[Résolu]Trojan.tdss.fm, de l'aide svp

[Tharox]

Oui il me trouve et met en rouge :

 

GMER 1.0.15.14966 - http://www.gmer.net

Rootkit scan 2009-04-27 12:12:18

Windows 6.0.6001 Service Pack 1

 

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 854401F8

Device \FileSystem\fastfat \Fat 87E21500

 

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Tcp bdftdif.sys

AttachedDevice \Driver\tdx \Device\Udp bdftdif.sys

 

---- Services - GMER 1.0.15 ----

 

Service system32\drivers\ovfsthxonpiiqfs.sys (*** hidden *** ) [sYSTEM] ovfsthxxffxeonq <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

Modifié le 27 avril 2009 par Tharox

[Falkra]

Ok, alors sur la ligne en questino, tu dois pouvoir faire clic droit et "delete". Fais-le.

[Tharox]

Gmer me met un message d'erreur:

 

File "system32\drivers\ovfsthxonpiiqfs.sys" couldn't de deleted.

Error 0x00000003 !: Le chemin d'accès spécifié est introuvable.

[Falkra]

Désactive l'UAC si pas déjà fait (vérifie), et lance Gmer avec clic droit, et droits admin, pour voir.

[Tharox]

j'ai pas eu besoin de faire cela.Après avoir cliquer sur le message d'erreur je me suis aperçu qu'il l'avait supprimé quand meme. J'ai rebooter mon pc et lancer gmer, et la magie( enfin plutot sacré boulot de ta part) , il n'apparait plus

[Falkra]

Parfait !

Ok, on vérifie 2-3 truc là pour des résidus. Le plus gros est fait, apparemment.

 

Télécharge OTMoveIt3 par OldTimer.

• Enregistre ce fichier sur le Bureau.
  
• Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :processes
  explorer.exe 
  :files
  c:\windows\system32\drivers\ovfsthxonpiiqfs.sys
  c:\windows\system32\ovfsthxesbotpwr.dat
  c:\windows\system32\ovfsthxippgxmce.dll
  c:\windows\system32\ovfsthxivnfnoxx.dll
  c:\windows\system32\ovfsthxpmxhixed.dat
  c:\windows\system32\ovfsthxptjupwek.dat
  c:\windows\system32\ovfsthxqtxwnusp.dat
  c:\windows\system32\ovfsthxvoybwgfx.dll
  
  :reg 
  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthxxffxeonq]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ovfsthxxffxeonq]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ovfsthxxffxeonq]
  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ovfsthxxffxeonq]
  
  :services
  ovfsthxxffxeonq
  
  :commands
  [zipfiles]
  [start explorer]

  
  

• Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt3
  
• Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

[Tharox]

Je sais pas pourquoi mais je trouve qu'il sent bon ce log!

 

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== FILES ==========

File/Folder c:\windows\system32\drivers\ovfsthxonpiiqfs.sys not found.

File/Folder c:\windows\system32\ovfsthxesbotpwr.dat not found.

File/Folder c:\windows\system32\ovfsthxippgxmce.dll not found.

File/Folder c:\windows\system32\ovfsthxivnfnoxx.dll not found.

File/Folder c:\windows\system32\ovfsthxpmxhixed.dat not found.

File/Folder c:\windows\system32\ovfsthxptjupwek.dat not found.

File/Folder c:\windows\system32\ovfsthxqtxwnusp.dat not found.

File/Folder c:\windows\system32\ovfsthxvoybwgfx.dll not found.

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthxxffxeonq\\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ovfsthxxffxeonq\\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ovfsthxxffxeonq\\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ovfsthxxffxeonq\\ not found.

========== SERVICES/DRIVERS ==========

Service\Driver ovfsthxxffxeonq not found.

Service\Driver ovfsthxxffxeonq not found.

========== COMMANDS ==========

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04272009_184749

[Falkra]

Il sent très bon, en effet.

 

Bon, je vais avoir besoin de tes fichiers infectés (il n'y a rien de personne ou de ta vie privée dedans, juste les fichiers infectés)

 

Si tu sais faire un zip (ou rar ou 7z) il me faudrait un zip du dossier c:\qoobox et un autre du dossier C:\_OTMoveIt (et poste leur taille stp, quand ils sont ok).

 

Ca fera avancer les analyses, si on peut les récupérer.

[Tharox]

qoobox.rar : 15 577 ko

_OTMoveIt.rar : 3 ko

 

Je te les envois comment?

Maintenant qu'il sont zippés, bitdefender me met des alertes du virus dans c:/qoobox. Je me doute que ce n'est pas tres grave mais qu'est ce que je fait de ce dossier.

Au sinon, juste pour info, j'ai cru comprendre via divers post que bitdefender n'était pas terrible comme antivirus. J'ai la suite BITDEFENDER TOTAL SECURITY 2009, et c'est ma première grosse infection, est elle vraiment si mauvaise cette suite antivirus?

Sans surprise je pense que cette infection vient d'un keygen que j'ai téléchargé, utilisé et qui ne m'a rien donné comme résultat, hormis ces alertes antivirus après avoir double cliquer dessus.

Modifié le 28 avril 2009 par Tharox

[Falkra]

Je te MP les infos.

 

Ignore les messages de BitDefender, on va virer tout ça sous peu.