FreddyXIII

Hello Apollo, Voici le rapport TCleaner : [ Rapport ToolsCleaner version 2.2.9 (par A.Rothstein & dj QUIOU) ] -->- Recherche: C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé ! C:\Program Files\Trend Micro\HijackThis: trouvé ! C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé ! C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé ! C:\WINDOWS\Gmer.exe: trouvé ! --------------------------------- -->- Suppression: C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé ! C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé ! C:\WINDOWS\Gmer.exe: supprimé ! C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé ! C:\Program Files\Trend Micro\HijackThis: supprimé ! Corbeille vidée! Fichiers temporaires nettoyés ! J'ai posté un commentaire sur Malware Complaints. Cela me paraît important de se faire entendre, et en même temps, je me connais, si je ne le fais pas de suite... Merci encore et bonnes fêtes lunaires, la mission est réussie Frédéric.

Hello, Voici le rapport du Kaspersky complet : Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600) Kaspersky Online Scanner 7 version: 7.0.25.0 Program database last update: Friday, December 26, 2008 18:50:29 Records in database: 1518395 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - My Computer: A:\ C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ K:\ Scan statistics: Files scanned: 122099 Threat name: 0 Infected objects: 0 Suspicious objects: 0 Duration of the scan: 03:18:18 No malware has been detected. The scan area is clean. The selected area was scanned. Bref, aucun souci de ce côté-là. Je pense que nous voyons le bout, même si je reste un peu parano, car quand je boot avec Comodo préalablement disabled, sous netstat en plus de skype.exe, j'ai toujours une autre connexion que je n'identifie pas. Quand je boot avec Comodo, cette connexion n'existe pas... Voili, voilou, un avis? Merci encore de ton aide Apollo! Frédéric.

Bonsoir, C'est la nuit, Freddy sort ses griffes... Non, désolé de ne répondre qu'à cette heure, mais j'ai eu une après-midi réjouissante sur le PC de mon père... Enfin, les détails importent peu, juste à signaler que j'ai changé Zone Alarm par Comodo (firewall uniquement, pas la partie Virus pour laquelle je laisse Antivir). Alors que ce matin et en début d'après-midi, j'avais encore des connexions exotiques sous netstat vers la Suède, la Russie, la Pologne, entre autres (une à la fois, vers une adresse différente à chaque reboot), à cette heure je n'ai plus aucune connexion de ce type. Je suspecte que c'est grâce à Comodo, mais pas nécessairement que le PC est clean. Pourquoi? Parce qu'à un moment, entre Zone Alarm et Comodo, j'ai volontairement laissé le PC sans firewall logiciel, juste pour voir... Je n'ai pas été déçu : plusieurs connexions sortantes simultanées. Autre chose, le résident de Spybot a détecté des demandes de changements dans la base de registre un peu étonnant. Comme j'ai passé mon temps à faire plein de mise à jour, je n'ai pas fait très attention au début, mais en regardant de plus près, selon Spybot, la demande émanait du vers agobot-ku... Une recherche dans la BDR a trouvé un system32.exe que je ne retrouve plus à cette heure. Enfin, le test demandé, Kaspersky sur les critical areas, clean : -------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7 REPORT Friday, December 26, 2008 Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600) Kaspersky Online Scanner 7 version: 7.0.25.0 Program database last update: Friday, December 26, 2008 18:50:29 Records in database: 1518395 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - Critical Areas: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage C:\Program Files C:\WINDOWS Scan statistics: Files scanned: 34631 Threat name: 0 Infected objects: 0 Suspicious objects: 0 Duration of the scan: 00:39:12 No malware has been detected. The scan area is clean. The selected area was scanned. A la recherche de certitudes, j'ai relancé un scan de l'ordinateur complet avec Kaspersky en ligne, toujours en cours à cette heure. Frédéric.

Oops, désolé, je viens de m'apercevoir que j'avais répondu sur le post original! Mais bien-entendu, c'est la suite. A noter qu'Antivir en surveillance latente a continué à me trouver des fichiers "infectés" notamment dans system volume information, mais je pense qu'il s'agissait des fichiers liés à ComboFix. Je vais rebooter. A plus tard, Frédéric.

Bonjour Apollo, J'ai quitté l'orbite hier soir, alors que ComboFix avait redémarré l'ordi après suppression de fichiers, mais qu'il restait planté sur la rédaction du rapport... J'ai fini par m'endormir Ce matin, relance de ComboFix, téléchargement d'une nouvelle version par le logiciel, et déroulement jusqu'au bout, avec ce log : ComboFix 08-12-25.04 - Administrateur 2008-12-26 9:42:44.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1023.657 [GMT 1:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\Freddy-CF.exe * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . c:\windows\system32\TDSSitpe.dat . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV.SYS -------\Service_TDSSserv.sys ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-26 au 2008-12-26 )))))))))))))))))))))))))))))))))))) . 2008-12-25 23:43 . 2008-12-25 23:49 250 --a------ c:\windows\gmer.ini 2008-12-25 23:02 . 2008-12-25 23:02 0 --a------ C:\ARK2.tmp 2008-12-25 19:46 . 2008-12-25 23:59 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware 2008-12-25 19:46 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-25 19:46 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-25 17:51 . 2008-12-25 17:51 <REP> d-------- c:\program files\Trend Micro 2008-12-20 17:07 . 2008-12-20 17:07 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Samsung 2008-11-28 20:12 . 2008-11-28 20:12 <REP> d-------- c:\program files\Samsung 2008-11-28 19:58 . 2007-07-03 16:58 106,792 --a------ c:\windows\system32\drivers\sscdmdm.sys 2008-11-28 19:58 . 2007-07-03 16:54 80,552 --a------ c:\windows\system32\drivers\sscdbus.sys 2008-11-28 19:58 . 2007-07-03 16:57 11,944 --a------ c:\windows\system32\drivers\sscdmdfl.sys 2008-11-28 19:58 . 2007-07-03 17:00 9,256 --a------ c:\windows\system32\drivers\sscdwhnt.sys 2008-11-28 19:58 . 2007-07-03 17:00 9,256 --a------ c:\windows\system32\drivers\sscdwh.sys 2008-11-28 19:58 . 2007-07-03 16:56 9,256 --a------ c:\windows\system32\drivers\sscdcmnt.sys 2008-11-28 19:58 . 2007-07-03 16:56 9,256 --a------ c:\windows\system32\drivers\sscdcm.sys 2008-11-28 19:34 . 2006-05-03 22:53 174,592 --a------ c:\windows\system32\framedyn.dll 2008-11-28 19:33 . 2008-11-28 19:58 <REP> d-------- c:\windows\system32\Samsung_USB_Drivers 2008-11-28 19:32 . 2008-11-28 20:10 5,632 --a------ c:\windows\system32\drivers\StarOpen.sys 2008-11-28 19:32 . 2005-08-28 20:51 766 --a------ c:\windows\system32\Uninstall.ico 2008-11-27 16:25 . 2008-11-27 16:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Icone 2008-11-26 13:17 . 2008-11-10 05:43 410,984 --a------ c:\windows\system32\deploytk.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-26 08:44 20,834,336 --sha-w c:\windows\system32\drivers\fidbox.dat 2008-12-26 08:44 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype 2008-12-26 00:00 251,720 --sha-w c:\windows\system32\drivers\fidbox.idx 2008-12-25 19:11 2,062,336 ----a-w c:\windows\Internet Logs\xDB9.tmp 2008-12-25 19:11 153,600 ----a-w c:\windows\Internet Logs\xDB8.tmp 2008-12-25 19:10 2,061,824 ----a-w c:\windows\Internet Logs\xDBA.tmp 2008-12-25 17:11 20 -c-h--w c:\documents and settings\All Users\Application Data\PKP_DLec.DAT 2008-12-25 17:11 --------- d-----w c:\program files\Mozilla Thunderbird 2008-12-25 17:10 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2008-12-25 16:52 --------- d-----w c:\program files\Winamp Toolbar 2008-12-25 15:23 --------- d--h--w c:\program files\InstallShield Installation Information 2008-12-25 15:12 --------- d-----w c:\program files\Fichiers communs\Adobe 2008-12-25 12:36 --------- d-----w c:\documents and settings\Administrateur\Application Data\foobar2000 2008-12-23 18:57 --------- d-----w c:\program files\Canon 2008-12-23 17:49 --------- d-----w c:\program files\CSV2ASC 2008-12-23 10:39 30,720 ----a-w c:\windows\Internet Logs\xDB7.tmp 2008-12-23 10:38 --------- d-----w c:\program files\Mio Technology 2008-12-23 10:23 25,088 ----a-w c:\windows\Internet Logs\xDB6.tmp 2008-12-23 10:18 32,768 ----a-w c:\windows\Internet Logs\xDB5.tmp 2008-12-22 18:10 28,160 ----a-w c:\windows\Internet Logs\xDB4.tmp 2008-12-22 17:37 25,088 ----a-w c:\windows\Internet Logs\xDB3.tmp 2008-12-22 17:33 1,211,904 ----a-w c:\windows\Internet Logs\xDB2.tmp 2008-12-20 11:35 20 -c-h--w c:\documents and settings\All Users\Application Data\PKP_DLdw.DAT 2008-12-20 11:28 20 -c-h--w c:\documents and settings\All Users\Application Data\PKP_DLdu.DAT 2008-12-20 10:43 20 -c-h--w c:\documents and settings\All Users\Application Data\PKP_DLbx.DAT 2008-11-25 11:54 --------- d-----w c:\program files\iTunes 2008-11-25 11:54 --------- d-----w c:\program files\iPod 2008-11-25 11:54 --------- d-----w c:\program files\Fichiers communs\Apple 2008-11-25 11:54 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-11-21 14:06 --------- d-----w c:\documents and settings\Administrateur\Application Data\KeePass 2008-11-19 17:53 --------- d-----w c:\documents and settings\All Users\Application Data\Distortion 2008-11-19 17:49 --------- d-----w c:\program files\Nikon 2008-11-19 17:49 --------- d-----w c:\program files\Fichiers communs\Nikon 2008-11-19 17:47 20 -c-h--w c:\documents and settings\All Users\Application Data\PKP_DLbz.DAT 2008-11-19 06:46 2,226,674 ----a-w c:\windows\Internet Logs\tvDebug.zip 2008-11-15 17:51 --------- d-----w c:\documents and settings\Administrateur\Application Data\Canon 2008-11-13 21:07 --------- d-----w c:\documents and settings\Administrateur\Application Data\XnView 2008-11-13 20:45 --------- d-----w c:\documents and settings\Administrateur\Application Data\Winamp 2008-11-13 20:05 --------- d-----w c:\program files\Winamp 2008-11-13 18:42 --------- d-----w c:\program files\PROGRAMES NIKON 2008-11-13 08:57 --------- d-----w c:\documents and settings\Administrateur\Application Data\OpenOffice.org 2008-11-13 08:53 --------- d-----w c:\documents and settings\Administrateur\Application Data\OpenOffice.org2 2008-11-12 11:32 --------- d-----w c:\program files\LexarMedia 2008-11-12 11:28 --------- d-----w c:\program files\XnView 2008-11-10 14:43 106,496 ----a-w c:\windows\system32\ATL71.DLL 2008-11-10 12:53 --------- d-----w c:\program files\Spybot - Search & Destroy 2008-11-10 11:37 --------- d-----w c:\program files\foobar2000 2008-10-30 13:47 1,785,344 ----a-w c:\windows\Internet Logs\xDB1.tmp 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-22 12:07 286,720 ----a-w c:\windows\iun507.exe 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 -c--a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 -c--a-w c:\windows\system32\wups.dll 2008-10-16 01:01 670,208 ----a-w c:\windows\system32\wininet.dll 2008-10-03 10:03 247,326 ------w c:\windows\system32\strmdll.dll 2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll 2008-07-16 20:52 0 -c--a-w c:\documents and settings\All Users\Application Data\PKP_DLdy.DAT 2008-04-08 18:47 467 -c--a-w c:\program files\Raccourci vers Winamp.lnk 2007-03-09 10:18 2,294,272 ----a-w c:\program files\Setup.msi 2003-07-31 09:53 147,456 -c--a-w c:\windows\inf\EL2K_XP.sys 2003-07-31 09:50 448,768 -c--a-w c:\windows\inf\EL2K_N64.sys 2003-07-31 09:43 147,456 -c--a-w c:\windows\inf\EL2K_2K.sys 2006-05-06 16:42 7,260,160 -c--a-w c:\program files\mozilla firefox\plugins\libvlc.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2006-10-13 20058152] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208] "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-19 405583] "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920] "ToUcamVProperty"="c:\program files\Philips ToUcam Camera\VProperty.exe" [2003-04-02 131072] "zBrowser Launcher"="c:\program files\Logitech\iTouch\iTouch.exe" [2004-03-18 892928] "WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-04 36352] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497] "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] "AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088] "PtiuPbmd"="ptipbm.dll" [2003-01-15 c:\windows\system32\ptipbm.dll] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 3.0.lnk - d:\open office\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Nikon Monitor.lnk - c:\program files\Fichiers communs\Nikon\Monitor\NkMonitor.exe [2008-08-07 479232] NkbMonitor.exe.lnk - c:\program files\PROGRAMES NIKON\PictureProject\NkbMonitor.exe [2006-09-13 118784] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "DisableStatusMessages"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMMyDocs"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "StartMenuLogoff"= 1 (0x1) "NoSMMyDocs"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] --a--c--- 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a--c--- 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"= "c:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Bonjour\\mDNSResponder.exe"= "c:\\Program Files\\iTunes\\iTunes.exe"= "c:\\Program Files\\Skype\\Phone\\Skype.exe"= R3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\DRIVERS\camdrv21.sys [2006-09-10 223232] R3 LCcfltr;Logitech USB Filter Driver;c:\windows\system32\Drivers\LCcFltr.Sys [2006-09-20 14095] S3 Asushwio;Asushwio;\??\c:\windows\system32\drivers\Asushwio.sys [2006-09-06 5824] . Contenu du dossier 'Tâches planifiées' 2008-12-23 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2008-12-19 c:\windows\Tasks\Maintenance en 1 clic.job - c:\program files\TuneUp Utilities 2008\OneClick.exe [] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.orange.fr/ IE: Easy-WebPrint Ajouter à la Liste à Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html IE: Locate Spot on Map by GPS - d:\iexif 2.3\IExifMap.htm IE: View Exif/GPS/IPTC with IExif - d:\iexif 2.3\IExifCom.htm TCP: {002D2B1F-3938-4E7A-BAA0-403855F7EB6A} = 193.252.19.3,193.252.19.4 TCP: {9D135BE0-E062-4E45-9665-7E0FB1935F55} = 193.252.19.3,193.252.19.4 WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\cenetflt.dll WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\cenetflt.dll WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\cenetflt.dll WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\cenetflt.dll WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\program files\Microsoft ActiveSync\cenetflt.dll WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\program files\Microsoft ActiveSync\cenetflt.dll FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\4qyrlr40.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\4qyrlr40.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npalnn.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll ATTENTION: FIREFOX POLICES IS IN FORCE FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: content.switch.threshold - 650000 FF - user.js: nglayout.initialpaint.delay - 300 FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\defaults\pref\activex.js - pref("general.useragent.vendorComment", "ax"); c:\program files\Mozilla Firefox\defaults\pref\activex.js - pref("security.xpconnect.activex.global.hosting_flags", 9); c:\program files\Mozilla Firefox\defaults\pref\activex.js - pref("security.classID.allowByDefault", false); c:\program files\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CID6BF52A52-394A-11D3-B153-00C04F79FAA6", "AllAccess"); c:\program files\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CID22D6F312-B0F6-11D0-94AB-0080C74C7E95", "AllAccess"); . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-26 09:44:44 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run ToUcamVProperty = c:\program files\Philips ToUcam Camera\VProperty.exe??U?c?a?m? ?C?a?m?e?r?a?\?V?P?r?o?p?e?r?t?y?.?e?x?e??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2008-12-26 9:45:47 ComboFix-quarantined-files.txt 2008-12-26 08:45:42 Avant-CF: 1,409,036,288 octets libres Après-CF: 1,414,299,648 octets libres 228 --- E O F --- 2008-12-19 08:48:23 Le dossier Avenger à la racine du C: a été supprimé (Antivir avait commencé le travail avec mise en quarantaine de la plupart des fichiers), entre autres... Mais je reste persuadé que la machine est toujours infectée... A l'heure où j'écris ces lignes, elle est connectée au port 17530 de la machine jcj-8.wiwi.uni-konstanz.de Merci de ton aide, Frédéric.

Bien, nous sommes donc toujours sur orbite! Voici le dernier log de malwarebytes infecté : Malwarebytes' Anti-Malware 1.31 Version de la base de données: 1456 Windows 5.1.2600 Service Pack 3 25/12/2008 23:14:10 mbam-log-2008-12-25 (23-14-10).txt Type de recherche: Examen rapide Eléments examinés: 45887 Temps écoulé: 3 minute(s), 7 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 2 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 7 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\system32\TDSScrxx.dll (Trojan.TDSS) -> Delete on reboot. C:\WINDOWS\system32\TDSSnpur.dll (Trojan.TDSS) -> Delete on reboot. C:\WINDOWS\system32\TDSSoipa.dll (Trojan.TDSS) -> Delete on reboot. C:\WINDOWS\system32\TDSSyavu.dll (Trojan.TDSS) -> Delete on reboot. C:\WINDOWS\system32\drivers\TDSSmxoe.sys (Trojan.TDSS) -> Delete on reboot. C:\WINDOWS\system32\TDSSqxgx.dll (Rootkit.Agent) -> Delete on reboot. C:\WINDOWS\system32\TDSSwkod.log (Trojan.TDSS) -> Delete on reboot. Et la dernière analyse, complète, et clean : mbam-log-2008-12-26 (00-18-01).txt Type de recherche: Examen complet (C:\|) Eléments examinés: 77394 Temps écoulé: 18 minute(s), 10 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté) Mais encore une fois, la connexion distante dont je parle plus haut apparaît toujours dans netstat, et Antivir à qui j'ai demandé une vigilance en sous-tâche "renforcée", m'a de nouveau signalé des fichiers .tmp associés à TDSS. Je lance le ComboFix et je poste le log. Frédéric.

Merci, j'ai récupéré le Combo-Fix, mais à cette heure, je ne l'ai pas encore utilisé. De mon côté, tant bien que mal, j'ai réussi à utiliser malwarebytes en mode sans échec en renommant l'exe, car tant qu'il s'appelait mbam.exe, impossible de le lancer... Avec baby.exe, cela marchait beaucoup mieux. Sympa notre visiteur. Depuis, j'ai lancé plusieurs analyses malwarebytes et plusieurs analyses antivir sur les fichiers cachés, et bingo : TDSS. Plusieurs reboots, et beaucoup de fichiers mis en quarantaine, puis supprimés. D'ailleurs, mes derniers passages par malwarebytes (que j'ai pu enfin mettre à jour) ne montrent plus rien, mais je ne suis pas certain que le PC soit totalement nettoyé, loin sans faut. Certes, je peux à nouveau surfer normalement, en accédant à gmer ou malekal par exemple, ou encore bleepingcomputer (où j'ai vu qu'il existe un fichier SDfix pour TDSS, mais bien-entendu je ne l'utiliserai pas sans ton avis), mais d'une part j'ai toujours des processus cachés détectés par Antivir, et surtout, en faisant un netstat, j'ai toujours une connexion distante vers bb-87-80-73-7.ukonline.co.uk:61024... Dois-lancer le ComboFix? Sur ce bonne nuit, car je me doute que tu es sans doute pas loin de partir en mission lunaire si ce n'est déjà fait, quand les griffes de la nuit vont également se reposer Merci encore de ton aide. Frédéric.

Ok, c'est part i:-)

Ok, mais bleepingcomputer.com comme malwarebytes.org => impossible de télécharger ComboFix! Peux-tu le mettre à dispo comme pour malwarebytes? Frédéric.

Bien... Merci, j'ai récupéré l'exe, j'ai lancé l'installation, celle-ci se passe bien, mais après, impossible de lancer l'appli, ni de lancer la recherche de mise à jour. En somme, il ne se passe rien. Je pense que le "visiteur" bloque certaines adresses IP dont celle du site de Malwarebytes... Que faire? Frédéric.

Merci beaucoup de me venir en aide tout d'abord. J'ai donc désinstallé Malwarebytes, et rebooté. Maintenant, je n'arrive pas à le télécharger... Que je clique sur le lien (il m'ouvre un onglet vide) ou que je fasse enregistrer la cible du lien sous (il télécharge le fichier sans le faire, résultat fichier de 0 Ko), je n'y arrive pas... Je reste calme, mais comment faire? Merci encore, Frédéric.

Bonjour à tout le monde, et Joyeux Noël... En espérant qu'il y aura quand même quelqu'un(e) de disponible pour aider Bien, mon père qui a la fâcheuse habitude de cliquer à l'envers quand il faut cliquer à l'endroit et vice-versa, a manifestement choppé un magnifique rootkit pour une histoire qui ressemble de beaucoup à une autre relativement récente sur le forum (http://forum.zebulon.fr/resolu-probleme-de-redirection-google-et-blocage-de-logiciels-t156130.html&pid=1321654&mode=threaded#entry1321654). En effet, mêmes effets. Redirections diverses depuis Google ou autres moteurs avec Firefox et IE, impossibilité de lancer Malwarebytes, etc... Pas non plus possible d'accéder aux sites utiles type Malekal, ou Gmer... Trop drôle. Je viens malgré tout de faire un highjackthis juste après le boot, le voici : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:53:40, on 25/12/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\Program Files\D-Tools\daemon.exe C:\Program Files\Philips ToUcam Camera\VProperty.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe C:\Program Files\PROGRAMES NIKON\PictureProject\NkbMonitor.exe D:\OPEN OFFICE\OpenOffice.org 3\program\soffice.exe D:\OPEN OFFICE\OpenOffice.org 3\program\soffice.bin C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ToUcamVProperty] C:\Program Files\Philips ToUcam Camera\VProperty.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_02] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = D:\OPEN OFFICE\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: Nikon Monitor.lnk = C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\PROGRAMES NIKON\PictureProject\NkbMonitor.exe O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Locate Spot on Map by GPS - D:\IExif 2.3\IExifMap.htm O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - D:\IExif 2.3\IExifCom.htm O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{002D2B1F-3938-4E7A-BAA0-403855F7EB6A}: NameServer = 193.252.19.3,193.252.19.4 O17 - HKLM\System\CCS\Services\Tcpip\..\{9D135BE0-E062-4E45-9665-7E0FB1935F55}: NameServer = 193.252.19.3,193.252.19.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{002D2B1F-3938-4E7A-BAA0-403855F7EB6A}: NameServer = 193.252.19.3,193.252.19.4 O17 - HKLM\System\CS2\Services\Tcpip\..\{002D2B1F-3938-4E7A-BAA0-403855F7EB6A}: NameServer = 193.252.19.3,193.252.19.4 O17 - HKLM\System\CS3\Services\Tcpip\..\{002D2B1F-3938-4E7A-BAA0-403855F7EB6A}: NameServer = 193.252.19.3,193.252.19.4 O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 7794 bytes Toute aide sera vraiment la bienvenue, car je n'y vois pas très clair, et pourtant je suis resté à l'eau claire aujourd'hui! Merci, Frédéric.