Impossible de détruire BDS/TDSS.acs

[odiSpat]

Il me répond comme cela :

 

ComboFix 09-01-06.02 - Karmen 2009-01-10 18:06:04.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.619 [GMT 1:00]

Lancé depuis: c:\documents and settings\Karmen\Bureau\yoopi.exe

Commutateurs utilisés :: c:\documents and settings\Karmen\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\System32\drivers\66a0c3c8.sys

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_BDVEDISK

-------\Legacy_PROFOS

-------\Legacy_TRUFOS

-------\Service_66a0c3c8

-------\Service_BDFsDrv

-------\Service_BDVEDISK

-------\Service_Profos

-------\Service_Trufos

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-10 au 2009-01-10 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-10 12:29 . 2009-01-10 12:30 <REP> d-------- C:\rsit

2009-01-10 12:29 . 2009-01-10 12:30 <REP> d-------- c:\program files\trend micro

2009-01-08 18:26 . 2009-01-08 18:31 13,612 --a------ c:\windows\desctemp.dat

2008-12-18 17:20 . 2007-11-08 19:24 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau

2008-12-18 17:20 . 2007-11-08 19:24 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression

2008-12-18 17:20 . 2007-11-18 18:46 <REP> d--h----- c:\documents and settings\Administrateur\Modèles

2008-12-18 17:20 . 2007-11-08 19:24 <REP> d-------- c:\documents and settings\Administrateur\Mes documents

2008-12-18 17:20 . 2007-11-08 19:24 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer

2008-12-18 17:20 . 2007-11-08 19:24 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2008-12-18 17:20 . 2007-11-18 18:55 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2008-12-18 17:20 . 2008-12-18 17:20 <REP> d-------- c:\documents and settings\Administrateur

2008-12-16 00:32 . 2008-12-16 00:32 <REP> d-------- c:\program files\Avira

2008-12-16 00:32 . 2008-12-16 00:32 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2008-12-14 03:35 . 2008-12-14 03:35 <REP> d-------- C:\MSN Pictures Displayer

2008-12-14 03:31 . 2008-12-14 03:31 5,430,103 --a------ c:\program files\Install MPD.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-07 18:21 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-01-04 17:38 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-04 17:38 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-01-04 16:46 --------- d-----w c:\program files\eMule

2009-01-03 14:17 --------- d-----w c:\program files\Java

2008-12-11 22:15 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2008-11-19 00:26 --------- d-----w c:\program files\Windows Media Connect 2

2008-11-18 17:03 --------- d-----w c:\documents and settings\Karmen\Application Data\Malwarebytes

2008-11-18 17:03 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2008-11-18 14:20 --------- d-----w c:\program files\eMule Applejuice(2)

2008-11-18 14:20 --------- d-----w c:\documents and settings\Karmen\Application Data\eMule

2008-06-28 19:41 0 ----a-w c:\documents and settings\Karmen\Application Data\wklnhst.dat

2008-01-01 17:06 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat

2006-11-01 20:51 1,878,859 ----a-w c:\program files\PhotoFiltre.zip

2005-10-22 19:28 269,474,442 ----a-w c:\program files\Macromedia.Dreamweaver.v8.0+Flash.v8+Fireworks.v8+Keygen_PC-FR-VF.zip

2002-12-30 23:40 2,000,000 ----a-w c:\program files\gifanimator5fr (by Pou64).part1.rar

.

 

((((((((((((((((((((((((((((( snapshot@2009-01-07_17.01.46.39 )))))))))))))))))))))))))))))))))))))))))

.

+ 2007-03-05 20:01:18 39,184 ----a-w c:\windows\system32\ReinstallBackups\0006\DriverFiles\btcusb.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-05 7323648]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]

"Device Detector"="c:\program files\Fichiers communs\ACD Systems\FR\DevDetect.exe" [2004-09-08 225280]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-11-26 98304]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-13 185896]

"SMSTray"="c:\program files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-12-14 132624]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]

"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 c:\windows\RTHDCPL.EXE]

"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

"nwiz"="nwiz.exe" [2006-01-05 c:\windows\system32\nwiz.exe]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2007-11-19 1205840]

D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 73728]

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{88485281-8b4b-4f8d-9ede-82e29a064277}"= "c:\progra~1\MarkAny\CONTEN~1\MACSMA~1.DLL" [2004-11-23 192512]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.ACDV"= ACDV.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\MSN Gaming Zone\\Windows\\shvlzm.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\realplay.exe"=

"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Cooktop 2.5\\xcooktop.exe"=

"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

"c:\\Program Files\\SopCast\\SopCast.exe"=

"c:\\Program Files\\TVAnts\\Tvants.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\WINDOWS\\system32\\muzapp.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

S3 adiusbae;USB ADSL LAN Adapter;c:\windows\system32\DRIVERS\adiusbae.sys --> c:\windows\system32\DRIVERS\adiusbae.sys [?]

S4 ELOADER;General Purpose USB Driver (adildr.sys);c:\windows\system32\drivers\adildr.sys [2007-11-19 56088]

S4 UMRQOWYL;UMRQOWYL;\??\c:\windows\system32\drivers\UMRQOWYL.sys --> c:\windows\system32\drivers\UMRQOWYL.sys [?]

.

Contenu du dossier 'Tâches planifiées'

 

2009-01-10 c:\windows\Tasks\HPpromotions journeysoftware.job

- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 17:36]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Connection Wizard,ShellNext = iexplore

FF - ProfilePath - c:\documents and settings\Karmen\Application Data\Mozilla\Firefox\Profiles\6n7moyk7.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx??mkt=fr-FR&FORM=MICWU0&q=

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-10 18:11:54

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\IVT Corporation\BlueSoleil\BTNtService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\rundll32.exe

c:\program files\HP\Digital Imaging\bin\hpqimzone.exe

c:\program files\HP\Digital Imaging\bin\hpqste08.exe

.

**************************************************************************

.

Heure de fin: 2009-01-10 18:16:12 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-01-10 17:16:09

ComboFix2.txt 2009-01-07 16:52:53

ComboFix3.txt 2009-01-07 16:02:47

 

Avant-CF: 183 928 836 096 octets libres

Après-CF: 183,976,435,712 octets libres

 

177 --- E O F --- 2008-12-18 22:00:25

 

 

Il a supprimé quoi exactement ? Les restes de Bitdefender ?

[oGu]

Il a supprimé quoi exactement ? Les restes de Bitdefender ?

 

 

Oui, les drivers restants de BitDefender, + un pilote au nom aléatoire, probablement infectieux. On touche au but!

 

La suite demain, la soirée foot commence maintenant ^^ !

 

Bonne soirée!

[odiSpat]

Merci beaucoup. En se contacte demain.

 

bonne soirée, amuse-toi bien !

[oGu]

Re!

 

Je ne vois plus de virus actifs dans les rapports: notes-tu encore des dysfonctionements, des alertes, des redirections, des ralentissements, que sais-je encore ^^ ??

 

On va maintenant nettoyer ta machine des fixes et outils utilisés. Par contre, conserve Malwarebytes et scanne ta amachine avec une fois par mois, en ayant veillé à le mettre à jour bien sûr.

 

Nota: tu devrais supprimer ce crack:

c:\program files\Macromedia.Dreamweaver.v8.0+Flash.v8+Fireworks.v8+Keygen_PC-FR-VF.zip

 

et désinstaller DreamWaver si ta version est crackée: les cracks embarquent généralement des virus, et des backdoors de prise de contrôle à distance.

 

 

 

DESINSTALLER COMBOFIX

• Copie cette ligne en rouge
  ComboFix /u
   
  
• Clique sur Démarrer, puis sur Exécuter: une fenêtre d'invite s'ouvre.
  
• Colle la ligne rouge que tu as préalablement copiée dans la fenêtre d'invite
  
  
• Appuie sur OK pour valider
  

 

 

 

OTCLEANIT

 

Télécharge OTCleanIt de OldTimer sur ton Bureau en cliquant sur cette image:

 

 

• Lance OTCleanIt avec un double-clic (sous Vista, lance-le en cliquant droit sur OTCleanIt.exe et en sélectionnant "exécuter en tant qu'administrateur")
  
• Appuie sur le bouton "CleanUp!"
  
• A la question "begin cleanup process?", réponds "YES"
  
  
• A la fin de l'opération, si OTCleanIt demande de redémarrer ("Do you want to reboot now?"), ferme ce que tu es en train de faire (internet, documents divers...) et clique sur "YES":
  
  
• Au redémarrage, OTCleanIt aura supprimé les outils de désinfection, et se sera même auto-détruit!
  

Modifié le 11 janvier 2009 par oGu

[odiSpat]

Merci merci merci !!!!

Merci pour ta patience et les conseilles

Je vais imposer à toute ma tribu un peu plus de serieux envers cette pauvre machine sans grande defense

On va feter ça tout de suite et ensuite se débarrasser des documents indesirables.

 

 

Ciao et bonne continuation

 

 

PS Comment mettre ça en RESOLU maintenant ?

[oGu]

Tu as l'impression que tout fonctionne bien?

 

Pour éviter de nouvelles infections, en plus d'Antivir, je te conseille de lire mon tuto sur Firefox en cliquant sur cette bannière:

 

 

 

Suis et enseigne à ton entourage les quelques conseils de bon sens suivants:

 

Quelques règles de base à respecter en sécurité:

 

• je mets à jour mon XP avec Windows Update
  
• j'abandonne le peer-to-peer, qui draine fakes, infections et virus déguisés en cracks.
  
• ne jamais télécharger n'importe quoi sans se renseigner
  
• ne jamais installer n'importe quoi sans se renseigner:: attention aux faux logiciels, les rogues, dont Assiste tient une liste à jour:
  La Crapthèque
  
• j'ai un doute sur un fichier, un programme, un exécutable? Je le scanne avec VirusTotal:
  
• je me méfie des sites X (et des sites de cracks et warez), très souvent piégés.
  
• je me méfie des sites de jeux en lignes (surtout de type Casino et Poker), très souvent piégés.
  
• ne pas faire une confiance aveugle aux logiciels de protection: ils sont tous faillibles.
  
• je me méfie des mails que je reçois
  
• je en connecte pas mes clés USB n'importe où
  
• je me méfie de MSN, Windows live Messenger etc..., cibles d'infections quotidiennes
  
• je sauvegarde les données perso régulièrement, sur DVD ou disque externe
  
• la première cause d'infection est le manque de prudence et de discernement de l'internaute
  
• je ne clique pas sur n'importe quoi et je me méfie du Net, qui est autant un espace de loisir qu'un espace de profits, où certains sont sans foi ni loi.
  

 

 

 

 

PS Comment mettre ça en RESOLU maintenant ?

 

Simplement en éditant ton tout premier message de ce topic, et en rajoutant la mention [RESOLU] au début de son titre.

 

 

Je suis content d'avoir travaillé avec toi: à bientôt, mais à jamais sur ce forum de désinfection, j'espère!