Mise à jour NOD32 impossible, entre autres... (RESOLU !)

[Apollo]

et alors?

[MartinM]

Voilà voilà:

- au moment de "terminer" Norton Remover, pas de reboot mais tentative-éclair de connexion avec symantec et message :"Connexion interrompue. La connexion avec le serveur a été réinitialisée pendant le chargement de la page. La liaison au réseau a été interrompue pendant la négociation d'une connexion. Veuillez réessayer."

- L'antivirus ne se met pas à jour.

- J'ai essayé le lien MBAM, mais message d'erreur identique. Par contre, je l'ai sur clé USB, au cas où ça serait utile.

 

Je ne fais rien de moi-même et attends tes directives.

[Apollo]

Et tu fais bien car il est inutile de se précipiter ; tu as soit une infection TDSS qui bloque tout ça ou Bagle et ça tu sais comme moi à quoi on le doit.

 

Tu vas télécharger ComboFix que j'ai renommé martin.exe et hébergé; tu l'enregistres sur le bureau et pas ailleurs!

 

http://www.sendspace.com/file/tufxe6

 

NB: dans la procédure qui suit il est dit de télécharger ComboFix (en rouge) , ne le fais surtout pas puisque tu auras déjà ce fichier.

 

Mais à part ça tu suis les instructions à la lettre stp.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure : dangereux.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau[/color] (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
  
• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

[MartinM]

Tu es GRAND, mec de mec ! Les MAJ se font comme une fleur ! Béni sois-tu toi et ta descendance pour 10 générations !

 

Voici le rapport de ComboFix:

 

ComboFix 09-01-21.04 - Ariane van GALEN 2009-01-24 23:37:03.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.699 [GMT 1:00]

Lancé depuis: g:\documents and settings\Ariane van GALEN\Bureau\martin.exe

AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

g:\windows\system32\drivers\TDSSpaxt.sys

g:\windows\system32\TDSScfum.dll

g:\windows\system32\TDSSfxwp.dll

g:\windows\system32\TDSSnmxh.log

g:\windows\system32\TDSSnrsr.dll

g:\windows\system32\TDSSofxh.dll

g:\windows\system32\TDSSosvd.dat

g:\windows\system32\TDSSrhym.log

g:\windows\system32\TDSSriqp.dll

g:\windows\system32\TDSSsbhc.dll

g:\windows\system32\TDSStkdv.log

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_TDSSSERV.SYS

-------\Service_TDSSserv.sys

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-24 au 2009-01-24 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-24 22:44 . 2009-01-24 22:44 <REP> d-------- g:\documents and settings\All Users\Application Data\NortonInstaller

2009-01-24 19:44 . 2009-01-24 23:01 <REP> d-------- g:\program files\DAP

2009-01-24 19:44 . 2009-01-24 19:44 <REP> d-------- g:\documents and settings\All Users\Application Data\SpeedBit

2009-01-24 16:24 . 2009-01-24 16:24 2,737,808 --a------ g:\program files\mbam-setup.exe

2009-01-21 22:41 . 2009-01-21 22:42 3,863,808 --a------ g:\program files\eset-sysinspector_eset_sysinspector_1.1.2.0_anglais_190600.exe

2009-01-21 15:33 . 2009-01-21 15:33 <REP> d-------- g:\program files\ESET

2009-01-21 15:33 . 2009-01-21 15:33 <REP> d-------- g:\documents and settings\All Users\Application Data\ESET

2009-01-21 12:44 . 2009-01-21 12:46 22,148,280 --a------ g:\program files\antivir_workstation_winu_fr_h.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-24 21:59 --------- d---a-w g:\documents and settings\All Users\Application Data\Temp

2009-01-20 11:11 --------- d-----w g:\program files\eMule

2009-01-14 14:31 --------- d-----w g:\program files\Soulseek

2008-12-13 11:50 --------- d-----w g:\documents and settings\All Users\Application Data\BufferZone

2008-12-11 10:57 333,952 ----a-w g:\windows\system32\drivers\srv.sys

2008-12-10 21:25 --------- d-----w g:\documents and settings\Ariane van GALEN\Application Data\U3

2008-11-14 14:00 357,936 ----a-w G:\RealPlayer11GOLD_fr.exe

2008-11-04 20:54 14,566,424 ----a-w G:\vlc-0.9.4-win32.exe

2008-09-17 09:50 32,768 --sha-w g:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008091720080918\index.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="g:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"Creative Detector"="g:\program files\Creative\MediaSource\Detector\CTDetect.exe" [2004-10-05 98304]

"MsnMsgr"="g:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

"EPSON Stylus DX4400 Series"="g:\windows\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]

"OM2_Monitor"="g:\program files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2008-05-15 95536]

"CTSyncU.exe"="g:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-05-30 868352]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="g:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"CnxDslTaskBar"="g:\program files\USB ADSL\CnxDslTb.exe" [2007-08-19 458752]

"HPDJ Taskbar Utility"="g:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-03-04 172032]

"WinampAgent"="g:\program files\Winamp\winampa.exe" [2007-10-10 36352]

"Adobe Reader Speed Launcher"="g:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"beidsystemtray"="g:\program files\Belgium Identity Card\beidsystemtray.exe" [2007-02-19 188416]

"OM2_Monitor"="g:\program files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" [2008-05-15 54576]

"RemoteControl8"="g:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 83240]

"PDVD8LanguageShortcut"="g:\program files\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]

"BDRegion"="g:\program files\Cyberlink\Shared Files\brs.exe" [2008-06-27 91432]

"egui"="g:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 1443072]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="g:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"g:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"g:\\WINDOWS\\system32\\dpvsetup.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"g:\\Program Files\\eMule\\emule.exe"=

"g:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"g:\\Program Files\\Skype\\Phone\\Skype.exe"=

"g:\\Program Files\\Soulseek\\slsk.exe"=

"g:\\Program Files\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"=

"g:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"g:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"g:\\Program Files\\Messenger\\msmsgs.exe"=

 

R1 epfwtdir;epfwtdir;g:\windows\system32\drivers\epfwtdir.sys [2008-02-20 33800]

R4 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};g:\program files\CyberLink\PowerDVD8\000.fcl [2008-06-27 15:50:32 61424]

R4 eID CRL Service;eID CRL Service;g:\windows\system32\beidservicecrl.exe [2007-02-19 225280]

R4 eID Privacy Service;eID Privacy Service;g:\windows\system32\beidservicepcsc.exe [2007-02-19 331776]

R4 ekrn;Eset Service;g:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-02-20 472320]

S3 ACSSCR;ACR38 Smart Card Reader;g:\windows\system32\drivers\a38usb.sys [2007-07-12 33536]

S3 CnxEtP;ADSL USB MODEM WAN Adapter Filter Driver;g:\windows\system32\drivers\CnxEtP.sys [2007-08-19 60288]

S3 CnxEtU;ADSL USB MODEM Loader;g:\windows\system32\drivers\CnxEtU.sys [2007-08-19 644480]

S3 CnxTgN;ADSL USB MODEM WAN Adapter Driver;g:\windows\system32\drivers\CnxTgN.sys [2007-08-19 108547]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]

\Shell\AutoRun\command - H:\LaunchU3.exe -a

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-26 g:\windows\Tasks\AppleSoftwareUpdate.job

- g:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 13:42]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)

WebBrowser-{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - (no file)

 

 

.

------- Examen supplémentaire -------

.

uDefault_Search_URL = hxxp://www.google.com/ie

uStart Page = hxxp://www.ecofree.net/

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: {{17A27031-71FC-11d4-815C-005004D0F1FA} - g:\program files\MarketBrowser\lmt\MarketBrowser_Launch.xpy

DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} - hxxps://ccff02.minfin.fgov.be/CCFF_Authentication/views/login/signature/capicom.cab

FF - ProfilePath - g:\documents and settings\Ariane van GALEN\Application Data\Mozilla\Firefox\Profiles\lcbu9428.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.ecoogle.net

FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=

 

---- PARAMETRES FIREFOX ----

FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.00.08);user_pref(general.useragent.extra.zencast, .

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-24 23:41:36

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]

"ImagePath"="\??\g:\program files\CyberLink\PowerDVD8\000.fcl"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

"C040211900063D11C8EF10054038389C"="G?\\WINDOWS\\system32\\FM20ENU.DLL"

.

------------------------ Autres processus actifs ------------------------

.

g:\windows\system32\scardsvr.exe

g:\windows\system32\CTSVCCDA.EXE

g:\windows\system32\CTPdeSrv.exe

g:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2009-01-24 23:43:53 - La machine a redémarré [Ariane van GALEN]

ComboFix-quarantined-files.txt 2009-01-24 22:43:50

 

Avant-CF: 206,692,077,568 octets libres

Après-CF: 207,586,086,912 octets libres

 

157 --- E O F --- 2009-01-14 14:34:58

[Apollo]

Re,

 

Je m'en doutais que c'était cette sale bête!

 

Maintenant tu vas pouvoir accéder:

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ce logiciel est à garder, il rendra encore de grands services!

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à être redémarré, redémarre le pc.

 

Poste un nouveau log Hijackthis après le redémarrage de la machine stp.

 

@+

[MartinM]

Malwarebytes au rapport !

 

Malwarebytes' Anti-Malware 1.33

Version de la base de données: 1690

Windows 5.1.2600 Service Pack 3

 

25/01/2009 01:11:01

mbam-log-2009-01-25 (01-11-01).txt

 

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|)

Eléments examinés: 131139

Temps écoulé: 42 minute(s), 31 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 4

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

G:\System Volume Information\_restore{8DCEC41A-180A-4F9C-AECE-93FA5A2361E5}\RP327\A0172278.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

G:\System Volume Information\_restore{8DCEC41A-180A-4F9C-AECE-93FA5A2361E5}\RP327\A0172276.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

G:\System Volume Information\_restore{8DCEC41A-180A-4F9C-AECE-93FA5A2361E5}\RP327\A0172277.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

G:\System Volume Information\_restore{8DCEC41A-180A-4F9C-AECE-93FA5A2361E5}\RP327\A0172279.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

 

 

 

 

 

 

Et voilà Hijack:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:14:24, on 25/01/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\system32\spoolsv.exe

G:\WINDOWS\system32\CTsvcCDA.EXE

G:\WINDOWS\system32\beidservicecrl.exe

G:\WINDOWS\system32\beidservicepcsc.exe

G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

G:\WINDOWS\System32\svchost.exe

G:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

G:\Program Files\USB ADSL\CnxDslTb.exe

G:\Program Files\Winamp\winampa.exe

G:\Program Files\Belgium Identity Card\beidsystemtray.exe

G:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe

G:\Program Files\Cyberlink\Shared Files\brs.exe

G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

G:\WINDOWS\system32\ctfmon.exe

G:\Program Files\Creative\MediaSource\Detector\CTDetect.exe

G:\Program Files\Windows Live\Messenger\msnmsgr.exe

G:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe

G:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe

G:\WINDOWS\system32\CTPdeSrv.exe

G:\WINDOWS\system32\wscntfy.exe

G:\WINDOWS\explorer.exe

G:\Program Files\Mozilla Firefox\firefox.exe

C:\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ecofree.net/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - G:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - G:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - G:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [CnxDslTaskBar] "G:\Program Files\USB ADSL\CnxDslTb.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [WinampAgent] "G:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [beidsystemtray] G:\Program Files\Belgium Identity Card\beidsystemtray.exe

O4 - HKLM\..\Run: [OM2_Monitor] "G:\Program Files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM

O4 - HKLM\..\Run: [RemoteControl8] "G:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe"

O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "G:\Program Files\CyberLink\PowerDVD8\Language\Language.exe"

O4 - HKLM\..\Run: [bDRegion] G:\Program Files\Cyberlink\Shared Files\brs.exe

O4 - HKLM\..\Run: [egui] "G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] G:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Creative Detector] G:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - HKCU\..\Run: [MsnMsgr] "G:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "G:\WINDOWS\TEMP\E_S85.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [OM2_Monitor] "G:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"

O4 - HKCU\..\Run: [CTSyncU.exe] "G:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: MktBrowser - {17A27031-71FC-11d4-815C-005004D0F1FA} - G:\Program Files\MarketBrowser\lmt\MarketBrowser_Launch.xpy

O9 - Extra 'Tools' menuitem: MarketBrowser - {17A27031-71FC-11d4-815C-005004D0F1FA} - G:\Program Files\MarketBrowser\lmt\MarketBrowser_Launch.xpy

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - G:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1181522088325

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1184515588328

O16 - DPF: {8C63DABA-CBA8-4B5D-A0F7-AE00F2920929} - http://cdn2.zone.msn.com/Bingame/BRDG/data...s/heartbeat.cab

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://ccff02.minfin.fgov.be/CCFF_Authenti...ure/capicom.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/...ro.cab56649.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2...15106/CTPID.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - G:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: eID CRL Service - Zetes - G:\WINDOWS\system32\beidservicecrl.exe

O23 - Service: eID Privacy Service - Zetes - G:\WINDOWS\system32\beidservicepcsc.exe

O23 - Service: Eset Service (ekrn) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Google Updater Service (gusvc) - Google - G:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - G:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

 

--

End of file - 8292 bytes

[Apollo]

Re,

 

Tu vas désactiver/réactiver la restauration système sur tous les lecteurs:

 

Désactiver la Restauration Système.

 

Démarrer/Tous les programmes/Accessoires/Outils Système. (ou touche Windows + Pause --> onglet Restauration système).

 

Cliquer sur Restauration Système.

 

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"

Appliquer/OK.

Redémarrer le navigateur

 

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

 

Ensuite:

 

Désinstalle ComboFix de cette manière en copiant/collant la ligne ci-dessous dans exécuter et valide:

 

ComboFix /u

 

Vire ces dossiers: C:\Qoobox et C:\ComboFix puis vide la corbeille. (si tu les trouvais encore).

 

:arrow: Mets Adobe Reader à jour ICI.

 

:arrow: Mets également le Flash Player à jour.

 

:arrow: NB:: Pense à décocher les cases proposant la toolbar Google.

 

 

Ta console Java n'est pas à jour; pour corriger cela, va chez Java Sun et télécharge la dernière version. Installe-la de suite.

 

En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippo

 

Utilise ensuite ceci: crée un nouveau dossier sur le bureau ou dans "mes documents"; nomme-le JavaRa.

 

Enregistre le zip dans ce dossier: http://raproducts.org/click/click.php?id=1

 

Clic droit/extraire ici.

 

Double clique sur l'icône "soleil" et n'utilise que le bouton "Remove Older Versions".

--> Pour Vista: clic droit/exécuter en temps qu'administrateur <--

 

Ca va virer les versions obsolètes et libérer de l'espace disque.

 

Poste le rapport sauvé sur le C:\ stp. (ou dans le dossier JavaRa)

 

Après, c'est moi qui te demanderai un service

 

@++

[MartinM]

Mis à part un blème pour mettre Adobe Reader à jour, je pense y être arrivé, avec le rapport suivant:

 

JavaRa 1.13 Removal Log.

 

Report follows after line.

 

------------------------------------

 

The JavaRa removal process was started on Sun Jan 25 22:54:37 2009

 

Found and removed: G:\Program Files\Java\j2re1.4.2_15

 

Found and removed: G:\Program Files\Java\jre1.6.0_01

 

Found and removed: G:\Program Files\Java\jre1.6.0_02

 

Found and removed: G:\Program Files\Java\jre1.6.0_03

 

Found and removed: G:\Program Files\Java\jre1.6.0_05

 

Found and removed: G:\Program Files\Java\jre1.6.0_07

 

Found and removed: G:\Windows\Installer\{7148F0A8-6813-11D6-A77B-00B0D0142150}

 

------------------------------------

 

Finished reporting.

 

 

 

Que puis-je pour toi ?

[Apollo]

Bonsoir,

 

Bah, Adobe Reader fiche-le dehors en le désinstallant.

C'est lourd (223 Mo) et je vais te donner la même chose qui pèse à peine plus de 6 Mo.

 

http://www.foxitsoftware.com/downloads/ ne prends pas avec toolbar, ça ne sert à rien et même parfois dangereux... Le langage fr est dispo dans l'interface du logiciel.

 

Lance Hijackthis avec "do a system scan only" et coche ces cases:

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" --> ou 1.6.0_11 après la mise à jour!

O4 - HKLM\..\Run: [WinampAgent] "G:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

 

Ferme toutes les appli , le navigateur et clique sur Fix Checked.

 

Pour supprimer le lancement de ctfmon.exe au démarrage:

 

Va dans Panneau de configuration/Options régionales et linguistiques/Langues, clique sur Détails puis sur Barre de langue et coche la case "Arrêtez les services de texte avancés".

Clique sur OK autant de fois que nécessaire pour enregistrer la modification.

 

***************

Pour sécuriser au maximum ton PC, il faut:

 

Que tu connaisses les pièges d'Internet et la façon de les éviter.

Pour cela, consulte ce document au format PDF. Tout y est expliqué.

Jusqu'à présent Vista avait été épargné par les virus et troyens essentiellement développés pour XP. Mais il est vite devenu la cible des menaces en tout genre. Donc, autant savoir à l'avance comment se protéger.

 

:arrow: Enfin, ce serait cool que tu déclares ton infection sur Malware Complaints. Qu'est ce que Malware Complaints

Pour faire entendre notre voix, nous devons être le plus nombreux possible à témoigner.

 

• Voir les règles de Malware-Complaints : http://www.malwarecomplaints.info/phpBB3/viewtopic.php?t=5
   
  
• Enregistre toi sur le forum à partir du bouton register en haut :
   
  
• Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, etc..) :
  Exemple pour la France: http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10
   
  Belgique:
  http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=35
   
  Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, crée un message dans le sujet "Autres infections" conforme aux règles du forum (age, ville, département etc..) (Dans ton cas, il s'agit d'une infection TDSSS...
   
  
• Pour poster un message, clique sur le bouton "post reply" et saisis les informations.
  NE PAS CREER UN NOUVEAU SUJET avec le bouton New Topic.
   
  NB: Si tu as de la difficulté pour l'inscription sur Malware Complaints, tout est expliqué ICI
  

 

Si ton problème est réglé,

 

• Pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer dans ton premier post. Tu pourras alors changer le titre.
  

 

[MartinM]

Encore un énorme merci, Apollo. J'affiche une copie papier du PDF envoyé à côté de l'écran, comme pense-bête. Gros boulot que vous faites pour les boulets que nous sommes, utilisateurs insouciants !