 5.0 days old. For further assistance, please send mail to <postmaster> If you do so, please include this problem report. You candelete your own text from the attached returned message. The Symantec Mail Security program <newsletter@symantec-brightmail-quarantine.sherpa.be>: host10.32.115.10[10.32.115.10] said: 421 Closing Connection (in reply to end ofDATA command) <webmaster@symantec-brightmail-quarantine.sherpa.be>: host10.32.115.10[10.32.115.10] said: 421 Closing Connection (in reply to end ofDATA command)

    Personne n'aurait une solution svp ?? Car la ca commence vraiment a bien faire et j'ai peur de réinstaller Windows car si c'est la boite mail qui est infectée, je vais continuer a avoir des merdes.

    Je tiens a spécifier que meme quand mon pc est éteinds, visiblement j'envoie des mails ...
    0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    ta première intervention montrait une infection TDSS.

    On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    * Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

    Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
    0
    1. Dragvador
       
      Le lien ne marche pas :-(
      0
    2. Dragvador
       
      Entre temps voici un rapport avec le programme ToolbarSd


      -----------\\ ToolBar S&D 1.2.6 XP/Vista

      Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
      X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2000+ )
      BIOS : Version 1.00
      USER : Administrateur ( Administrator )
      BOOT : Normal boot
      Antivirus : avast! antivirus 4.8.1229 [VPS 081215-1] 4.8.1229 (Activated)
      A:\ (USB)
      C:\ (Local Disk) - NTFS - Total:16 Go (Free:4 Go)
      D:\ (Local Disk) - NTFS - Total:29 Go (Free:14 Go)
      E:\ (Local Disk) - NTFS - Total:68 Go (Free:22 Go)
      F:\ (CD or DVD)
      G:\ (CD or DVD)

      "C:\ToolBar SD" ( MAJ : 04-12-2008|20:40 )
      Option : [1] ( 15/12/2008|16:03 )

      -----------\\ Recherche de Fichiers / Dossiers ...

      C:\DOCUME~1\ADMINI~1\Cookies\administrateur@myway[1].txt
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mci1.tmp
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mci142.tmp
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mci143.tmp
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mci144.tmp
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mci146.tmp
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mci148.tmp
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mci2.tmp
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mci4.tmp
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mci6.tmp

      -----------\\ [..\Internet Explorer\Main]

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      "Start Page"="https://www.google.com/?gws_rd=ssl"
      "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
      "Search Page"="https://www.google.com/?gws_rd=ssl"
      "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
      "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
      "Search Page"="https://www.google.com/?gws_rd=ssl"
      "Start Page"="https://www.google.com/?gws_rd=ssl"


      --------------------\\ Recherche d'autres infections

      --------------------\\ ROOTKIT !!

      Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
      Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS]
      Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]

      --------------------\\ Cracks & Keygens ..

      C:\DOCUME~1\ADMINI~1\Recent\[Pc game ita] Football Manager 2008 [FM2008 + crack + ita,eng,fr,de] by Peppe.iso.lnk
      C:\DOCUME~1\ALLUSE~1\Menu D‚marrer\Programmes\installeur\crack
      C:\DOCUME~1\ALLUSE~1\Menu D‚marrer\Programmes\installeur\crack\anydvd.lnk
      C:\DOCUME~1\ALLUSE~1\Menu D‚marrer\Programmes\installeur\crack\clonecd.lnk



      1 - "C:\ToolBar SD\TB_1.txt" - 15/12/2008|16:05 - Option : [1]

      -----------\\ Fin du rapport a 16:05:41,56
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    le lien Combofix fonctionne.

    Le problème est lié à l'infection TDSS que ToolsBar vient de citer.

    Essaye comme ça :

    Démarre en mode sans échec avec prise en charge réseau.

    Ouvre Internet Explorer.

    Clique sur le lien de Combofix et exécute les instructions.

    Au moment de télécharger Combofix, tu le renommeras lors de l'ouverture de la fenêtre de téléchargement en TDSSfix.
    0
    1. Bidou
       
      Voici le rapport que moi, j'ai eu :

      ComboFix 08-12-16.03 - olivier 2008-12-17 15:46:57.1 - NTFSx86
      Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.3070.1202 [GMT 1:00]
      Lancé depuis: c:\users\olivier\Desktop\ComboFix.exe
      * Un nouveau point de restauration a été créé
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\users\olivier\AppData\Local\Microsoft\Windows\Temporary Internet Files\fbk.sts
      E:\Autorun.inf
      E:\resycled

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-17 au 2008-12-17 ))))))))))))))))))))))))))))))))))))
      .

      2008-12-12 13:24 . 2008-10-22 02:22 2,048 --a------ c:\windows\System32\tzres.dll
      2008-12-12 12:36 . 2008-11-01 02:21 4,240,384 --a------ c:\windows\System32\GameUXLegacyGDFs.dll
      2008-12-12 12:36 . 2008-10-21 06:25 296,960 --a------ c:\windows\System32\gdi32.dll
      2008-12-12 12:36 . 2008-11-01 04:44 28,672 --a------ c:\windows\System32\Apphlpdm.dll
      2008-12-12 10:24 . 2008-12-12 10:24 <REP> d-------- c:\users\All Users\Avira
      2008-12-12 10:24 . 2008-12-12 10:24 <REP> d-------- c:\programdata\Avira
      2008-12-12 10:24 . 2008-12-12 10:24 <REP> d-------- c:\program files\Avira
      2008-12-10 17:02 . 2008-12-10 17:04 <REP> d-------- c:\windows\System32\Adobe
      2008-12-09 09:27 . 2008-12-09 09:27 <REP> d-------- c:\program files\Mio Technology
      2008-12-05 13:44 . 2008-12-05 13:44 <REP> d-------- c:\program files\Norton Internet Security(3)
      2008-12-05 12:11 . 2008-12-05 12:11 <REP> d-------- c:\users\All Users\PCSettings
      2008-12-05 12:11 . 2008-12-05 12:11 <REP> d-------- c:\users\All Users\NortonInstaller
      2008-12-05 12:11 . 2008-12-05 13:46 <REP> d-------- c:\users\All Users\Norton
      2008-12-05 12:11 . 2008-12-05 12:11 <REP> d-------- c:\programdata\PCSettings
      2008-12-05 12:11 . 2008-12-05 12:11 <REP> d-------- c:\programdata\NortonInstaller
      2008-12-05 12:11 . 2008-12-05 13:46 <REP> d-------- c:\programdata\Norton
      2008-12-05 12:11 . 2008-12-05 12:11 <REP> d-------- c:\program files\NortonInstaller
      2008-12-05 11:36 . 2008-12-05 11:36 <REP> d-------- c:\users\olivier\AppData\Roaming\Quite
      2008-12-05 11:11 . 2008-12-05 11:12 <REP> d-------- c:\users\All Users\WinZip
      2008-12-05 11:11 . 2008-12-05 11:12 <REP> d-------- c:\programdata\WinZip
      2008-12-02 09:49 . 2008-12-02 09:49 <REP> d-------- C:\ATI
      2008-12-01 09:03 . 2008-12-01 09:04 <REP> d-------- c:\program files\Altiris
      2008-11-28 11:28 . 2008-12-05 16:00 <REP> d-------- c:\users\All Users\FLEXnet
      2008-11-28 11:28 . 2008-12-05 16:00 <REP> d-------- c:\programdata\FLEXnet
      2008-11-28 11:18 . 2008-11-28 11:18 <REP> d-------- c:\program files\Common Files\Macrovision Shared
      2008-11-28 11:17 . 2008-04-07 05:38 22,872 -ra------ c:\windows\System32\AdobePDFUI.dll
      2008-11-28 11:00 . 2008-11-28 11:00 <REP> d-------- c:\program files\DNA
      2008-11-28 11:00 . 2008-11-28 11:00 <REP> d-------- c:\program files\BitTorrent
      2008-11-28 10:34 . 2008-11-28 11:01 <REP> d-------- c:\users\olivier\AppData\Roaming\Download Manager
      2008-11-27 13:51 . 2008-11-27 13:51 <REP> d-------- c:\users\All Users\WindowsSearch
      2008-11-27 13:51 . 2008-11-27 13:51 <REP> d-------- c:\programdata\WindowsSearch
      2008-11-26 11:55 . 2008-10-21 06:25 1,645,568 --a------ c:\windows\System32\connect.dll
      2008-11-26 11:55 . 2008-08-28 04:40 712,704 --a------ c:\windows\System32\WindowsCodecs.dll
      2008-11-26 11:55 . 2008-08-28 04:40 425,472 --a------ c:\windows\System32\PhotoMetadataHandler.dll
      2008-11-26 11:55 . 2008-08-28 04:40 347,136 --a------ c:\windows\System32\WindowsCodecsExt.dll
      2008-11-26 11:55 . 2008-10-22 04:57 241,152 --a------ c:\windows\System32\PortableDeviceApi.dll
      2008-11-25 15:12 . 2008-11-25 15:12 <REP> d-------- c:\program files\MSECache
      2008-11-25 12:04 . 2008-11-25 12:04 <REP> d-------- c:\program files\PDFCreator
      2008-11-25 12:04 . 2004-03-09 01:00 662,288 --a------ c:\windows\System32\MSCOMCT2.OCX
      2008-11-25 12:04 . 1998-07-13 02:08 141,312 --a------ c:\windows\System32\MSCMCFR.DLL
      2008-11-25 12:04 . 1998-06-24 01:00 137,000 --a------ c:\windows\System32\MSMAPI32.OCX
      2008-11-25 12:04 . 1998-07-13 02:08 119,568 --a------ c:\windows\System32\VB6FR.DLL
      2008-11-25 12:04 . 2001-10-28 17:42 116,224 --a------ c:\windows\System32\pdfcmnnt.dll
      2008-11-25 12:04 . 1998-07-13 02:08 59,904 --a------ c:\windows\System32\MSCC2FR.DLL
      2008-11-25 12:04 . 1998-07-06 01:00 23,552 --a------ c:\windows\System32\MSMPIDE.DLL
      2008-11-25 10:10 . 2008-11-25 10:13 <REP> d-------- c:\program files\Common Files\Toshiba Shared
      2008-11-25 09:29 . 2008-03-10 18:14 788,992 --a------ c:\temp\SFDNWIN.exe
      2008-11-25 09:26 . 2008-11-25 09:26 <REP> d-------- c:\program files\Toshiba TEMPRO
      2008-11-25 09:21 . 2008-08-05 10:49 428,544 --a------ c:\windows\System32\EncDec.dll
      2008-11-25 09:21 . 2008-08-05 10:49 293,376 --a------ c:\windows\System32\psisdecd.dll
      2008-11-25 09:21 . 2008-08-05 10:48 217,088 --a------ c:\windows\System32\psisrndr.ax
      2008-11-25 09:21 . 2008-08-05 10:48 177,664 --a------ c:\windows\System32\mpg2splt.ax
      2008-11-25 09:21 . 2008-08-05 10:48 80,896 --a------ c:\windows\System32\MSNP.ax
      2008-11-25 09:08 . 2008-10-16 22:13 1,809,944 --a------ c:\windows\System32\wuaueng.dll
      2008-11-25 09:08 . 2008-10-16 21:56 1,524,736 --a------ c:\windows\System32\wucltux.dll
      2008-11-25 09:08 . 2008-10-16 22:12 561,688 --a------ c:\windows\System32\wuapi.dll
      2008-11-25 09:08 . 2008-10-16 14:08 162,064 --a------ c:\windows\System32\wuwebv.dll
      2008-11-25 09:08 . 2008-10-16 21:55 83,456 --a------ c:\windows\System32\wudriver.dll
      2008-11-25 09:08 . 2008-10-16 22:09 51,224 --a------ c:\windows\System32\wuauclt.exe
      2008-11-25 09:08 . 2008-10-16 22:09 43,544 --a------ c:\windows\System32\wups2.dll
      2008-11-25 09:08 . 2008-10-16 22:08 34,328 --a------ c:\windows\System32\wups.dll
      2008-11-25 09:08 . 2008-10-16 13:56 31,232 --a------ c:\windows\System32\wuapp.exe

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-12-15 14:11 --------- d-----w c:\programdata\Symantec
      2008-12-15 14:11 --------- d-----w c:\program files\Common Files\Symantec Shared
      2008-12-15 09:42 --------- d-----w c:\program files\Symantec
      2008-12-12 17:35 --------- d-----w c:\program files\Windows Mail
      2008-12-09 08:27 --------- d--h--w c:\program files\InstallShield Installation Information
      2008-12-05 15:00 --------- d-----w c:\program files\Norton Internet Security
      2008-12-03 14:12 36,723 ----a-w c:\windows\E220AutoRunLog.tmp
      2008-12-02 08:56 --------- d-----w c:\program files\ATI Technologies
      2008-11-28 10:18 --------- d-----w c:\program files\Common Files\Adobe
      2008-11-25 09:22 --------- d-----w c:\program files\Microsoft Silverlight
      2008-11-25 09:10 --------- d-----w c:\programdata\Toshiba
      2008-11-25 09:10 --------- d-----w c:\program files\TOSHIBA
      2008-11-25 08:27 --------- d-----w c:\program files\Toshiba TEMPO
      2008-11-25 08:27 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
      2008-11-01 03:44 541,696 ----a-w c:\windows\AppPatch\AcLayers.dll
      2008-11-01 03:44 52,736 ----a-w c:\windows\AppPatch\iebrshim.dll
      2008-11-01 03:44 460,288 ----a-w c:\windows\AppPatch\AcSpecfc.dll
      2008-11-01 03:44 2,154,496 ----a-w c:\windows\AppPatch\AcGenral.dll
      2008-11-01 03:44 173,056 ----a-w c:\windows\AppPatch\AcXtrnal.dll
      2008-10-29 06:29 2,927,104 ----a-w c:\windows\explorer.exe
      2008-10-16 04:47 827,392 ----a-w c:\windows\System32\wininet.dll
      2008-09-30 18:14 1,286,152 ----a-w c:\windows\System32\msxml4.dll
      2008-09-18 05:09 3,601,464 ----a-w c:\windows\System32\ntkrnlpa.exe
      2008-09-18 05:09 3,549,240 ----a-w c:\windows\System32\ntoskrnl.exe
      2008-09-18 04:56 147,456 ----a-w c:\windows\System32\Faultrep.dll
      2008-09-18 04:56 125,952 ----a-w c:\windows\System32\wersvc.dll
      2008-09-18 02:16 2,032,640 ----a-w c:\windows\System32\win32k.sys
      2008-03-20 15:45 174 --sha-w c:\program files\desktop.ini
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2006-11-13 413696]
      "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
      "WindowsWelcomeCenter"="oobefldr.dll" [2008-01-19 c:\windows\System32\oobefldr.dll]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "KeNotify"="c:\program files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352]
      "SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 438272]
      "ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2007-01-09 115816]
      "TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2007-03-29 411192]
      "HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2006-12-07 55416]
      "SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2007-04-03 509496]
      "00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2007-05-22 538744]
      "Desktop SMS"="c:\program files\IDM\Desktop SMS\DesktopSMS.exe" [2007-06-18 1507328]
      "topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
      "Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-04-10 413696]
      "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-07-27 204800]
      "Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2007-02-19 571024]
      "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
      "Toshiba TEMPO"="c:\program files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe" [2008-11-06 103824]
      "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1316136]
      "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
      "Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
      "Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]
      "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
      "RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 c:\windows\RtHDVCpl.exe]
      "NDSTray.exe"="NDSTray.exe" [BU]
      "Skytel"="Skytel.exe" [2007-08-03 c:\windows\SkyTel.exe]

      c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
      Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
      Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 64864]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "EnableUIADesktopToggle"= 0 (0x0)

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "AppInit_DLLs"=acaptuser32.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "msacm.dvacm"= c:\progra~1\COMMON~1\ULEADS~1\vio\dvacm.acm

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "UacDisableNotify"=dword:00000001
      "InternetSettingsDisableNotify"=dword:00000001
      "AutoUpdateDisableNotify"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
      "{9E76F4D0-F4F5-43DF-BA5C-115CB41BFFF2}"= UDP:c:\program files\DNA\btdna.exe:DNA (TCP-In)
      "{1DF84B96-BD24-481B-8088-35179EA9DD9D}"= TCP:c:\program files\DNA\btdna.exe:DNA (UDP-In)
      "TCP Query User{42250497-25B4-42FE-B635-0C776939C7C3}c:\\users\\olivier\\program files\\dna\\btdna.exe"= UDP:c:\users\olivier\program files\dna\btdna.exe:btdna.exe
      "UDP Query User{C1F15989-07EC-4262-A3DD-4649C1614546}c:\\users\\olivier\\program files\\dna\\btdna.exe"= TCP:c:\users\olivier\program files\dna\btdna.exe:btdna.exe

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
      "c:\\Program Files\\BitTorrent\\bittorrent.exe"= c:\program files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent

      R1 IDSvix86;Symantec Intrusion Prevention Driver;\??\c:\progra~2\Symantec\DEFINI~1\SymcData\idsdefs\20081121.001\IDSvix86.sys [2008-11-25 270384]
      R2 TempoMonitoringService;Notebook Performance Tuning Service ;"c:\program files\Toshiba TEMPRO\TempoSVC.exe" [2008-11-06 99720]
      R3 AEXPAM;Philips SmartManage Service;c:\windows\system32\Drivers\aexpamdrv.sys [2004-09-01 21824]
      S3 SYMNDISV;SYMNDISV;c:\windows\system32\Drivers\SYMNDISV.SYS [2007-01-09 38200]
      S4 CplIR;Embedded IR Driver;c:\windows\system32\DRIVERS\CplIR.SYS [2007-03-06 14848]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e0657d9-00c6-11dd-8ac6-001eec00b9d6}]
      \shell\AutoRun\command - G:\LaunchU3.exe -a

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{211e741f-49a8-11dd-8820-001cbfb32ab9}]
      \shell\AutoRun\command - D:\VMC_PBStarter.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{211e743a-49a8-11dd-8820-001cbfb32ab9}]
      \shell\AutoRun\command - D:\VMC_PBStarter.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2de7d56f-4bfd-11dd-a59b-806e6f6e6963}]
      \shell\AutoRun\command - D:\VMC_PBStarter.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2de7d59a-4bfd-11dd-a59b-001cbfb32ab9}]
      \shell\AutoRun\command - D:\VMC_PBStarter.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad04ee20-bf90-11dd-aea2-001eec00b9d6}]
      \shell\AutoRun\command - D:\VMC_PBStarter.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad04ee21-bf90-11dd-aea2-001eec00b9d6}]
      \shell\AutoRun\command - D:\VMC_PBStarter.exe

      *Newly Created Service* - COMHOST
      *Newly Created Service* - PROCEXP90
      *Newly Created Service* - SSMDRV
      .
      Contenu du dossier 'Tâches planifiées'

      2008-12-15 c:\windows\Tasks\Norton Internet Security - Analyse système complète - olivier.job
      - c:\program files\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-01-14 02:09]

      2008-12-17 c:\windows\Tasks\User_Feed_Synchronization-{A6743085-4A67-44EC-A305-2B233F69FCDD}.job
      - c:\windows\system32\msfeedssync.exe [2008-01-19 08:33]
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      HKLM-Run-HWSetup - \HWSetup.exe
      HKLM-Run-NWEReboot - (no file)



      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-12-17 15:49:09
      Windows 6.0.6001 Service Pack 1 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
      AppInit_DLLs = acaptuser32.dll???
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run
      TOSCDSPD = c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i?????p_8S?A??8???`????????????

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      Heure de fin: 2008-12-17 15:54:22
      ComboFix-quarantined-files.txt 2008-12-17 14:54:20

      Avant-CF: 44.996.456.448 octets libres
      Après-CF: 48,894,672,896 octets libres

      216 --- E O F --- 2008-12-12 12:28:12
      0
      1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537 > Bidou
         
        Bonjour,

        Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
        Procèdes comme ceci :
        http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm
        A bientôt
        0
  6. Dragvador
     
    Je pense que ca va mieux, j'ai viré pas moins de 41 trojans et autres aprés une bonne mise a jour de Malwarebyte ...

    Voici le dernier rapport toolbar

    -----------\\ ToolBar S&D 1.2.6 XP/Vista

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2000+ )
    BIOS : Version 1.00
    USER : Administrateur ( Administrator )
    BOOT : Normal boot
    Antivirus : avast! antivirus 4.8.1229 [VPS 081217-0] 4.8.1229 (Activated)
    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:16 Go (Free:4 Go)
    D:\ (Local Disk) - NTFS - Total:29 Go (Free:16 Go)
    E:\ (Local Disk) - NTFS - Total:68 Go (Free:23 Go)
    F:\ (CD or DVD)
    G:\ (CD or DVD)

    "C:\ToolBar SD" ( MAJ : 04-12-2008|20:40 )
    Option : [1] ( 17/12/2008|17:02 )

    -----------\\ Recherche de Fichiers / Dossiers ...

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Start Page"="https://www.google.com/?gws_rd=ssl"
    "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    "Search Page"="https://www.google.com/?gws_rd=ssl"
    "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
    "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
    "Search Page"="https://www.google.com/?gws_rd=ssl"
    "Start Page"="https://www.google.com/?gws_rd=ssl"

    --------------------\\ Recherche d'autres infections

    --------------------\\ ROOTKIT !!

    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TDSSserv.sys]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv.sys]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]

    --------------------\\ Suspect ..

    C:\WINDOWS\system32\TDSSnrsr.dat
    C:\WINDOWS\system32\TDSSosvd.dat

    --------------------\\ Cracks & Keygens ..

    C:\DOCUME~1\ALLUSE~1\Menu D‚marrer\Programmes\installeur\crack
    C:\DOCUME~1\ALLUSE~1\Menu D‚marrer\Programmes\installeur\crack\anydvd.lnk
    C:\DOCUME~1\ALLUSE~1\Menu D‚marrer\Programmes\installeur\crack\clonecd.lnk

    1 - "C:\ToolBar SD\TB_1.txt" - 15/12/2008|16:05 - Option : [1]
    2 - "C:\ToolBar SD\TB_2.txt" - 16/12/2008|18:08 - Option : [1]
    3 - "C:\ToolBar SD\TB_3.txt" - 17/12/2008|17:03 - Option : [1]

    -----------\\ Fin du rapport a 17:03:21,18

    Vous en pensez quoi ?
    0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    je voudrais bien le rapport de MBAM.
    0
  8. Dragvador
     
    Malwarebytes' Anti-Malware 1.31
    Version de la base de données: 1511
    Windows 5.1.2600 Service Pack 2

    17/12/2008 17:34:23
    mbam-log-2008-12-17 (17-34-23).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 79474
    Temps écoulé: 13 minute(s), 7 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  9. Dragvador
     
    Et voila celui de ce matin :

    Malwarebytes' Anti-Malware 1.31
    Version de la base de données: 1456
    Windows 5.1.2600 Service Pack 2

    17/12/2008 11:56:10
    mbam-log-2008-12-17 (11-56-10).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 77221
    Temps écoulé: 11 minute(s), 1 second(s)

    Processus mémoire infecté(s): 2
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 13
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 6
    Fichier(s) infecté(s): 16

    Processus mémoire infecté(s):
    C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\proas2009.exe (Rogue.ProAntispyware2009) -> Unloaded process successfully.
    C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\msxml71.dll (Trojan.Siggen) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Solt Lake Software (Rogue.ProAntispyware2009) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a1e8ba10-db3e-4f10-5d8a-4a470ecc5b62} (Adware.BHO) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{a1e8ba10-db3e-4f10-5d8a-4a470ecc5b62} (Adware.BHO) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a9dab9da-aa5e-00eb-2e2c-8d20cbc1d6f1} (Adware.BHO) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{a9dab9da-aa5e-00eb-2e2c-8d20cbc1d6f1} (Adware.BHO) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdlsqvwtrr (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cognac (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\Documents and Settings\All Users\Application Data\Solt Lake Software (Rogue.ProAntispyware2009) -> Quarantined and deleted successfully.
    C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009 (Rogue.ProAntispyware2009) -> Quarantined and deleted successfully.
    C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\BASE (Rogue.ProAntispyware2009) -> Quarantined and deleted successfully.
    C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\DELETED (Rogue.ProAntispyware2009) -> Quarantined and deleted successfully.
    C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\LOG (Rogue.ProAntispyware2009) -> Quarantined and deleted successfully.
    C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\SAVED (Rogue.ProAntispyware2009) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> Delete on reboot.
    C:\WINDOWS\system32\TDSScfub.dll (Trojan.TDSS) -> Delete on reboot.
    C:\WINDOWS\system32\TDSSfpmp.dll (Trojan.TDSS) -> Delete on reboot.
    C:\WINDOWS\system32\TDSSoeqh.dll (Trojan.TDSS) -> Delete on reboot.
    C:\WINDOWS\system32\TDSSriqp.dll (Trojan.TDSS) -> Delete on reboot.
    C:\WINDOWS\system32\drivers\TDSSpaxt.sys (Trojan.TDSS) -> Delete on reboot.
    C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\proas2009.exe (Rogue.ProAntispyware2009) -> Quarantined and deleted successfully.
    C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\LOG\20081217093440704.log (Rogue.ProAntispyware2009) -> Quarantined and deleted successfully.
    C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\LOG\20081217101605171.log (Rogue.ProAntispyware2009) -> Quarantined and deleted successfully.
    C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\LOG\20081217114027406.log (Rogue.ProAntispyware2009) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\dbmmqydedpa.dll (Trojan.Agent) -> Delete on reboot.
    C:\Documents and Settings\Administrateur\Local Settings\Temp\F.tmp.exe (Trojan.FakeAlert) -> Delete on reboot.
    C:\WINDOWS\system32\TDSSbubx.log (Trojan.TDSS) -> Delete on reboot.
    C:\WINDOWS\system32\TDSSnmxh.dll (Rootkit.Agent) -> Delete on reboot.
    C:\WINDOWS\system32\kimonxghoqakwzcw.dll (Adware.BHO) -> Delete on reboot.
    0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    fais redémarrer l'ordi et réessaye de faire le post 4.
    0
  11. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    ceci est le post 16.

    Je te recopie le post 4

    On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

    * Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

    Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
    0
  12. Dragvador
     
    Il me mets error 404 page introuvable sur ce site
    0
  13. Dragvador
     
    Aie caramba !!!

    Euh tu n'aurais rien de plus facile et qui ne risquerait pas de foutre mon Windows en l'air ... lol

    Non plus sérieusement je n'y connais rien du tout en informatique et j'ai vu que le programme pouvait foutre en l'air le windows ou la connection internet ...

    Tu n'aurais rien de moins "virulant" ??
    0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    combofix n'est pas plus dangereux pour ton ordi que le rootkit TDSS qu'on est en train de virer.

    Prends la précaution d'installer la console de récupération comme demandée.
    0