[RESOLU] Help... symptome de Bravix, surf lent...avast en cause

[Zorgimus]

Désolé j'ai répondu sous le texte. Je ne parviens pas à ouvrir les liens.

[Apollo]

Re,

 

Essaie les téléchargements via le clic droit/enregistrer sous... bureau.

 

Je ne peux t'en dire plus si tu ne parviens à rien télécharger.

 

Il te reste à télécharger DrWeb Cureit depuis un autre pc, sur une clé usb par exemple.

 

Je peux t'envoyer partout où je veux, si tu ne parviens pas à y accéder je ne te serais plus d'un grand secours.

 

Essaie encore celui-là mais c'est le canon qu'on fait employer en dernier ressort... et ses analyses durent très longtemps.

 

SCANNER AVEC AVP TOOL

 

Le scan va s'effectuer en Mode Sans Echec: comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.

• Télécharge et enregistre sur ton Bureau le scanner portable AVP TOOL (sélectionne-la à partir des dates) en cliquant sur cette image:
  
   
  Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
  
• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur bipper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  
• Connecte éventuellement tes clés USB et disques externes.
   
   
  
• Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus
  
• Réponds "Oui" à la question "Do you want to continue installation?"
  
• Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool"
  
• Si nécessaire, branche tes périphériques amovibles (clés USB, disque dur externe...)
  
• L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan".
  
• Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image:
   
  
  
• Valide avec "Apply" puis "OK"
  
• L'outil est maintenant configuré: dans la fenêtre principale, clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
  
• A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Delete" ou "Disinfect" selon ce que propose la fenêtre:
   
  
  
• Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK"
  
• Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events"
  
• Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL
  
• Ferme les fenêtres d'AVP Tool: un message apparaît proposant de désinstaller le logiciel: choisis "YES"
  
  
• Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation:
  
  A la question "Would you like to restart now", répond "OUI" et redémarre ton ordinateur en Mode normal.
  
• Poste le contenu du rapport dans ta prochaine réponse
  

++

[Zorgimus]

Ok merci, je verrai demain, j'utiliserai une clé ou le "canon", la nuit porte conseil...merci pour la patience. Bonne nuit.

[Apollo]

Re,

 

Si tu dois employer AVP Tool, il vaudrait mieux le lancer avant que tu ailles dormir, appliquer la première action (capture en rouge) et cocher la case Apply to All. Comme ça l'outil agira seul.

 

Car comme je te l'ai dit, ce scan dure très longtemps, d'autant que tu as énormément de fichiers.

Il faut bien sûr que le pc ne se mette pas en veille.

 

J'ai vu des analyses de trois heures mais j'en ai aussi vu de 15 !

 

J'aurais sûrement d'autres infos demain.

Bonne nuit.

[Zorgimus]

Salut,

Je n'ai pas eu ton dernier message, j'ai donc ramené une clef usb avec Dr Web cure it et suivi ta démarche je te joins le résultat. Au redémmarage antivir a trouvé quelquechose que j'ai deleté,

 

tdssserv.sys c:\windows\system32\drivers BackDoor.Tdss.14 Supprimé.

SDFix.exe\SDFix\apps\Process.exe C:\Documents and Settings\SAM\Bureau\SDFix.exe Tool.Prockill

SDFix.exe C:\Documents and Settings\SAM\Bureau L'archive contient des éléments infectés Quarantaine.

Process.exe C:\Documents and Settings\SAM\Bureau\film olive\MSNFix\incl Tool.Prockill Quarantaine.

Process.exe C:\SDFix\apps Tool.Prockill Quarantaine.

 

Virus or unwanted program 'RKIT/Clbd.KS [trojan]'

detected in file 'C:\WINDOWS\system32\tdssadw.dll.

Action performed: Delete file ....en 3 exemplaires au redemarrage.

[Apollo]

Bonsoir,

 

Ok ton vilain a été dégagé; bon boulot de CureIt comme d'habitude.

 

Je ne saurais trop te conseiller de te débarrasser des cracks qui sont mis en évidence dans les rapports Toolbar S&D; tes infections viennent de là, j'en suis sûr et certain.

Je ne joue pas les moralisateurs mais je fais seulement mon travail de prévention et de "conseiller".

 

Pour rappel:

 

C:\DOCUME~1\SAM\Bureau\Raccourcis Bureau non utilis‚s\MyTheatre[1].v3.25.1.Keygen.ZIP

C:\DOCUME~1\SAM\Mes documents\Incoming\programmes_jeux\eJay dj Mix Station 2 - full multilingual version + Crack - by pollopocket.ace

C:\DOCUME~1\SAM\Mes documents\Incoming\programmes_jeux\WinISO 5 3 + crack.exe

C:\DOCUME~1\SAM\Mes documents\pes5\Crack

C:\DOCUME~1\SAM\Mes documents\pes5\Crack\PES5.exe

 

Tu peux les virer facilement mais si tu le souhaites, je peux te créer une procédure assez simple.

 

As-tu retrouvé l'accès au mode sans échec?

Peux-tu faire des scans en ligne? Télécharger?

 

On désinstallera les outils utilisés à la fin des procédures.

 

Si tu peux aller en mode sans échec, passe quand-même SDFix. Mais celui-ci a été neutralisé par CureIt car son *.exe a été considéré (à tort) comme un malware; il faudra donc virer l'ancien et le re-télécharger.

 

Poste également un nouveau log Hijackthis après.

 

@++

 

@++

[Zorgimus]

Bizarrement je n'utilise pas ces trucs qui sont la depuis très longtemps, cela suffit il de les dégager purement et simplement?

[Apollo]

Ceux-là oui, il suffit de les supprimer puis de vider la corbeille.

 

Mais l'activité dans les cracks piégés a redoublé ces derniers temps et on voit souvent Bagle dans les rapports.

 

C'est autrement plus emm... bêtant à nettoyer, car le virus désactive non seulement tous les antivirus/firewall mais aussi le mode sans échec, change des valeurs dans les registre empêchant toute connexions, etc.

 

Virut aussi: lui attaque tous les exécutables et ce n'est pas n'importe quel outil qui va désinfecter les exe.

 

Exemple: Antivir traitera l'infection mais virera les exe infectés...

Formatage obligatoire.

 

Cette vidéo à voir ou à revoir, ne montre pas ces infections mais donne une idée assez frappante (c'est le mot) au sujet cracks et keygen.

 

 

http://secubox.aldria.com/topic-2393.html

 

@+

Modifié le 13 octobre 2008 par Apollo

[Zorgimus]

Merci pour les infos , la patience bref ton aide si précieuse, j'ai utilisé sdfix mais au moment du redémmarage il ya eu interaction avec antivir sans conséquences voici le rapport:

 

 

Run by SAM on 13/10/2008 at 21:35

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted

C:\WINDOWS\system32\TFTP1344 - Deleted

C:\WINDOWS\system32\TDSSerrors.log - Deleted

C:\WINDOWS\system32\tdssinit.dll - Deleted

C:\WINDOWS\system32\tdssl.dll - Deleted

C:\WINDOWS\system32\tdsslog.dll - Deleted

C:\WINDOWS\system32\tdssmain.dll - Deleted

C:\WINDOWS\system32\tdssserf.dll - Deleted

C:\WINDOWS\system32\tdssserf1.dll - Deleted

C:\WINDOWS\system32\tdssservers.dat - Deleted

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-13 21:47:06

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40]

"ujdew"=hex:20,02,00,00,be,3b,cb,72,aa,fa,2e,b4,5a,b7,87,f3,b0,54,2f,d4,1e,..

"ljej40"=hex:ac,c0,ed,b4,e5,eb,91,87,85,08,38,a0,8a,47,2c,c1,aa,72,dd,00,c5,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40]

"khjeh"=hex:20,02,00,00,8d,3b,cb,72,30,28,5d,54,a5,68,2c,63,c6,ba,1d,d3,dd,..

"hj34z0"=hex:ce,10,67,c6,0a,35,3a,17,e0,f7,0a,a7,49,82,51,92,ff,42,2d,a9,85,..

"hj34z1"=hex:73,10,67,c6,72,35,3a,17,e1,f7,0b,a7,48,82,51,92,ff,42,2d,a9,0e,..

"hj34z2"=hex:73,10,67,c6,72,35,3a,17,e1,f7,0b,a7,48,82,51,92,ff,42,2d,a9,0e,..

"hj34z3"=hex:73,10,67,c6,72,35,3a,17,e1,f7,0b,a7,48,82,51,92,ff,42,2d,a9,0e,..

"hj34z4"=hex:73,10,67,c6,72,35,3a,17,e1,f7,0b,a7,48,82,51,92,ff,42,2d,a9,0e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41]

"khjeh"=hex:20,02,00,00,8d,3b,cb,72,fb,67,1a,62,a5,68,2c,63,e9,ab,1d,d3,dd,..

"hj34z0"=hex:ad,11,67,c6,1a,34,3a,17,e0,f7,0a,a7,49,82,51,92,ff,42,2d,a9,d3,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf42]

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]

"DisplayName"="Alcohol 120%"

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"

"C:\\Documents and Settings\\SAM\\Local Settings\\Temporary Internet Files\\Content.IE5\\S5KDQ7C1\\incredimail_install[1].exe"="C:\\Documents and Settings\\SAM\\Local Settings\\Temporary Internet Files\\Content.IE5\\S5KDQ7C1\\incredimail_install[1].exe:*:Enabled:IncrediMail Installer"

"C:\\Documents and Settings\\SAM\\Local Settings\\Temporary Internet Files\\Content.IE5\\U7QZUXYN\\incredimail_install[1].exe"="C:\\Documents and Settings\\SAM\\Local Settings\\Temporary Internet Files\\Content.IE5\\U7QZUXYN\\incredimail_install[1].exe:*:Enabled:IncrediMail Installer"

"C:\\Program Files\\IncrediMail\\bin\\ImApp.exe"="C:\\Program Files\\IncrediMail\\bin\\ImApp.exe:*:Enabled:IncrediMail"

"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"

"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Sat 16 Oct 2004 56 ..SHR --- "C:\WINDOWS\system32\A813AE869A.sys"

Fri 20 Aug 2004 65,024 A.SH. --- "C:\WINDOWS\system32\asycfilt.dll"

Fri 25 Aug 2006 617,472 A.SH. --- "C:\WINDOWS\system32\comctl32.dll"

Sat 2 Feb 2008 1,368 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Fri 20 Aug 2004 1,028,096 A.SH. --- "C:\WINDOWS\system32\mfc42.dll"

Thu 24 Apr 2003 57,344 A.SH. --- "C:\WINDOWS\system32\mfc42loc.dll"

Fri 20 Aug 2004 413,696 A.SH. --- "C:\WINDOWS\system32\msvcp60.dll"

Fri 20 Aug 2004 343,040 A.SH. --- "C:\WINDOWS\system32\msvcrt.dll"

Thu 24 Apr 2003 253,952 A.SH. --- "C:\WINDOWS\system32\msvcrt20.dll"

Thu 17 May 2007 549,376 A.SH. --- "C:\WINDOWS\system32\oleaut32.dll"

Fri 20 Aug 2004 83,456 A.SH. --- "C:\WINDOWS\system32\olepro32.dll"

Fri 20 Aug 2004 30,749 A.SH. --- "C:\WINDOWS\system32\vbajet32.dll"

Sat 19 Feb 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Sun 18 Feb 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

Thu 15 May 2003 43,008 ...H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"

Fri 13 May 2005 59,382,851 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\21c885a593b3aea69d4a95ec1bfc46d4\BIT26.tmp"

Fri 13 May 2005 5,648,819 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2598047398f4663b0636f95637a61285\BIT27.tmp"

Wed 23 Jul 2008 248,640 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2f92d48fd4dd6c3e29f57417ec6cf1d9\BIT31.tmp"

Fri 25 Apr 2008 2,831,912 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\405ae8e48aa46e265982686e1678047b\BIT2F.tmp"

Tue 29 Jul 2008 506,920 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4d8bae15f4220c10cdeb74bfa142239a\BIT33.tmp"

Wed 3 Sep 2008 7,281,784 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7ab777f7de3e6e633438f06ba30269aa\BIT32.tmp"

Wed 23 Jul 2008 248,315 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8cd85f12420c94f4e35f4e73c4f6941c\BIT38.tmp"

Thu 22 May 2008 535,592 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a839252010b2a3660b4ca84580ecd8c3\BIT34.tmp"

Tue 17 Jun 2008 612,392 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e895bb203e07bbdfe868440e8348993a\BIT39.tmp"

Wed 23 Jul 2008 197,351 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4b38e912c8ee381a599c6d53fc94e7ab\download\BIT37.tmp"

Wed 23 Jul 2008 13,900 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6acede1e468d41897e38ed4288f48a59\download\BIT3D.tmp"

Thu 3 Jul 2008 404,029 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7dcccc5b489f481a52c50584f0656cad\download\BIT3B.tmp"

Wed 23 Jul 2008 2,431,376 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c231b85b126b2aeb7319f64560d38f25\download\BIT3C.tmp"

Tue 1 Apr 2008 1,390,774 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f5d7738acf9c48c006cd814026ee1a38\download\BIT3A.tmp"

 

Finished!

[Apollo]

Re,

 

Excellent! SDFix était indispensable ici.

 

Poste un nouveau log Hijackthis stp.

 

Je souhaiterais que tu fasses le scan en ligne avec Kaspersky; je te redonne la procédure.

 

Si ça ne fonctionne pas avec Kasper, fais celui-là en n'oubliant pas de cocher les cases adéquates (lecteurs et partitions) et aussi AutoClean.

http://www.secuser.com/outils/antivirus_installation.htm

 

TUTO: http://www.vista-xp.fr/forum/topic109.html

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

NB: les antivirus peuvent détecter les outils spéciaux comme "malwares" ne pas en tenir compte. On les virera quand on n'aura plus besoin de Hijackthis.

 

@++

Modifié le 13 octobre 2008 par Apollo