nico pas d'chance

bonjour il semble que Combofix ait fait du bon travail, plus aucun problème dû à Total Security. donc j'ai supprimé tout ce que j'ai pu trouvé dans l'ordi contenant le nom de Total Security et vider la corbeille mais je ne sais pas si cela suffira. je viens de faire tourner malwarebytes comme cela est dit dans d'autres discussions. voici le rapport, il semble qu'il y a pas mal de fichiers infectés. de quel outil se servir à ce stade pour résorber ces infections? merci beaucoup pour votre aide Malwarebytes' Anti-Malware 1.40 Version de la base de données: 2756 Windows 5.1.2600 Service Pack 2 08/09/2009 08:54:21 mbam-log-2009-09-08 (08-54-06).txt Type de recherche: Examen rapide Eléments examinés: 85331 Temps écoulé: 1 minute(s), 48 second(s) Processus mémoire infecté(s): 3 Module(s) mémoire infecté(s): 1 Clé(s) du Registre infectée(s): 8 Valeur(s) du Registre infectée(s): 11 Elément(s) de données du Registre infecté(s): 2 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 19 Processus mémoire infecté(s): C:\WINDOWS\system32\wiwow64.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\sofatnet.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\wiawow32.sys (Backdoor.Bot) -> No action taken. Module(s) mémoire infecté(s): C:\WINDOWS\system32\EvdoServer.dll (Trojan.Agent) -> No action taken. Clé(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\evdoserver (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\evdoserver (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\evdoserver (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sofatnet (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sofatnet (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sofatnet (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rotscxexjlktax (Rootkit.TDSS) -> No action taken. Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mEv (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mso (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\udso (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> No action taken. Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken. Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\system32\wiwow64.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\EvdoServer.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\sofatnet.exe (Backdoor.Bot) -> No action taken. C:\dlwin.exe (Worm.P2P) -> No action taken. C:\dwktudnr.exe (Trojan.Dropper) -> No action taken. C:\nbmr.exe (Trojan.Downloader) -> No action taken. C:\otcw.exe (Trojan.Dropper) -> No action taken. C:\qseoqy.exe (Trojan.Downloader) -> No action taken. C:\rjuxs.exe (Trojan.Injector) -> No action taken. C:\WINDOWS\system32\dvdpaly.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\tmp1843.$ (Backdoor.Bot) -> No action taken. C:\WINDOWS\temp\tmp0_100274396177.bk.old (Backdoor.Bot) -> No action taken. C:\WINDOWS\temp\tmp0_778853575235.bk.old (Backdoor.Bot) -> No action taken. C:\Documents and Settings\cabinet reilé\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\wiawow32.sys (Backdoor.Bot) -> No action taken. C:\WINDOWS\temp\BN5.tmp (Trojan.Agent) -> No action taken. C:\WINDOWS\temp\BN6.tmp (Trojan.Agent) -> No action taken. C:\Documents and Settings\cabinet reilé\reader_s.exe (Trojan.Agent) -> No action taken.

Bonjour, j'ai fait le scan par Combofix comme vous me l'avez préconisé. En voici le rapport ci-dessous. pour info : depuis ce scan, les fenêtres automatiques de Total Security ne s'ouvrent plus intempestivement mais son icône avec la mappemonde dans le cadenas est toujours sur le bureau de l'ordi... cdlt aComboFix 09-09-06.04 - cabinet reilé 07/09/2009 9:43.1.4 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1767 [GMT 2:00] Running from: c:\documents and settings\cabinet reilé\Bureau\82206-CF.exe AV: avast! antivirus 4.8.1335 [VPS 090823-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D} WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\-2065243875 c:\documents and settings\All Users\Application Data\11509534 c:\documents and settings\All Users\Application Data\11509534\11509534 c:\documents and settings\All Users\Application Data\11509534\11509534.exe c:\documents and settings\All Users\Application Data\11509534\pc11509534ins c:\recycler\S-1-5-21-0144728206-5418657957-358592886-9951 c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1077 c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811 c:\recycler\S-1-5-21-0261596214-9005003617-928083763-5005 c:\recycler\S-1-5-21-2982502759-8883749519-293161997-3711 c:\recycler\S-1-5-21-4173419062-2667527495-886158000-7377 c:\recycler\S-1-5-21-5385541495-7999347522-599008936-0861 c:\recycler\S-1-5-21-6416138591-9768520849-143934027-7677 c:\recycler\S-1-5-21-6425039286-1955001440-481389832-8184 c:\recycler\S-1-5-21-7043586968-4910946260-567883362-2669 c:\recycler\S-1-5-21-7043586968-4910946260-567883362-2669\wnzip32.exe c:\recycler\S-1-5-21-9816176589-6528293331-439428619-4706 c:\recycler\S-1-5-21-9825820313-4225121131-264366650-4471 c:\windows\Install.txt c:\windows\msdrive32.exe c:\windows\system32\_id.dat c:\windows\system32\AutoRun.inf c:\windows\system32\csrcs.exe c:\windows\system32\drivers\b2437c58.sys c:\windows\system32\drivers\b89420f2.sys c:\windows\system32\drivers\rotscxxyyrvagx.sys c:\windows\system32\FInstall.sys c:\windows\system32\Install.txt c:\windows\system32\reader_s.exe c:\windows\system32\rotscxgnqtdepw.dat c:\windows\system32\rotscxmkiddheq.dll c:\windows\system32\rotscxvrevpeoe.dll c:\windows\system32\rotscxwcijexya.dat c:\windows\system32\servises.exe c:\windows\system32\spX2.exe c:\windows\system32\tajf83ikdmf.dll c:\windows\system32\wiawow32.sys c:\windows\system32\wiwow64.exe c:\windows\TEMP\mta26548.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_b2437c58 -------\Service_b89420f2 -------\Service_rotscxexjlktax ((((((((((((((((((((((((( Files Created from 2009-08-07 to 2009-09-07 ))))))))))))))))))))))))))))))) . 2009-08-28 07:13 . 2009-08-30 13:32 705 ----a-w- C:\qseoqy.exe 2009-08-28 07:13 . 2009-08-30 13:32 69632 ----a-w- C:\ybdvlwme.exe 2009-08-28 07:12 . 2009-08-30 13:32 107008 ----a-w- C:\otcw.exe 2009-08-28 07:12 . 2009-08-30 13:32 211048 ----a-w- C:\mtyfncck.exe 2009-08-28 07:12 . 2009-09-03 12:18 111616 ----a-w- C:\dlwin.exe 2009-08-28 07:12 . 2009-08-28 07:12 705 ----a-w- C:\nbmr.exe 2009-08-28 07:12 . 2009-08-28 07:12 69632 ----a-w- C:\dwktudnr.exe 2009-08-28 07:12 . 2009-08-28 07:12 107008 ----a-w- C:\rjuxs.exe 2009-08-28 07:12 . 2009-08-28 07:12 211048 ----a-w- C:\fijt.exe . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-09-02 14:26 . 2009-06-24 09:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help 2009-08-28 12:46 . 2004-08-05 10:00 182912 ----a-w- c:\windows\system32\drivers\ndis.sys 2009-08-24 14:08 . 2009-07-15 14:56 -------- d-----w- c:\program files\CartoExploreur 2009-08-06 06:41 . 2009-08-04 14:50 -------- d-----w- c:\program files\CartoNav 2009-08-06 05:46 . 2009-06-25 06:18 21840 ----atw- c:\windows\system32\SIntfNT.dll 2009-08-06 05:46 . 2009-06-25 06:18 17212 ----atw- c:\windows\system32\SIntf32.dll 2009-08-06 05:46 . 2009-06-25 06:18 12067 ----atw- c:\windows\system32\SIntf16.dll 2009-07-16 06:07 . 2009-07-16 06:07 -------- d-----w- c:\program files\Therion 2009-07-16 06:07 . 2009-07-16 06:05 11610219 ----a-w- c:\program files\therion-full-5.2.exe 2009-07-15 14:28 . 2009-06-25 06:26 -------- d-----w- c:\program files\Visualisateur 2009-06-24 09:34 . 2004-08-05 10:00 48616 ----a-w- c:\windows\system32\perfc00C.dat 2009-06-24 09:34 . 2004-08-05 10:00 367658 ----a-w- c:\windows\system32\perfh00C.dat 2009-06-24 09:03 . 2009-06-24 09:03 21892 ----a-w- c:\windows\system32\emptyregdb.dat . ------- Sigcheck ------- [-] 558635D3AF1C7546D26067D5D9B6959E [5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] c:\windows\system32\dllcache\ndis.sys [-] 558635D3AF1C7546D26067D5D9B6959E [5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] c:\windows\system32\drivers\ndis.sys . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-03 1667584] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-30 39408] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-29 7204864] "AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712] "XeroxScanUtility"="c:\program files\Xerox\Scan_Utility\xrxzipui.exe" [2007-09-10 388096] "XeroxEndeavorBackgroundTask"="c:\windows\system32\xgpinbgnd.exe" [2007-09-10 65536] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000] "SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-03-20 282624] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360] c:\documents and settings\cabinet reil‚\Menu D‚marrer\Programmes\D‚marrage\ ysfsys32.exe [2004-8-5 19456] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Assistant d'Acrobat.lnk - c:\program files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193] Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\WINDOWS\\system32\\usmt\\migwiz.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"= 5353:TCP:Adobe CSI CS4 R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [25/06/2009 10:04 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [25/06/2009 10:04 20560] R2 evdoserver;evdoserver;c:\windows\system32\svchost.exe -k netsvcs [05/08/2004 12:00 14336] R2 sofatnet;sofatnet Service;c:\windows\system32\sofatnet.exe [05/08/2004 12:00 94208] . - - - - ORPHANS REMOVED - - - - HKCU-Run-AdobeBridge - (no file) HKLM-Run-Microsoft Driver Setup - c:\windows\msdrive32.exe HKLM-Run-11509534 - c:\documents and settings\All Users\Application Data\11509534\11509534.exe HKLM-Run-nwiz - nwiz.exe HKLM-Explorer_Run-csrcs - c:\windows\system32\csrcs.exe . ------- Supplementary Scan ------- . uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: {63EE7F30-AB3D-46A1-A131-5BA9172BC0C5} = 192.168.0.1 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-09-07 09:47 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rotscxexjlktax] "imagepath"="\systemroot\system32\drivers\rotscxxyyrvagx.sys" . --------------------- LOCKED REGISTRY KEYS --------------------- [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rotscxexjlktax] @DACL=(02 0000) "start"=dword:00000001 "type"=dword:00000001 "group"="file system" "imagepath"=expand:"\\systemroot\\system32\\drivers\\rotscxxyyrvagx.sys" . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(752) c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll - - - - - - - > 'explorer.exe'(2772) c:\windows\system32\msi.dll . ------------------------ Other Running Processes ------------------------ . c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\wscntfy.exe c:\windows\system32\imapi.exe . ************************************************************************** . Completion time: 2009-09-07 9:48 - machine was rebooted ComboFix-quarantined-files.txt 2009-09-07 07:48 Pre-Run: 71 335 280 640 octets libres Post-Run: 71 426 654 208 octets libres 178

Boujour j'ai le même problème que pas mal de monde, d'après ce que j'ai pu lire sur le forum : infection par Total Security. pas moyen de lancer un scan avec hijackthis pour envoyer un premier rapport : total security bloque tout. help! merci d'avance