Joyeux Noël...

[Apollo]

Voilà le lien pour ComboFix renommé; dis-moi quand tu l'as récupéré que je puisse effacer sur le serveur:

 

http://www.sendspace.com/file/lmpudq

[FreddyXIII]

Merci, j'ai récupéré le Combo-Fix, mais à cette heure, je ne l'ai pas encore utilisé.

 

De mon côté, tant bien que mal, j'ai réussi à utiliser malwarebytes en mode sans échec en renommant l'exe, car tant qu'il s'appelait mbam.exe, impossible de le lancer... Avec baby.exe, cela marchait beaucoup mieux. Sympa notre visiteur.

 

Depuis, j'ai lancé plusieurs analyses malwarebytes et plusieurs analyses antivir sur les fichiers cachés, et bingo : TDSS. Plusieurs reboots, et beaucoup de fichiers mis en quarantaine, puis supprimés. D'ailleurs, mes derniers passages par malwarebytes (que j'ai pu enfin mettre à jour) ne montrent plus rien, mais je ne suis pas certain que le PC soit totalement nettoyé, loin sans faut. Certes, je peux à nouveau surfer normalement, en accédant à gmer ou malekal par exemple, ou encore bleepingcomputer (où j'ai vu qu'il existe un fichier SDfix pour TDSS, mais bien-entendu je ne l'utiliserai pas sans ton avis), mais d'une part j'ai toujours des processus cachés détectés par Antivir, et surtout, en faisant un netstat, j'ai toujours une connexion distante vers bb-87-80-73-7.ukonline.co.uk:61024...

 

Dois-lancer le ComboFix?

 

Sur ce bonne nuit, car je me doute que tu es sans doute pas loin de partir en mission lunaire si ce n'est déjà fait, quand les griffes de la nuit vont également se reposer

 

Merci encore de ton aide.

 

Frédéric.

[Apollo]

Re,

 

Je voudrais voir le rapport de MBAM qui se trouve dans logs/rapports quans tu ouvres l'interface du logicel.

 

Copie/colle le ici stp.

 

Il peut être nécessaire d'exécuter le ComboFix renommé en suivant exactement les directives, mais pas en mode sans échec!

 

Je redonne la procédure "normale": cela va très vite au contraire de MBAM.

 

 

 

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

Tutoriel officiel

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
  
• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

+++

[FreddyXIII]

Bien, nous sommes donc toujours sur orbite!

 

Voici le dernier log de malwarebytes infecté :

 

Malwarebytes' Anti-Malware 1.31

Version de la base de données: 1456

Windows 5.1.2600 Service Pack 3

 

25/12/2008 23:14:10

mbam-log-2008-12-25 (23-14-10).txt

 

Type de recherche: Examen rapide

Eléments examinés: 45887

Temps écoulé: 3 minute(s), 7 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 7

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\TDSScrxx.dll (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\TDSSnpur.dll (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\TDSSoipa.dll (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\TDSSyavu.dll (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\drivers\TDSSmxoe.sys (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\TDSSqxgx.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\TDSSwkod.log (Trojan.TDSS) -> Delete on reboot.

 

Et la dernière analyse, complète, et clean :

 

mbam-log-2008-12-26 (00-18-01).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 77394

Temps écoulé: 18 minute(s), 10 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

Mais encore une fois, la connexion distante dont je parle plus haut apparaît toujours dans netstat, et Antivir à qui j'ai demandé une vigilance en sous-tâche "renforcée", m'a de nouveau signalé des fichiers .tmp associés à TDSS.

 

Je lance le ComboFix et je poste le log.

 

Frédéric.

[FreddyXIII]

Bonjour Apollo,

 

 

J'ai quitté l'orbite hier soir, alors que ComboFix avait redémarré l'ordi après suppression de fichiers, mais qu'il restait planté sur la rédaction du rapport... J'ai fini par m'endormir Ce matin, relance de ComboFix, téléchargement d'une nouvelle version par le logiciel, et déroulement jusqu'au bout, avec ce log :

 

ComboFix 08-12-25.04 - Administrateur 2008-12-26 9:42:44.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1023.657 [GMT 1:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\Freddy-CF.exe

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Previous Run -------

.

c:\windows\system32\TDSSitpe.dat

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_TDSSSERV.SYS

-------\Service_TDSSserv.sys

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-26 au 2008-12-26 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-25 23:43 . 2008-12-25 23:49 250 --a------ c:\windows\gmer.ini

2008-12-25 23:02 . 2008-12-25 23:02 0 --a------ C:\ARK2.tmp

2008-12-25 19:46 . 2008-12-25 23:59 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-12-25 19:46 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-25 19:46 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-12-25 17:51 . 2008-12-25 17:51 <REP> d-------- c:\program files\Trend Micro

2008-12-20 17:07 . 2008-12-20 17:07 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Samsung

2008-11-28 20:12 . 2008-11-28 20:12 <REP> d-------- c:\program files\Samsung

2008-11-28 19:58 . 2007-07-03 16:58 106,792 --a------ c:\windows\system32\drivers\sscdmdm.sys

2008-11-28 19:58 . 2007-07-03 16:54 80,552 --a------ c:\windows\system32\drivers\sscdbus.sys

2008-11-28 19:58 . 2007-07-03 16:57 11,944 --a------ c:\windows\system32\drivers\sscdmdfl.sys

2008-11-28 19:58 . 2007-07-03 17:00 9,256 --a------ c:\windows\system32\drivers\sscdwhnt.sys

2008-11-28 19:58 . 2007-07-03 17:00 9,256 --a------ c:\windows\system32\drivers\sscdwh.sys

2008-11-28 19:58 . 2007-07-03 16:56 9,256 --a------ c:\windows\system32\drivers\sscdcmnt.sys

2008-11-28 19:58 . 2007-07-03 16:56 9,256 --a------ c:\windows\system32\drivers\sscdcm.sys

2008-11-28 19:34 . 2006-05-03 22:53 174,592 --a------ c:\windows\system32\framedyn.dll

2008-11-28 19:33 . 2008-11-28 19:58 <REP> d-------- c:\windows\system32\Samsung_USB_Drivers

2008-11-28 19:32 . 2008-11-28 20:10 5,632 --a------ c:\windows\system32\drivers\StarOpen.sys

2008-11-28 19:32 . 2005-08-28 20:51 766 --a------ c:\windows\system32\Uninstall.ico

2008-11-27 16:25 . 2008-11-27 16:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Icone

2008-11-26 13:17 . 2008-11-10 05:43 410,984 --a------ c:\windows\system32\deploytk.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-26 08:44 20,834,336 --sha-w c:\windows\system32\drivers\fidbox.dat

2008-12-26 08:44 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype

2008-12-26 00:00 251,720 --sha-w c:\windows\system32\drivers\fidbox.idx

2008-12-25 19:11 2,062,336 ----a-w c:\windows\Internet Logs\xDB9.tmp

2008-12-25 19:11 153,600 ----a-w c:\windows\Internet Logs\xDB8.tmp

2008-12-25 19:10 2,061,824 ----a-w c:\windows\Internet Logs\xDBA.tmp

2008-12-25 17:11 20 -c-h--w c:\documents and settings\All Users\Application Data\PKP_DLec.DAT

2008-12-25 17:11 --------- d-----w c:\program files\Mozilla Thunderbird

2008-12-25 17:10 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2008-12-25 16:52 --------- d-----w c:\program files\Winamp Toolbar

2008-12-25 15:23 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-25 15:12 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-12-25 12:36 --------- d-----w c:\documents and settings\Administrateur\Application Data\foobar2000

2008-12-23 18:57 --------- d-----w c:\program files\Canon

2008-12-23 17:49 --------- d-----w c:\program files\CSV2ASC

2008-12-23 10:39 30,720 ----a-w c:\windows\Internet Logs\xDB7.tmp

2008-12-23 10:38 --------- d-----w c:\program files\Mio Technology

2008-12-23 10:23 25,088 ----a-w c:\windows\Internet Logs\xDB6.tmp

2008-12-23 10:18 32,768 ----a-w c:\windows\Internet Logs\xDB5.tmp

2008-12-22 18:10 28,160 ----a-w c:\windows\Internet Logs\xDB4.tmp

2008-12-22 17:37 25,088 ----a-w c:\windows\Internet Logs\xDB3.tmp

2008-12-22 17:33 1,211,904 ----a-w c:\windows\Internet Logs\xDB2.tmp

2008-12-20 11:35 20 -c-h--w c:\documents and settings\All Users\Application Data\PKP_DLdw.DAT

2008-12-20 11:28 20 -c-h--w c:\documents and settings\All Users\Application Data\PKP_DLdu.DAT

2008-12-20 10:43 20 -c-h--w c:\documents and settings\All Users\Application Data\PKP_DLbx.DAT

2008-11-25 11:54 --------- d-----w c:\program files\iTunes

2008-11-25 11:54 --------- d-----w c:\program files\iPod

2008-11-25 11:54 --------- d-----w c:\program files\Fichiers communs\Apple

2008-11-25 11:54 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-11-21 14:06 --------- d-----w c:\documents and settings\Administrateur\Application Data\KeePass

2008-11-19 17:53 --------- d-----w c:\documents and settings\All Users\Application Data\Distortion

2008-11-19 17:49 --------- d-----w c:\program files\Nikon

2008-11-19 17:49 --------- d-----w c:\program files\Fichiers communs\Nikon

2008-11-19 17:47 20 -c-h--w c:\documents and settings\All Users\Application Data\PKP_DLbz.DAT

2008-11-19 06:46 2,226,674 ----a-w c:\windows\Internet Logs\tvDebug.zip

2008-11-15 17:51 --------- d-----w c:\documents and settings\Administrateur\Application Data\Canon

2008-11-13 21:07 --------- d-----w c:\documents and settings\Administrateur\Application Data\XnView

2008-11-13 20:45 --------- d-----w c:\documents and settings\Administrateur\Application Data\Winamp

2008-11-13 20:05 --------- d-----w c:\program files\Winamp

2008-11-13 18:42 --------- d-----w c:\program files\PROGRAMES NIKON

2008-11-13 08:57 --------- d-----w c:\documents and settings\Administrateur\Application Data\OpenOffice.org

2008-11-13 08:53 --------- d-----w c:\documents and settings\Administrateur\Application Data\OpenOffice.org2

2008-11-12 11:32 --------- d-----w c:\program files\LexarMedia

2008-11-12 11:28 --------- d-----w c:\program files\XnView

2008-11-10 14:43 106,496 ----a-w c:\windows\system32\ATL71.DLL

2008-11-10 12:53 --------- d-----w c:\program files\Spybot - Search & Destroy

2008-11-10 11:37 --------- d-----w c:\program files\foobar2000

2008-10-30 13:47 1,785,344 ----a-w c:\windows\Internet Logs\xDB1.tmp

2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-22 12:07 286,720 ----a-w c:\windows\iun507.exe

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 43,544 -c--a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 -c--a-w c:\windows\system32\wups.dll

2008-10-16 01:01 670,208 ----a-w c:\windows\system32\wininet.dll

2008-10-03 10:03 247,326 ------w c:\windows\system32\strmdll.dll

2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll

2008-07-16 20:52 0 -c--a-w c:\documents and settings\All Users\Application Data\PKP_DLdy.DAT

2008-04-08 18:47 467 -c--a-w c:\program files\Raccourci vers Winamp.lnk

2007-03-09 10:18 2,294,272 ----a-w c:\program files\Setup.msi

2003-07-31 09:53 147,456 -c--a-w c:\windows\inf\EL2K_XP.sys

2003-07-31 09:50 448,768 -c--a-w c:\windows\inf\EL2K_N64.sys

2003-07-31 09:43 147,456 -c--a-w c:\windows\inf\EL2K_2K.sys

2006-05-06 16:42 7,260,160 -c--a-w c:\program files\mozilla firefox\plugins\libvlc.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2006-10-13 20058152]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-19 405583]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]

"ToUcamVProperty"="c:\program files\Philips ToUcam Camera\VProperty.exe" [2003-04-02 131072]

"zBrowser Launcher"="c:\program files\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-04 36352]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]

"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"PtiuPbmd"="ptipbm.dll" [2003-01-15 c:\windows\system32\ptipbm.dll]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 3.0.lnk - d:\open office\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Nikon Monitor.lnk - c:\program files\Fichiers communs\Nikon\Monitor\NkMonitor.exe [2008-08-07 479232]

NkbMonitor.exe.lnk - c:\program files\PROGRAMES NIKON\PictureProject\NkbMonitor.exe [2006-09-13 118784]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableStatusMessages"= 1 (0x1)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"StartMenuLogoff"= 1 (0x1)

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MSACM.CEGSM"= mobilev.acm

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

--a--c--- 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a--c--- 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=

"c:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

R3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\DRIVERS\camdrv21.sys [2006-09-10 223232]

R3 LCcfltr;Logitech USB Filter Driver;c:\windows\system32\Drivers\LCcFltr.Sys [2006-09-20 14095]

S3 Asushwio;Asushwio;\??\c:\windows\system32\drivers\Asushwio.sys [2006-09-06 5824]

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-23 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

 

2008-12-19 c:\windows\Tasks\Maintenance en 1 clic.job

- c:\program files\TuneUp Utilities 2008\OneClick.exe []

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.orange.fr/

IE: Easy-WebPrint Ajouter à la Liste à Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

IE: Locate Spot on Map by GPS - d:\iexif 2.3\IExifMap.htm

IE: View Exif/GPS/IPTC with IExif - d:\iexif 2.3\IExifCom.htm

TCP: {002D2B1F-3938-4E7A-BAA0-403855F7EB6A} = 193.252.19.3,193.252.19.4

TCP: {9D135BE0-E062-4E45-9665-7E0FB1935F55} = 193.252.19.3,193.252.19.4

WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\cenetflt.dll

WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\cenetflt.dll

WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\cenetflt.dll

WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\cenetflt.dll

WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\program files\Microsoft ActiveSync\cenetflt.dll

WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\program files\Microsoft ActiveSync\cenetflt.dll

FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\4qyrlr40.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr

FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\4qyrlr40.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npalnn.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll

 

ATTENTION: FIREFOX POLICES IS IN FORCE

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\defaults\pref\activex.js - pref("general.useragent.vendorComment", "ax");

c:\program files\Mozilla Firefox\defaults\pref\activex.js - pref("security.xpconnect.activex.global.hosting_flags", 9);

c:\program files\Mozilla Firefox\defaults\pref\activex.js - pref("security.classID.allowByDefault", false);

c:\program files\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CID6BF52A52-394A-11D3-B153-00C04F79FAA6", "AllAccess");

c:\program files\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CID22D6F312-B0F6-11D0-94AB-0080C74C7E95", "AllAccess");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-26 09:44:44

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ToUcamVProperty = c:\program files\Philips ToUcam Camera\VProperty.exe??U?c?a?m? ?C?a?m?e?r?a?\?V?P?r?o?p?e?r?t?y?.?e?x?e???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2008-12-26 9:45:47

ComboFix-quarantined-files.txt 2008-12-26 08:45:42

 

Avant-CF: 1,409,036,288 octets libres

Après-CF: 1,414,299,648 octets libres

 

228 --- E O F --- 2008-12-19 08:48:23

 

 

Le dossier Avenger à la racine du C: a été supprimé (Antivir avait commencé le travail avec mise en quarantaine de la plupart des fichiers), entre autres...

 

Mais je reste persuadé que la machine est toujours infectée... A l'heure où j'écris ces lignes, elle est connectée au port 17530 de la machine jcj-8.wiwi.uni-konstanz.de

 

Merci de ton aide,

 

Frédéric.

[FreddyXIII]

Oops, désolé, je viens de m'apercevoir que j'avais répondu sur le post original! Mais bien-entendu, c'est la suite.

 

A noter qu'Antivir en surveillance latente a continué à me trouver des fichiers "infectés" notamment dans system volume information, mais je pense qu'il s'agissait des fichiers liés à ComboFix. Je vais rebooter.

 

A plus tard,

 

Frédéric.

[Apollo]

Bonjour,

 

On va voir car TDSS devient de plus en plus vicieux.

 

Désinstalle ComboFix en collant cette commande dans démarrer/exécuter:

 

Freddy-CF /u

 

Vire les dossiers Qoobox et Combofix sur le C:\ s'ils y sont encore et vide la corbeille.

 

*****************

Désactiver/réactiver la restauration système:

Désactiver la Restauration Système.

 

Démarrer/Tous les programmes/Accessoires/Outils Système. (ou touche Windows + Pause --> onglet Restauration système).

 

Cliquer sur Restauration Système.

 

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"

Appliquer/OK.

Redémarrer le navigateur

 

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

************************

 

Assure toi que la console Java est bien la plus récente; pour le savoir rends-toi sur cette page et clique sur Vérifier la version de Java -> http://www.java.com/fr/download/installed.jsp -> Il te sera indiqué si tu dois installer la dernière version.

Si tu installes une nouvelle version Java, désinstalle toutes les plus anciennes via ajout/suppr de programmes.

 

TUTO: http://www.vista-xp.fr/forum/topic109.html

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

++

[FreddyXIII]

Bonsoir,

 

 

C'est la nuit, Freddy sort ses griffes... Non, désolé de ne répondre qu'à cette heure, mais j'ai eu une après-midi réjouissante sur le PC de mon père... Enfin, les détails importent peu, juste à signaler que j'ai changé Zone Alarm par Comodo (firewall uniquement, pas la partie Virus pour laquelle je laisse Antivir). Alors que ce matin et en début d'après-midi, j'avais encore des connexions exotiques sous netstat vers la Suède, la Russie, la Pologne, entre autres (une à la fois, vers une adresse différente à chaque reboot), à cette heure je n'ai plus aucune connexion de ce type. Je suspecte que c'est grâce à Comodo, mais pas nécessairement que le PC est clean. Pourquoi? Parce qu'à un moment, entre Zone Alarm et Comodo, j'ai volontairement laissé le PC sans firewall logiciel, juste pour voir... Je n'ai pas été déçu : plusieurs connexions sortantes simultanées.

 

Autre chose, le résident de Spybot a détecté des demandes de changements dans la base de registre un peu étonnant. Comme j'ai passé mon temps à faire plein de mise à jour, je n'ai pas fait très attention au début, mais en regardant de plus près, selon Spybot, la demande émanait du vers agobot-ku... Une recherche dans la BDR a trouvé un system32.exe que je ne retrouve plus à cette heure.

 

Enfin, le test demandé, Kaspersky sur les critical areas, clean :

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Friday, December 26, 2008

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Friday, December 26, 2008 18:50:29

Records in database: 1518395

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - Critical Areas:

C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

C:\Program Files

C:\WINDOWS

 

Scan statistics:

Files scanned: 34631

Threat name: 0

Infected objects: 0

Suspicious objects: 0

Duration of the scan: 00:39:12

 

No malware has been detected. The scan area is clean.

 

The selected area was scanned.

 

A la recherche de certitudes, j'ai relancé un scan de l'ordinateur complet avec Kaspersky en ligne, toujours en cours à cette heure.

 

Frédéric.

[FreddyXIII]

Hello,

 

 

Voici le rapport du Kaspersky complet :

 

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Friday, December 26, 2008 18:50:29

Records in database: 1518395

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

A:\

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

K:\

 

Scan statistics:

Files scanned: 122099

Threat name: 0

Infected objects: 0

Suspicious objects: 0

Duration of the scan: 03:18:18

 

No malware has been detected. The scan area is clean.

 

The selected area was scanned.

 

Bref, aucun souci de ce côté-là. Je pense que nous voyons le bout, même si je reste un peu parano, car quand je boot avec Comodo préalablement disabled, sous netstat en plus de skype.exe, j'ai toujours une autre connexion que je n'identifie pas. Quand je boot avec Comodo, cette connexion n'existe pas...

 

Voili, voilou, un avis?

 

Merci encore de ton aide Apollo!

 

Frédéric.

[Apollo]

Bonjour,

 

Mon avis est que ce pc est clean.

 

 

Pour désinstaller les outils utilisés:

 

Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.

http://pc-system.fr/TC/ToolsCleaner2.exe

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant qu' Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer.

Fermez le programme en cliquant sur "Quitter ".

 

Postez le rapport qui se trouve ici >>> C:\TCleaner.txt

 

Options facultatives

 

A utiliser si vous le souhaitez :

 

Création d'un nouveau point de restauration (conseillé)

Vidage de la corbeille

Nettoyage de vos fichiers temporaires

 

Pour découvrir les mises à jour à faire pour les applications installées sur ton pc et corriger les failles de sécurité, installe le PSI de SECUNIA

 

Une analyse hebdomadaire suffit.

 

Pour sécuriser au maximum ton PC, il faut:

 

Que tu connaisses les pièges d'Internet et la façon de les éviter.

Pour cela, consulte ce document au format PDF. Tout y est expliqué.

Jusqu'à présent Vista avait été épargné par les virus et troyens essentiellement développés pour XP. Mais il est vite devenu la cible des menaces en tout genre. Donc, autant savoir à l'avance comment se protéger.

 

:arrow: Enfin, ce serait cool que tu déclares ton infection sur Malware Complaints. Qu'est ce que Malware Complaints

Pour faire entendre notre voix, nous devons être le plus nombreux possible à témoigner.

 

• Voir les règles de Malware-Complaints : http://www.malwarecomplaints.info/phpBB3/viewtopic.php?t=5
   
  
• Enregistre toi sur le forum à partir du bouton register en haut :
   
  
• Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, etc..) :
  Exemple pour la France: http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10
   
  Belgique:
  http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=35
   
  Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, crée un message dans le sujet "Autres infections" conforme aux règles du forum (age, ville, département etc..) (Dans ton cas, il s'agit d'une infection TDSS + Trojans divers.
   
  
• Pour poster un message, clique sur le bouton "post reply" et saisis les informations.
  NE PAS CREER UN NOUVEAU SUJET avec le bouton New Topic.
   
  NB: Si tu as de la difficulté pour l'inscription sur Malware Complaints, tout est expliqué ICI