"RESOLU" attaque par un virus

Cendrillon · le 5 juillet 2009

bonjour a tous

je suis attaquée depuis ce matin par un cheval de troie :

TR/TDss.adzz

TR/TDss.aebu

TR/Crypt.XPACK.Gen2

l' antivirus semble le bloquer, mais je ne réussi plus à ouvrir correctement windows : je tombe directement sur les alertes.

que puis je faire ?

MERCI D'AVANCE

Modifié le 31 juillet 2009 par Cendrillon

WawaSeb · le 6 juillet 2009

Bonjour Cendrillon,

*** Bienvenue dans la partie sécurité du forum Zebulon ! ***

--> Mon pseudo est WawaSeb, et je vais tout faire pour t'aider à nettoyer ce PC...

L'infection que tu as est relativement avancée, mais nous devrions pouvoir t'en débarasser...

# Clique avec le bouton de droit* pour télécharger Combofix de sUBs et enregistre-le sous le nom "cendrillon.exe"

Enregistre-le impérativement sur ton bureau.
Prends connaissance du tutoriel suivant : http://www.bleepingcomputer.com/combofix/f...iliser-combofix *
Déconnecte-toi du net et désactive ton antivirus pendant la procédure.
Ferme toutes les fenêtres.
Double-clique sur cendrillon.exe (sous Vista, clic-droit, "exécuter en tant qu'Administrateur")
Clique sur "Oui" pour accepter la limitation de garantie !
--> Si ton pare-feu te demande d'autoriser nircmd.cfexe, accepte.
--> Si ComboFix te demande d'installer la console de récupération, accepte (YES, puis OUI), c'est TRES IMPORTANT !
Lance le scan (ne clique pas sur la fenêtre qui s'ouvre).
A la fin du scan (cela peut prendre du temps), un rapport sera créé.
Poste ce rapport dans ton / tes prochain(s) message(s) (C:\Combofix.txt)

Avertissement important : Cet outil n'est pas un antimalware's généraliste ! Il ne peut être utilisé que par des personnes qualifiées...

* Il est essentiel que tu l'enregistres DIRECTEMENT sous un autre nom parce que ton rootkit reconnaît ComboFix et le bloque si tu ne le fais pas !

* A ma connaissance, tu ne pourras pas non plus joindre le site du tutoriel avec Internet Explorer. Par contre, avec les navigateurs Safari, Firefox, Chrome, Opera, ... cela devrait être possible !

Bonne journée...

Modifié le 6 juillet 2009 par WawaSeb

Cendrillon · le 6 juillet 2009

merci de répondre aussi vite

je suis actuellement au boulot. donc j'essaierai ce soir.

ce qui m'inquiète c'est qu'hier je ne pouvais plus ouvrir ma session windows, alors comment faire ces manips ?

j'ai téléchargé "combofix" sur un CD depuis mon pc professionnel.

je te tiens au courant.

bye

WawaSeb · le 6 juillet 2009

Re- Cendrillon,

*** J'espère que ton infection n'est pas venue avec des "copains" plus virulents... ***

--> Rassure-toi, dans presque tous les cas (sauf si ton disque dur est physiquement grillé ou que la partition est gravement endommagée), tes données sont récupérables !

--> TDSS* détruit souvent le démarrage quand il "bug". Comme il s'installe profondément dans le système (comme un pilote de périphérique), il faut parfois s'en occuper "hors de Windows".

ce qui m'inquiète c'est qu'hier je ne pouvais plus ouvrir ma session windows

--> Avais-tu sauvegardé tes données ?

--> Disposes-tu d'un CD de Windows ? Quelle est la version utilisée sur cette machine (XP, Vista, 7) ?

--> Si cela ne fonctionne pas, tu commenceras par essayer de démarrer en mode sans échec : http://www.informatruc.com/mode_sans_echec.php (attention, n'utilise JAMAIS la seconde solution)

j'ai téléchargé "combofix" sur un CD depuis mon pc professionnel.

--> J'espère que tu as changé son nom avant de graver le disque...

--> Ce soir, tu veilleras à bien le copier-coller sur le bureau avant de le lancer !

Je ne pourrai te répondre après 15h, mais le ferai demain matin.

Si un collègue souhaite te dépanner plus rapidement, il peut naturellement le faire...

Bonne suite de journée au boulot, courage !

Cendrillon · le 6 juillet 2009

Re- Cendrillon,

*** J'espère que ton infection n'est pas venue avec des "copains" plus virulents... ***

--> Rassure-toi, dans presque tous les cas (sauf si ton disque dur est physiquement grillé ou que la partition est gravement endommagée), tes données sont récupérables !

--> TDSS* détruit souvent le démarrage quand il "bug". Comme il s'installe profondément dans le système (comme un pilote de périphérique), il faut parfois s'en occuper "hors de Windows".

--> Avais-tu sauvegardé tes données ? NON

--> Disposes-tu d'un CD de Windows ? NON Quelle est la version utilisée sur cette machine (XP, Vista, 7) ? VISTA

--> Si cela ne fonctionne pas, tu commenceras par essayer de démarrer en mode sans échec : http://www.informatruc.com/mode_sans_echec.php (attention, n'utilise JAMAIS la seconde solution)

--> J'espère que tu as changé son nom avant de graver le disque...

--> Ce soir, tu veilleras à bien le copier-coller sur le bureau avant de le lancer !

Je ne pourrai te répondre après 15h, mais le ferai demain matin.

Si un collègue souhaite te dépanner plus rapidement, il peut naturellement le faire...

Bonne suite de journée au boulot, courage !

Cendrillon · le 6 juillet 2009

hello

j'en ai bavé, mais voici le log : (nb : j'ai surtout eu du mal à pouvoir revenir sur ma session, au lancement de windows : page noire !!!)

ComboFix 09-07-05.04 - cendrine 06/07/2009 18:43.1 - NTFSx86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2037.989 [GMT 2:00]

Lancé depuis: c:\users\cendrine\Desktop\cendrillon.exe

SP: Spybot - Search and Destroy *enabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}

SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\$recycle.bin\S-1-5-21-3274072713-938810983-1956089344-500

c:\$recycle.bin\S-1-5-21-4282265966-3294141308-624416908-500

c:\users\cendrine\AppData\Local\cqqosmk.dat

c:\users\cendrine\AppData\Local\cqqosmk_navps.dat

c:\users\cendrine\AppData\Local\czpncaw_navup.dat

c:\users\cendrine\AppData\Local\qoumm.dat

c:\users\cendrine\AppData\Local\qoumm_nav.dat

c:\users\cendrine\AppData\Local\qoumm_navps.dat

c:\users\cendrine\AppData\Roaming\inst.exe

c:\users\cendrine\cendrine.exe

c:\users\cendrine\iexplore.exe

c:\users\cendrine\ISYHWG.exe

c:\users\cendrine\winlogon.exe

c:\windows\Installer\70d71.msi

c:\windows\system32\drivers\UACxmvpxrxqpfvqxxfwo.sys

c:\windows\system32\KBL.LOG

c:\windows\system32\lsprst7.dll

c:\windows\system32\msxmlm.dll

c:\windows\system32\ssprs.dll

c:\windows\system32\UACcslecupwdpsbqiagq.db

c:\windows\system32\UACfbkswjbxeometiitm.dll

c:\windows\system32\uacinit.dll

c:\windows\system32\UACmgehnhqqarumqoisi.dll

c:\windows\system32\UACnrfvunpopsrxtvmqf.dll

c:\windows\system32\UACqjapwrybdpnbfkiex.dll

c:\windows\system32\uactmp.db

c:\windows\system32\UACyrspqptrirrdrqndl.dll

c:\windows\system32\UACyxshfqycyptwwrqrx.dat

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_UACd.sys

((((((((((((((((((((((((((((( Fichiers créés du 2009-06-06 au 2009-07-06 ))))))))))))))))))))))))))))))))))))

.

2009-07-06 16:50 . 2009-07-06 16:50 -------- d-----w- c:\users\cendrine\AppData\Local\temp

2009-07-05 17:24 . 2009-07-05 17:24 34816 ----a-w- c:\users\cendrine\LQIICT.exe

2009-07-05 17:05 . 2009-07-05 17:05 458 ----a-w- c:\users\cendrine\EJLRDE.bat

2009-07-05 17:05 . 2009-07-05 17:05 58880 ----a-w- c:\users\cendrine\IHRDPR.exe

2009-07-05 10:06 . 2009-07-05 10:06 -------- d-----w- c:\program files\Common Files\Uninstall

2009-07-05 10:06 . 2009-07-05 10:06 -------- d-----w- c:\program files\PersonalAV

2009-07-05 07:38 . 2009-07-05 11:03 -------- dc----w- c:\windows\system32\DRVSTORE

2009-07-05 07:38 . 2009-07-05 07:38 -------- d-----w- c:\progra~2\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

2009-07-05 07:36 . 2009-07-05 07:36 -------- d-----w- c:\program files\QuickTime

2009-07-05 07:19 . 2009-07-05 07:19 34816 ----a-w- c:\users\cendrine\ptllfx.exe

2009-07-05 07:14 . 2009-07-05 07:14 374 ----a-w- c:\users\cendrine\jlwbft.bat

2009-07-05 07:14 . 2009-07-05 07:14 58880 ----a-w- c:\users\cendrine\USFPCF.exe

2009-07-05 07:14 . 2009-07-05 07:14 88576 ----a-w- c:\users\cendrine\HJVPOL.exe

2009-07-01 11:38 . 2009-07-01 11:38 -------- d-----w- C:\tmp

2009-06-30 11:41 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-06-29 09:10 . 2009-06-29 09:10 -------- d-----w- c:\program files\Audacity

2009-06-27 16:56 . 2009-06-27 16:56 -------- d-----w- C:\ConvertTemp

2009-06-21 08:39 . 2009-05-09 05:34 71680 ----a-w- c:\windows\system32\iesetup.dll

2009-06-21 08:39 . 2009-05-09 05:50 915456 ----a-w- c:\windows\system32\wininet.dll

2009-06-21 08:38 . 2009-03-08 11:32 72704 ----a-w- c:\windows\system32\admparse.dll

2009-06-21 08:38 . 2009-03-08 11:31 48128 ----a-w- c:\windows\system32\mshtmler.dll

2009-06-21 08:25 . 2009-06-21 08:25 -------- d-----w- c:\users\cendrine\AppData\Roaming\Vodafone

2009-06-21 08:25 . 2009-06-21 08:25 -------- d-----w- c:\progra~2\InstallShield

2009-06-21 08:25 . 2008-09-15 12:26 104960 ----a-w- c:\windows\system32\drivers\zteusbvoice.sys

2009-06-21 08:25 . 2008-09-15 12:26 104960 ----a-w- c:\windows\system32\drivers\ZTEusbnmea.sys

2009-06-21 08:25 . 2008-09-15 12:26 110080 ----a-w- c:\windows\system32\drivers\ZTEusbnet.sys

2009-06-21 08:25 . 2008-09-15 12:26 104960 ----a-w- c:\windows\system32\drivers\ZTEusbmdm6k.sys

2009-06-21 08:25 . 2008-09-15 12:26 104960 ----a-w- c:\windows\system32\drivers\ZTEusbser6k.sys

2009-06-21 08:24 . 2009-06-21 08:24 -------- d-----w- c:\progra~2\Vodafone

2009-06-21 08:24 . 2009-06-21 08:24 -------- d-----w- c:\program files\Vodafone

2009-06-21 08:23 . 2009-06-21 08:23 -------- d-----w- c:\users\cendrine\AppData\Local\{BAD7C248-517D-4CE1-B65A-829C01BEFDB1}

2009-06-21 07:22 . 2009-07-05 07:23 -------- d-----w- c:\users\cendrine\AppData\Local\Apple Computer

2009-06-21 07:22 . 2009-06-21 07:22 -------- d-----w- c:\users\cendrine\AppData\Roaming\Apple Computer

2009-06-15 18:00 . 2009-06-15 18:00 -------- d-----w- c:\progra~2\WindowsSearch

2009-06-14 14:06 . 2009-04-30 12:37 428544 ----a-w- c:\windows\system32\EncDec.dll

2009-06-14 14:06 . 2009-04-30 12:37 293376 ----a-w- c:\windows\system32\psisdecd.dll

2009-06-11 14:06 . 2009-04-21 11:55 2033152 ----a-w- c:\windows\system32\win32k.sys

2009-06-11 14:06 . 2009-04-23 12:42 636928 ----a-w- c:\windows\system32\localspl.dll

2009-06-11 14:06 . 2009-04-23 12:43 784896 ----a-w- c:\windows\system32\rpcrt4.dll

2009-06-09 22:03 . 2009-07-05 07:38 -------- d-----w- c:\progra~2\Apple Computer

2009-06-09 22:03 . 2009-06-09 22:03 -------- d-----w- c:\users\cendrine\AppData\Local\Apple

2009-06-09 22:01 . 2009-06-09 22:01 -------- d-----w- c:\progra~2\Apple

2009-06-08 19:11 . 2009-06-08 19:19 -------- d-----w- c:\users\Public\photos phone denis

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-07-06 16:03 . 2008-03-14 17:41 6648 ----a-w- c:\users\cendrine\AppData\Local\d3d9caps.dat

2009-07-05 17:13 . 2008-09-17 16:39 -------- d-----w- c:\program files\RegScanner

2009-07-04 19:43 . 2008-02-23 10:31 -------- d-----w- c:\users\cendrine\AppData\Roaming\LimeWire

2009-07-04 16:44 . 2007-11-21 13:42 669566 ----a-w- c:\windows\system32\perfh00C.dat

2009-07-04 16:44 . 2007-11-21 13:42 123556 ----a-w- c:\windows\system32\perfc00C.dat

2009-06-21 08:24 . 2007-11-21 05:06 -------- d-----w- c:\program files\Common Files\InstallShield

2009-06-12 18:55 . 2007-11-21 06:22 -------- d-----w- c:\program files\Microsoft Works

2009-06-08 17:27 . 2008-09-01 14:42 -------- d-----w- c:\users\cendrine\AppData\Roaming\Vso

2009-06-02 19:09 . 2009-06-02 19:09 -------- d-----w- c:\users\cendrine\AppData\Roaming\TomTom

2009-06-02 19:09 . 2009-06-02 19:09 -------- d-----w- c:\program files\TomTom International B.V

2009-06-02 19:08 . 2009-06-02 19:08 -------- d-----w- c:\program files\TomTom HOME 2

2009-05-30 23:40 . 2009-05-02 20:16 -------- d-----w- c:\program files\Live-Player

2009-05-17 09:06 . 2009-05-17 09:06 1025 ----a-w- c:\windows\system32\clauth2.dll

2009-05-17 09:06 . 2009-05-17 09:06 1025 ----a-w- c:\windows\system32\clauth1.dll

2009-05-17 09:06 . 2009-05-17 09:06 1025 ----a-w- c:\windows\system32\sysprs7.dll

2009-05-17 09:06 . 2009-05-17 09:06 -------- d-----w- c:\progra~2\hps

2009-05-17 09:05 . 2009-05-17 09:05 -------- d-----w- c:\program files\Photoreflex

2009-05-15 15:25 . 2009-05-15 15:25 410984 ----a-w- c:\windows\system32\deploytk.dll

2009-05-15 15:25 . 2008-06-13 19:34 -------- d-----w- c:\program files\Java

2009-05-14 16:51 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail

2009-05-02 20:16 . 2009-05-02 20:16 93 ----a-w- c:\users\cendrine\AppData\Local\cqqosmk.bat

2007-08-25 02:52 . 2008-02-15 11:46 300400 ----a-w- c:\program files\mozilla firefox\components\coFFPlgn.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]

"HPADVISOR"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2007-10-01 1783136]

"swg"="c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-02-08 171448]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-04-24 251240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-10-25 212992]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-15 148888]

"MobileConnect"="c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2008-09-22 2073088]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

c:\users\cendrine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

MESSAGERIE (2).lnk - c:\program files\Windows Mail\WinMail.exe [2008-7-27 397312]

Mozilla Firefox (2).lnk - c:\program files\Mozilla Firefox\firefox.exe [2009-1-2 307704]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ %I

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{053AB282-E2DF-4F2E-B806-4A8C143D0FDF}"= UDP:c:\program files\Common Files\AOL\Loader\aolload.exe:AOL Loader

"{2C0C2D29-F3D6-444D-8A5C-21AC5D347C8A}"= TCP:c:\program files\Common Files\AOL\Loader\aolload.exe:AOL Loader

"{C480E308-4D58-40D5-BBDB-E2B1FE48357E}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{0FB36BD6-41FD-4EF9-AF57-32C005BBCF26}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{21592082-8707-4982-AA79-54813E0AAB47}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector

"{7A0FAFA1-6700-4758-AF13-F85AC4AB395B}"= c:\program files\HP\QuickPlay\QP.exe:Quick Play

"{147F659E-CB79-4A63-A7E8-B9871EE71FA8}"= c:\program files\HP\QuickPlay\QPService.exe:Quick Play Resident Program

"{6E8EC73B-A08A-40A6-A508-E964D54C45EC}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

"{7427011C-FBE5-4DCC-849A-A208F7086E30}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire

"{A07203CE-C9B1-4E34-A366-81374527B34D}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire

"TCP Query User{5058F7CA-9DA9-4647-814F-909003A5CA41}c:\\program files\\limewire\\limewire.exe"= UDP:c:\program files\limewire\limewire.exe:LimeWire

"UDP Query User{74B5BEC3-BCF0-4515-81F1-59F2CDAC23D1}c:\\program files\\limewire\\limewire.exe"= TCP:c:\program files\limewire\limewire.exe:LimeWire

"TCP Query User{67377561-FACF-443C-8AA1-561900469DDC}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox

"UDP Query User{AC06F852-ABF4-4838-8145-DBC89DBB2C0F}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox

"TCP Query User{7623887B-8078-42EB-84DD-26DA7506A023}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule

"UDP Query User{AD70EF07-AD75-4F7F-98C5-58F06BA0C9FD}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule

"TCP Query User{8A32FAD4-D32F-42A4-8235-BC183B2F9AB0}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule

"UDP Query User{0201E506-A323-4914-B4C0-BBC2AA1E1860}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]

"EnableFirewall"= 0 (0x0)

R0 PzWDM;PzWDM;c:\windows\System32\drivers\PzWDM.sys [02/01/2009 15:23 15172]

R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [24/04/2009 13:57 92008]

R2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [22/09/2008 13:40 14336]

S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\System32\drivers\massfilter.sys [15/09/2008 14:26 7168]

S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\System32\drivers\ZTEusbnet.sys [21/06/2009 10:25 110080]

S3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\System32\drivers\zteusbvoice.sys [21/06/2009 10:25 104960]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Windows Logon Applicationedc - c:\users\cendrine\winlogon.exe

HKLM-Run-EoEngine - (no file)

.

------- Examen supplémentaire -------

.

mWindow Title =

Trusted Zone: downloadsglobe.com\www

FF - ProfilePath - c:\users\cendrine\AppData\Roaming\Mozilla\Firefox\Profiles\eofzrrt4.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?source=fhgo

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-07-06 18:50

Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

Heure de fin: 2009-07-06 18:52

ComboFix-quarantined-files.txt 2009-07-06 16:52

Avant-CF: 78 379 253 760 octets libres

Après-CF: 78 281 818 112 octets libres

240 --- E O F --- 2009-07-06 15:45

merci tout plein de ton aide et de celle de tous ceux qui voudraient intervenir pour me sortir de ce gros bazarre.

bye

Cendrillon · le 6 juillet 2009

un petit plus :

j'ai un truc qui s'appelle personnal antivirus (PAV) : je ne sais pas d'où je l'ai sorti et je n'arrive pas à le désinstaller ...

quelle nulle je suis !

chao

WawaSeb · le 7 juillet 2009

Bonjour Cendrillon,

*** Laisse-moi d'abord te dire que tu as super bien travaillé ! ***

--> Je sais comme il est difficile de lancer les outils avec ce malware...

j'ai un truc qui s'appelle personnal antivirus (PAV) : je ne sais pas d'où je l'ai sorti et je n'arrive pas à le désinstaller ...

--> Normal, il s'agit d'un reste d'infection !

1) Désactive le Teatimer de Spybot

Ouvre Spybot
Rends-toi dans le menu Mode
Coche la case Mode Avancé
Clique sur Outils (tout en bas)
Dans Résident, tu décoches la case Resident Teatimer
-----> L'icône doit être absente de la barre des tâches...

Tutoriel animé : http://pagesperso-orange.fr/rginformatique...mo%20spybot.htm (merci Balltrap34 !)

2) Exécutons maintenant un script personnalisé pour Combofix afin de détruire le reste :

Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure !)
Ouvre le bloc-note et colles-y les lignes écrites en citation ci-dessous :
http://forum.zebulon.fr/attaque-par-un-virus-t165130.html

KillAll::

Extra::

Folder::
c:\program files\Live-Player
c:\users\cendrine\AppData\Local\temp
c:\program files\PersonalAV
c:\users\cendrine\AppData\Local\{BAD7C248-517D-4CE1-B65A-829C01BEFDB1}

Collect::
c:\users\cendrine\LQIICT.exe
c:\users\cendrine\EJLRDE.bat
c:\users\cendrine\IHRDPR.exe
c:\users\cendrine\ptllfx.exe
c:\users\cendrine\jlwbft.bat
c:\users\cendrine\USFPCF.exe
c:\users\cendrine\HJVPOL.exe
c:\users\cendrine\AppData\Local\cqqosmk.bat
* Attention, ce code a été rédigé spécialement pour cet utilisateur, prière de ne pas le ré-utiliser dans d'autres cas !
Enregistre-le en lui donnant le nom CFScript
Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
Un message te demandera sans doute de laisser ComboFix envoyer les fichiers trouvés, accepte et laisse-le faire...
Poste le résultat dans ta prochaine réponse.

3) Télécharge Malwarebytes' Anti-Malware (MBAM)

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Installe le programme avec les options par défaut et assure-toi que les deux cases sont bien cochées comme indiqué sur le dessin : si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Sélectionne tous tes disques et clique sur Lancer l'examen.
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

==> Ce dernier scan va me permettre de vérifier que tout est en ordre, je recommande d'utiliser cet outil après ceux qui sont dédiés à une infection en particulier... sauf cas exceptionnel !

# Rencontres-tu encore des problèmes ?

@ te lire,

Edit : précaution supplémentaire (merci angelique)

Modifié le 7 juillet 2009 par WawaSeb

Cendrillon · le 7 juillet 2009

bonsoir,

1ere étape :

ComboFix 09-07-05.04 - cendrine 07/07/2009 19:35.3 - NTFSx86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2037.965 [GMT 2:00]

Lancé depuis: c:\users\cendrine\Desktop\cendrillon.exe

Commutateurs utilisés :: c:\users\cendrine\Desktop\CFScript.txt

SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

file zipped: c:\users\cendrine\AppData\Local\cqqosmk.bat

file zipped: c:\users\cendrine\EJLRDE.bat

file zipped: c:\users\cendrine\HJVPOL.exe

file zipped: c:\users\cendrine\IHRDPR.exe

file zipped: c:\users\cendrine\jlwbft.bat

file zipped: c:\users\cendrine\LQIICT.exe

file zipped: c:\users\cendrine\ptllfx.exe

file zipped: c:\users\cendrine\USFPCF.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\program files\Live-Player

c:\program files\Live-Player\data\flv.swf

c:\program files\Live-Player\data\liveplayer.s3db

c:\program files\Live-Player\data\translation_file_live-player.xml

c:\program files\Live-Player\img\nologo.png

c:\program files\Live-Player\live-player.exe

c:\program files\Live-Player\live-player.log

c:\program files\Live-Player\SkinCrafterDll.dll

c:\program files\Live-Player\skins\live-player.skf

c:\program files\Live-Player\sqlite3.dll

c:\program files\PersonalAV

c:\program files\PersonalAV\pav.exe

c:\users\cendrine\AppData\Local\{BAD7C248-517D-4CE1-B65A-829C01BEFDB1}

c:\users\cendrine\AppData\Local\{BAD7C248-517D-4CE1-B65A-829C01BEFDB1}\1036.MST

c:\users\cendrine\AppData\Local\{BAD7C248-517D-4CE1-B65A-829C01BEFDB1}\Vodafone Mobile Connect.msi

c:\users\cendrine\AppData\Local\cqqosmk.bat

c:\users\cendrine\AppData\Local\temp

c:\users\cendrine\AppData\Local\temp\is-7N10C.tmp\KDSInterface.txt

c:\users\cendrine\AppData\Local\temp\is-9P78U.tmp\gtapi.dll

c:\users\cendrine\AppData\Local\temp\is-NJKB4.tmp\KDSInterface.txt

c:\users\cendrine\Desktop\Personal Antivirus.lnk

c:\users\cendrine\EJLRDE.bat

c:\users\cendrine\HJVPOL.exe

c:\users\cendrine\IHRDPR.exe

c:\users\cendrine\jlwbft.bat

c:\users\cendrine\LQIICT.exe

c:\users\cendrine\ptllfx.exe

c:\users\cendrine\USFPCF.exe

c:\windows\system32\msxmlm.dll

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-06-07 au 2009-07-07 ))))))))))))))))))))))))))))))))))))

.

2009-07-07 17:58 . 2009-07-07 17:58 -------- d-----w- c:\users\cendrine\AppData\Local\Temp

2009-07-07 17:14 . 2009-07-07 17:14 458 ----a-w- c:\users\cendrine\Collect_EJLRDE.bat.vir

2009-07-06 18:54 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-07-06 18:54 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-07-06 18:54 . 2009-07-06 18:54 -------- d-----w- c:\program files\Avira

2009-07-06 18:54 . 2009-07-06 18:54 -------- d-----w- c:\progra~2\Avira