win32rootkit.tdss

[voileazur]

Je suis infecté de ce virus 'win32rootkit.tdss'.

 

Je me suis rendu sur le site de 'bleepingcomputer.com', et à la recommendation d'un blogueur-aidant, j'ai élu d'utiliser 'ComboFix' pour amorcer le 'nettoyage' de ce 'win32rootkit.tdss'.

 

En suivant les instructions d'un tutoriel 'ComboFix' de 'bleepingcomputer', j'en suis arriver à faire rouler 'ComboFix' et en soutirer un rapport que 'bleepingcomputer' recommande que je soumette à un 'expert' sur un blogue comme celui-ci.

 

Bien heureux qu'il y ait de tels blogues, et de tels experts-aidants, voici l'intégrale du rapport de 'Combofix':

 

Si quelqu'un était familer avec ce virus, et était en mesure de me donner un coup de pouce, je l'apprécierais beaucoup.

 

 

________________________________________________________________________________

_________________________________________

 

ComboFix 09-03-31.04 - Owner 2009-04-01 14:11:43.2 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1033.18.510.243 [GMT -4:00]

Lancé depuis: c:\documents and settings\Owner\Desktop\ComboFix2.exe

AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)

FW: ZoneAlarm Firewall *disabled*

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Exécution préalable -------

.

c:\documents and settings\All Users\Start Menu\Programs\Internet Explorer.lnk

c:\documents and settings\Owner\Application Data\rhced0j0eea3

c:\documents and settings\Owner\Favorites\Search Online.url

c:\windows\ios.dat

c:\windows\system32\c.ico

c:\windows\system32\drivers\UACepkhwsww.sys

c:\windows\system32\m.ico

c:\windows\system32\m3.ico

c:\windows\system32\p.ico

c:\windows\system32\s.ico

c:\windows\system32\sf.ico

c:\windows\system32\UACcythcqvr.log

c:\windows\system32\UACdyiqpnml.dat

c:\windows\system32\UACeomebkik.log

c:\windows\system32\UAChlkacuag.log

c:\windows\system32\uacinit.dll

c:\windows\system32\UACltftgnkd.dll

c:\windows\system32\UACsgklglql.dll

c:\windows\system32\UACuvjxacmb.dll

c:\windows\system32\UACuyqkojvx.dll

c:\windows\system32\UACwryokmgb.dll

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_UACd.sys

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-01 au 2009-04-01 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-01 13:59 . 2009-04-01 13:59 <DIR> d-------- C:\Combo-Fix

2009-04-01 13:07 . 2009-04-01 13:07 3,062,098 -ra------ c:\program files\Combo-Fix.exe

2009-04-01 11:19 . 2009-04-01 12:07 3,062,142 --a------ c:\program files\ComboFix.exe

2009-03-30 11:37 . 2009-03-30 11:37 6,641,432 --a------ c:\program files\rminstall.exe

2009-03-26 18:35 . 2009-03-26 18:35 0 --a------ c:\windows\system32\aawservice_2009_03_26_18_35_00.dmp

2009-03-26 17:37 . 2009-03-26 17:39 16,409,960 --a------ c:\program files\spybotsd162.exe

2009-03-26 08:27 . 2009-03-26 09:55 <DIR> d--h----- C:\$AVG8.VAULT$

2009-03-25 12:35 . 2009-03-25 12:35 325,640 --a------ c:\windows\system32\drivers\avgldx86.sys

2009-03-25 12:35 . 2009-03-28 10:52 108,552 --a------ c:\windows\system32\drivers\avgtdix.sys

2009-03-25 12:35 . 2009-03-25 12:35 10,520 --a------ c:\windows\system32\avgrsstx.dll

2009-03-25 12:34 . 2009-04-01 10:09 <DIR> d-------- c:\windows\system32\drivers\Avg

2009-03-25 12:34 . 2009-03-25 12:46 <DIR> d-------- c:\documents and settings\Owner\Application Data\AVGTOOLBAR

2009-03-25 12:33 . 2009-03-25 12:33 <DIR> d-------- c:\program files\AVG

2009-03-25 12:33 . 2009-03-25 12:33 <DIR> d-------- c:\documents and settings\All Users\Application Data\avg8

2009-03-25 11:31 . 2009-03-25 11:31 212,849 --a------ c:\program files\hijackthis.zip

2009-03-24 13:34 . 2009-03-24 13:34 <DIR> d-------- c:\program files\clean

2009-03-24 13:31 . 2009-03-24 13:31 226,258 --a------ c:\program files\clean.zip

2009-03-23 17:25 . 2009-03-23 17:25 0 --a------ c:\windows\system32\aawservice_2009_03_23_17_25_16.dmp

2009-03-20 15:47 . 2009-03-20 15:50 57,695,967 --a------ c:\program files\avg_avwt_stf_g7_85_276a1438.exe

2009-03-20 14:10 . 2009-03-20 14:10 0 --a------ c:\windows\system32\aawservice_2009_03_20_14_10_04.dmp

2009-03-17 22:15 . 2009-03-17 22:15 <DIR> d--h-c--- c:\documents and settings\All Users\Application Data\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}

2009-03-17 22:12 . 2009-03-09 15:06 64,160 --a------ c:\windows\system32\drivers\Lbd.sys

2009-03-17 21:58 . 2009-03-17 22:01 37,452,296 --a------ c:\program files\Ad-AwareAE.exe

2009-03-17 21:45 . 2009-03-17 21:45 360,002 --a------ c:\program files\dds.com

2009-03-17 13:21 . 2009-03-26 17:25 2,876,720 --a------ c:\program files\mbam-setup.exe

2009-03-17 12:07 . 2009-03-17 12:07 <DIR> d-------- c:\windows\system32\etc

2009-03-17 12:07 . 2009-03-17 22:24 0 --a------ c:\windows\system32\named.conf

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-01 18:20 428,699,680 --sha-w c:\windows\system32\drivers\fidbox.dat

2009-04-01 18:07 --------- d-----w c:\documents and settings\Owner\Application Data\Skype

2009-04-01 18:01 541 ----a-w c:\program files\Shortcut to Combo(Fix).exe.lnk

2009-04-01 14:07 --------- d-----w c:\documents and settings\Owner\Application Data\skypePM

2009-03-26 22:38 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-03-26 21:41 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-03-26 13:55 --------- d-----w c:\program files\ytyrlve

2009-03-25 16:35 --------- d-----w c:\documents and settings\All Users\Application Data\Grisoft

2009-03-25 15:30 --------- d-----w c:\program files\Bonjour

2009-03-20 18:25 70,616 ----a-w c:\documents and settings\Owner\Application Data\GDIPFONTCACHEV1.DAT

2009-03-20 18:10 3,678,208 ----a-w c:\windows\Internet Logs\xDB2.tmp

2009-03-20 15:40 --------- d-----w c:\program files\AOL Toolbar

2009-03-20 15:20 --------- d-----w c:\program files\Common Files\AOL

2009-03-18 02:18 5,024,360 --sha-w c:\windows\system32\drivers\fidbox.idx

2009-03-18 02:06 --------- d-----w c:\program files\Lavasoft

2009-03-18 02:06 --------- d-----w c:\program files\Common Files\Wise Installation Wizard

2009-03-18 02:06 --------- d-----w c:\documents and settings\Owner\Application Data\Lavasoft

2009-03-17 19:30 --------- d-----w c:\program files\CCleaner

2009-03-16 12:45 3,171,328 ----a-w c:\windows\Internet Logs\xDB1.tmp

2009-03-09 19:06 15,688 ----a-w c:\windows\system32\lsdelete.exe

2009-02-25 19:29 --------- d-----w c:\program files\Safari

2009-02-09 11:13 1,846,784 ----a-w c:\windows\system32\win32k.sys

2007-01-27 17:07 0 ----a-w c:\documents and settings\Owner\Application Data\wklnhst.dat

2002-09-30 17:05 12,739,088 ----a-w c:\program files\ACDSee v5.0 PowerPack.exe

2002-03-26 09:00 414,356,935 ----a-w c:\program files\Microsoft Office XP.zip

2008-04-07 08:02 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll14:35 2009-04-01

2008-04-07 08:02 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll

2008-04-07 08:02 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll

2008-04-07 08:02 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll

2008-04-07 08:02 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll

2008-12-21 20:04 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012008122120081222\index.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-07 21633320]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-13 919016]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]

"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-02-06 177472]

"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-03-09 515416]

"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-03-25 1932568]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-03-25 12:35 10520 c:\windows\system32\avgrsstx.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.MJPG"= pvmjpg21.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^hp psc 2000 Series.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\hp psc 2000 Series.lnk

backup=c:\windows\pss\hp psc 2000 Series.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^hpoddt01.exe.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\hpoddt01.exe.lnk

backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Microsoft Find Fast.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Microsoft Find Fast.lnk

backup=c:\windows\pss\Microsoft Find Fast.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Office Startup.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Office Startup.lnk

backup=c:\windows\pss\Office Startup.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Service Manager.lnk]

path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Service Manager.lnk

backup=c:\windows\pss\Service Manager.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Owner^Start Menu^Programs^Startup^Desktop Manager.lnk]

path=c:\documents and settings\Owner\Start Menu\Programs\Startup\Desktop Manager.lnk

backup=c:\windows\pss\Desktop Manager.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]

--a------ 2009-02-06 17:27 177472 c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]

--a------ 2004-05-16 21:10 339968 c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

--a------ 2008-04-13 20:12 15360 c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2008-11-20 14:20 290088 c:\program files\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2007-01-19 13:55 5674352 c:\program files\MSN Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-10 11:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OM_Monitor]

--a------ 2005-07-19 12:06 40960 c:\program files\OLYMPUS\OLYMPUS Master\FirstStart.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2008-11-04 11:30 413696 c:\program files\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--a------ 2003-11-01 12:42 32768 c:\program files\CyberLink\PowerDVD\PDVDServ.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-02-22 04:25 144784 c:\program files\Java\jre1.6.0_05\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunKist]

--a------ 2004-05-27 10:57 139264 c:\program files\Digital Media Reader\shwicon2k.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

--a------ 2004-03-27 05:20 499712 c:\program files\Synaptics\SynTP\SynTPEnh.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]

--a------ 2004-03-27 05:20 98304 c:\program files\Synaptics\SynTP\SynTPLpr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToniArts EasyCleaner]

--a------ 2005-01-14 23:38 2117632 c:\documents and settings\Owner\My Documents\My programs\EasyClea.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Multi-function Keyboard]

--a------ 2001-08-28 12:13 98361 c:\windows\GWHotKey.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"="1"

"UpdatesDisableNotify"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-03-17 64160]

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-03-25 325640]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-03-25 108552]

R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-03-25 298264]

R3 HSFHWVIA;HSFHWVIA;c:\windows\system32\drivers\HSFHWVIA.sys [2004-09-04 193152]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d7f710b0-9f80-11dd-8a2b-0003251416e7}]

\Shell\AutoRun\command - E:\LaunchU3.exe -a

.

Contenu du dossier 'Tâches planifiées'

 

2009-04-01 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 15:06]

 

2009-03-25 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2008-10-21 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1216003236.job

- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 17:56]

 

2007-01-17 c:\windows\Tasks\ISP signup reminder 1.job

- c:\windows\system32\OOBE\oobebaln.exe [2008-04-13 20:12]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{E8575CC3-E554-E877-8A81-C8FDD05473F7} - (no file)

SafeBoot-Lavasoft Ad-Aware Service

 

 

.

------- Examen supplémentaire -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR

IE: &AOL Toolbar search - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML

IE: &Windows Live Search

IE: Add to Windows &Live Favorites

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~4\Office10\EXCEL.EXE/3000

IE: Rechercher sur eBay - c:\program files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

TCP: {3147943C-45F9-42B8-A37B-4AC9A7498DB6} = 208.67.220.220,208.67.222.222

TCP: {A38059DD-6AF9-4ADC-8709-AFF7D37C2208} = 208.67.220.220,208.67.222.222

FF - ProfilePath -

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-01 14:19:09

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2009-04-01 14:22:55

ComboFix-quarantined-files.txt 2009-04-01 18:22:47

 

Avant-CF: 38,514,819,072 bytes free

Après-CF: 38,899,802,112 bytes free

 

240 --- E O F --- 2009-03-22 02:52:04

Modifié le 1 avril 2009 par voileazur

[pear]

Bonjour,

 

Connaisez vous ceci:

c:\program files\ytyrlve?

 

Téléchargez Malwarebytes' Anti-Malware (MBAM)

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Si la mise à jour automatique échouait pour une raison quelconque,par exemple une installation de Mbam sur clé usb,

Téléchargez la mise à jour ici

double-cliquer sur le fichier mbam-rules.exe pour installer la mise à jour

 

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

 

Antivir est maintenant eb version9 Anglaise. Le Français est prévu fin Avril

 

Télécharger Avira AntiVir Personal Edition en Anglais

Télécharger Avira AntiVir Personal Edition en Français

 

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

....AntiVir ne laisse pas entrer Bagle, sauf si l'utilisateur lui force la main pour récupérer un crack

 

Paramètres conseillés

Clic droit sur le parapluie---------------------->Configure-Configurer

Cliquer Expert mode----------------------------->Scan-Recherche:

Cocher: ----------------------------------------------->All files -Tous les Fichiers

Additionnal Settings-Autres réglages:--->tout cocher

Clic sur Scan+ -Recherche+

Action for concerning files -Action en cas de résultat positif:

Cocher-------------------------------------------------->Copie file to quarantine before action-Copier le fichier dans la quarantaine avant l'action:

Primary action-Action principale............>: Repair :Réparer ( au cas ou ce serait un fichier système corrompu)

Secondary action.-Action secondaire...>.: Delete-Supprimer ( s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine)

 

Désactivez votre antivirus actuel

Redémarrez en mode sans échec.

Lancez le scan

Postez le rapport

[voileazur]

Bonjour,

 

Connaisez vous ceci:

c:\program files\ytyrlve?

 

Téléchargez Malwarebytes' Anti-Malware (MBAM)

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Si la mise à jour automatique échouait pour une raison quelconque,par exemple une installation de Mbam sur clé usb,

Téléchargez la mise à jour ici

double-cliquer sur le fichier mbam-rules.exe pour installer la mise à jour

 

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

 

Antivir est maintenant eb version9 Anglaise. Le Français est prévu fin Avril

 

Télécharger Avira AntiVir Personal Edition en Anglais

Télécharger Avira AntiVir Personal Edition en Français

 

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

....AntiVir ne laisse pas entrer Bagle, sauf si l'utilisateur lui force la main pour récupérer un crack

 

Paramètres conseillés

Clic droit sur le parapluie---------------------->Configure-Configurer

Cliquer Expert mode----------------------------->Scan-Recherche:

Cocher: ----------------------------------------------->All files -Tous les Fichiers

Additionnal Settings-Autres réglages:--->tout cocher

Clic sur Scan+ -Recherche+

Action for concerning files -Action en cas de résultat positif:

Cocher-------------------------------------------------->Copie file to quarantine before action-Copier le fichier dans la quarantaine avant l'action:

Primary action-Action principale............>: Repair :Réparer ( au cas ou ce serait un fichier système corrompu)

Secondary action.-Action secondaire...>.: Delete-Supprimer ( s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine)

 

Désactivez votre antivirus actuel

Redémarrez en mode sans échec.

Lancez le scan

Postez le rapport

 

Merci de votre réponse,

 

Depuis mon premier message, j'ai lancer 'SpyBoot' avec succès, et j'ai réussi à télécharger et lancer 'Malwarebytes' avec tout autant de succès.

 

Sans trop savoir ce qu'il en découle au juste, il semblerait que 'ComboFix' aurait 'ouvert la porte' (je ne réussissais à lancer ni 'Spyboot' ni Malwarebytes' avant l'utilisation de 'ComboFix'), et 'Spyboot' et 'Malwarebytes' auraient complété le nettoyage.

 

Il m'apparait que les choses se sont replacées, et que l'ordi/applications se comportent normalement à nouveau.

 

Je suis peut-être trop optimiste??? Qu'en pensez-vous 'Pear' ?

 

 

voileazur.

Modifié le 2 avril 2009 par voileazur

[pear]

Bonsoir,

Je ne peux pas me prononcer sans voir les rapports Mbam et Antivir.

[voileazur]

Bonsoir,

Je ne peux pas me prononcer sans voir les rapports Mbam et Antivir.

 

 

Merci 'pear',

 

Pour faire suite à votre requête, voici en ordre, les rapports de 'malwarebytes' en date d'hier et Avira Antivir en date d'aujourd'hui :

 

 

********************************************************************************

*******************************************

 

Malwarebytes' Anti-Malware 1.35

Database version: 1931

Windows 5.1.2600 Service Pack 3

 

2009-04-02 00:52:37

mbam-log-2009-04-02 (00-52-37).txt

 

Scan type: Full Scan (C:\|)

Objects scanned: 165071

Time elapsed: 2 hour(s), 21 minute(s), 53 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 10

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

(No malicious items detected)

 

Registry Values Infected:

(No malicious items detected)

 

Registry Data Items Infected:

(No malicious items detected)

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

C:\Qoobox\Quarantine\C\WINDOWS\system32\UACltftgnkd.dll.vir (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\UACsgklglql.dll.vir (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\UACuvjxacmb.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\UACuyqkojvx.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\UACwryokmgb.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{7255C0B0-8ED4-479E-910A-5ED13D260208}\RP36\A0009829.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{7255C0B0-8ED4-479E-910A-5ED13D260208}\RP36\A0009830.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{7255C0B0-8ED4-479E-910A-5ED13D260208}\RP36\A0009831.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{7255C0B0-8ED4-479E-910A-5ED13D260208}\RP36\A0009832.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{7255C0B0-8ED4-479E-910A-5ED13D260208}\RP36\A0009833.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

 

 

********************************************************************************

******************************************

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : Friday, April 03, 2009 12:49

 

La recherche porte sur 1339172 souches de virus.

 

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows XP

Version de Windows :(Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur :ALAIN

 

Informations de version :

BUILD.DAT : 8.2.0.52 16931 Bytes 2008-12-02 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 2008-11-18 13:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 2008-07-21 18:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 2008-06-12 17:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 2008-07-04 12:30:27

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 2008-10-27 16:30:36

ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 2009-02-11 16:21:50

ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 2009-04-01 16:22:03

ANTIVIR3.VDF : 7.1.3.13 57344 Bytes 2009-04-03 16:22:05

Version du moteur: 8.2.0.129

AEVDF.DLL : 8.1.1.0 106868 Bytes 2009-04-03 16:22:35

AESCRIPT.DLL : 8.1.1.70 369019 Bytes 2009-04-03 16:22:32

AESCN.DLL : 8.1.1.8 127346 Bytes 2009-04-03 16:22:29

AERDL.DLL : 8.1.1.3 438645 Bytes 2008-11-04 18:58:38

AEPACK.DLL : 8.1.3.11 397687 Bytes 2009-04-03 16:22:27

AEOFFICE.DLL : 8.1.0.36 196987 Bytes 2009-04-03 16:22:23

AEHEUR.DLL : 8.1.0.111 1679736 Bytes 2009-04-03 16:22:20

AEHELP.DLL : 8.1.2.2 119158 Bytes 2009-04-03 16:22:12

AEGEN.DLL : 8.1.1.31 340341 Bytes 2009-04-03 16:22:10

AEEMU.DLL : 8.1.0.9 393588 Bytes 2008-10-14 15:05:56

AECORE.DLL : 8.1.6.6 176501 Bytes 2009-04-03 16:22:07

AEBB.DLL : 8.1.0.3 53618 Bytes 2008-10-14 15:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-09 13:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-05-16 14:27:58

AVREP.DLL : 8.0.0.2 98344 Bytes 2008-07-31 17:02:15

AVREG.DLL : 8.0.0.1 33537 Bytes 2008-05-09 16:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 13:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-06-12 17:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 22:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-06-12 17:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 17:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-07-04 12:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 2008-07-17 15:08:43

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp

Documentation....................: bas

Action principale................: interactif

Action secondaire................: ignorer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: arrêt

Fichier mode de recherche........: Sélection de fichiers intelligente

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

 

Début de la recherche : Friday, April 03, 2009 12:50

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avnotify.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'opera.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WINWORD.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'OUTLOOK.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'skypePM.exe' - '1' module(s) sont contrôlés

Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgtray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AAWTray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'BCMWLTRY.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'WLTRYSVC.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés

Processus de recherche 'avgnsx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgrsx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgwdsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AAWService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'42' processus ont été contrôlés avec '42' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '51' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\WINDOWS\system32\gjklwdud.exe

[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a418080.qua' !

 

 

Fin de la recherche : Friday, April 03, 2009 17:45

Temps nécessaire: 4:55:36 Heure(s)

 

La recherche a été effectuée intégralement

 

7116 Les répertoires ont été contrôlés

437125 Des fichiers ont été contrôlés

1 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

1 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

437122 Fichiers non infectés

23598 Les archives ont été contrôlées

2 Avertissements

1 Consignes

 

 

 

********************************************************************************

********************************************

 

 

 

Merci de votre aide 'Pear'.

Modifié le 3 avril 2009 par voileazur

[pear]

Bonjour,

 

C'est bon.Rien de néfaste .

 

Il ne vous servirait à rien de garder les logiciels utilisés pour la désinfection.

Constamment remis à jour , ils seraient obsolètes sous 10 jours.

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner2 de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

L'outil supprimera sans que vous ayez à intervenir.

 

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Désinstallez la Restauration Système.

 

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez ensuite, .

Un nouveau point de restauration sera créé au redémarrage.