Comment puis-je éradiquer Vundo/Gen qui a infecté en particulier le fi

[Papillon_des_neiges]

Bonjour,

 

Tout d'abord, voici ma configuration :

- Système d'exploitation : Vista Edition Familiale Premium - Version SP2

- Antivirus : Avira Antivir Personal

- Firewall : ZoneAlarm

- Navigateur Internet : Mozilla Firefox

 

Et voici les détails de mon problème : je suis infecté depuis maintenant trois semaines par Vundo/Gen et je n'arrive pas à en venir à bout. Le principal fichier infecté est C:\Windows\System32\tdlcmd.dll. Antivir n'arrête pas de le détecter (parfois toutes les 5 secondes) mais aucune de mes démarches suivies à la suite de lecture de forum sur le sujet n'a marché, alors je m'en remet à vous.

 

Merci par avance de tout ce que vous entreprendrez pour m'aider.

[Papillon_des_neiges]

Je vous joins mon rapport d'hijackthis, exécuté à l'instant :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:54:42, on 19/12/2009

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18865)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Windows\ehome\ehtray.exe

C:\Windows\ehome\ehmsas.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\explorer.exe

C:\Program Files\Windows Mail\WinMail.exe

C:\Users\SaMi\Desktop\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Program Files\Xi\NetXfer\NXIEHelper.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Xi\NetXfer\NXToolBar.dll

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [uSB2Check] RUNDLL32.EXE "C:\Windows\system32\PCLECoInst.dll",CheckUSBController

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://D:\Free Download Manager\dlall.htm

O8 - Extra context menu item: Tout télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddList.html

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://D:\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddLink.html

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://D:\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://D:\Free Download Manager\dlfvideo.htm

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\program files\hummingbird\connectivity\11.00\exceed\humshmx.dll

O10 - Unknown file in Winsock LSP: c:\program files\hummingbird\connectivity\11.00\exceed\humshmx.dll

O10 - Unknown file in Winsock LSP: c:\program files\hummingbird\connectivity\11.00\exceed\humshmx.dll

O15 - Trusted Zone: http://www.tellmemorecampus.com

O15 - Trusted Zone: http://www3.tellmemorecampus.com

O15 - Trusted Zone: http://www.tellmemorecampus.com (HKLM)

O15 - Trusted Zone: http://www3.tellmemorecampus.com (HKLM)

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe

O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Program Files\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: Service Google Update (gupdate1c9d6f5d4e428f5) (gupdate1c9d6f5d4e428f5) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\Windows\system32\drivers\pclepci.sys

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

 

--

End of file - 8546 bytes

[Papillon_des_neiges]

Oups, le nom du cheval de troie est en fait TR/Vundo.Gen

[pear]

Bonjour,

 

Télécharger load_tdsskiller de Loup Blanc sur le Bureau

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lancer load_tdsskiller en double-cliquant dessus :
  l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
  
• Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
  
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
  (le fichier est également présent ici : C:\tdsskiller\report.txt)
  
• Redémarrer le PC
  

 

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur Bleeping Computers en Anglais:

 

Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

Modifié le 20 décembre 2009 par pear

[Papillon_des_neiges]

Merci de me prendre en charge. Voici le copier-coller du "report.txt" :

 

 

Nom de l'hôte: SAMI

Nom du système d'exploitation: Microsoft® Windows Vista™ Édition Familiale Premium

Version du système: 6.0.6002 Service Pack 2 version 6002

Fabricant du système d'exploitation: Microsoft Corporation

Configuration du système d'exploitation: Station de travail autonome

Type de version du système d'exploitation: Multiprocessor Free

Propriétaire enregistré: SaMi

Organisation enregistrée:

Identificateur de produit: 89578-OEM-7216714-99956

Date d'installation originale: 13/08/2007, 20:22:52

Heure de démarrage du système: 19/12/2009, 17:06:05

Fabricant du système: Acer

Modèle du système: Aspire 9410

Type du système: X86-based PC

Processeur(s): 1 processeur(s) installé(s).

[01] : x86 Family 6 Model 14 Stepping 12 GenuineIntel ~1733 MHz

Version du BIOS: Phoenix Technologies LTD V1.18 , 25/12/2006

Répertoire Windows: C:\Windows

Répertoire système: C:\Windows\system32

Périphérique d'amorçage: \Device\HarddiskVolume2

Option régionale du système: fr;Français (France)

Paramètres régionaux d'entrée: fr;Français (France)

Fuseau horaire: (GMT+01:00) Bruxelles, Copenhague, Madrid, Paris

Mémoire physique totale: 2 045 Mo

Mémoire physique disponible: 826 Mo

Fichier d'échange : taille maximale: 4 330 Mo

Fichier d'échange : disponible: 2 597 Mo

Fichier d'échange : en cours d'utilisation: 1 733 Mo

Emplacements des fichiers d'échange: C:\pagefile.sys

Domaine: WORKGROUP

Serveur d'ouverture de session: \\SAMI

Correctif(s): 191 Corrections installées.

[01]: {8B2F38F1-6D3C-4D87-AD2F-954AF6942800}

[02]: KB937286

[03]: KB971513

[04]: KB971512

[05]: KB944036

[06]: 944036

[07]: KB960362

[08]: KB971514

[09]: KB925902

[10]: KB929399

[11]: KB929547

[12]: KB929735

[13]: KB930178

[14]: KB930857

[15]: KB931099

[16]: KB931573

[17]: KB932471

[18]: KB933579

[19]: KB933729

[20]: KB935652

[21]: KB936021

[22]: KB936357

[23]: KB936782

[24]: KB936825

[25]: KB937077

[26]: KB938127

[27]: KB939159

[28]: KB941202

[29]: KB941229

[30]: KB941568

[31]: KB941569

[32]: KB941600

[33]: KB941644

[34]: KB943055

[35]: KB943078

[36]: KB945553

[37]: KB946026

[38]: KB946456

[39]: KB947172

[40]: KB905866

[41]: KB928089

[42]: KB929123

[43]: KB929916

[44]: KB931213

[45]: KB931836

[46]: KB932246

[47]: KB933360

[48]: KB933928

[49]: KB935280

[50]: KB935807

[51]: KB936824

[52]: KB937143

[53]: KB937287

[54]: KB938123

[55]: KB938194

[56]: KB938371

[57]: KB938464

[58]: KB938979

[59]: KB939653

[60]: KB941649

[61]: KB941651

[62]: KB941693

[63]: KB942615

[64]: KB942624

[65]: KB942763

[66]: KB943302

[67]: KB943411

[68]: KB943899

[69]: KB944533

[70]: KB946041

[71]: KB947562

[72]: KB947864

[73]: KB948590

[74]: KB948609

[75]: KB948610

[76]: KB948881

[77]: KB949246

[78]: KB949247

[79]: KB950124

[80]: KB950125

[81]: KB950126

[82]: KB950582

[83]: KB950759

[84]: KB950760

[85]: KB950762

[86]: KB950974

[87]: KB951066

[88]: KB951072

[89]: KB951376

[90]: KB951618

[91]: KB951698

[92]: KB951978

[93]: KB952004

[94]: KB952069

[95]: KB952287

[96]: KB952709

[97]: KB953155

[98]: KB953733

[99]: KB953838

[100]: KB953839

[101]: KB954154

[102]: KB954155

[103]: KB954211

[104]: KB954366

[105]: KB954459

[106]: KB954708

[107]: KB955020

[108]: KB955069

[109]: KB955302

[110]: KB955430

[111]: KB955519

[112]: KB955839

[113]: KB956390

[114]: KB956391

[115]: KB956572

[116]: KB956744

[117]: KB956802

[118]: KB956841

[119]: KB957095

[120]: KB957097

[121]: KB957200

[122]: KB957321

[123]: KB957388

[124]: KB958215

[125]: KB958481

[126]: KB958483

[127]: KB958623

[128]: KB958624

[129]: KB958644

[130]: KB958687

[131]: KB958690

[132]: KB959108

[133]: KB959130

[134]: KB959426

[135]: KB959772

[136]: KB960225

[137]: KB960544

[138]: KB960714

[139]: KB960715

[140]: KB960803

[141]: KB961260

[142]: KB961371

[143]: KB961501

[144]: KB963027

[145]: KB967632

[146]: KB967723

[147]: KB968389

[148]: KB968537

[149]: KB968816

[150]: KB969897

[151]: KB969897

[152]: KB969898

[153]: KB969947

[154]: KB970238

[155]: KB970430

[156]: KB970653

[157]: KB970710

[158]: KB971180

[159]: KB971486

[160]: KB971557

[161]: KB971657

[162]: KB971737

[163]: KB971930

[164]: KB971961

[165]: KB972036

[166]: KB972145

[167]: KB972260

[168]: KB972636

[169]: KB973346

[170]: KB973507

[171]: KB973525

[172]: KB973540

[173]: KB973565

[174]: KB973687

[175]: KB973768

[176]: KB973874

[177]: KB973917

[178]: KB974306

[179]: KB974318

[180]: KB974455

[181]: KB974470

[182]: KB974571

[183]: KB975364

[184]: KB975467

[185]: KB975517

[186]: KB976098

[187]: KB976325

[188]: KB976470

[189]: KB976749

[190]: KB948465

[191]: 940157

Carte(s) réseau: 2 carte(s) réseau installée(s).

[01]: Carte réseau Realtek RTL8168/8111 Family PCI-E Gigabit Ethernet (NDIS 6.0)

Nom de la connexion : Connexion au réseau local

État : Support déconnecté

[02]: Carte réseau Broadcom 802.11g

Nom de la connexion : Connexion réseau sans fil

DHCP activé : Oui

Serveur DHCP : 192.168.1.1

Adresse(s) IP

[01]: 192.168.1.24

16:21:53:696 4732 ForceUnloadDriver: NtUnloadDriver error 2

16:21:53:709 4732 ForceUnloadDriver: NtUnloadDriver error 2

16:21:53:713 4732 ForceUnloadDriver: NtUnloadDriver error 2

16:21:53:743 4732 main: Driver KLMD successfully dropped

16:22:1:548 4732 main: Driver KLMD successfully loaded

16:22:1:548 4732

Scanning Registry ...

16:22:1:561 4732 ScanServices: Searching service UACd.sys

16:22:1:562 4732 ScanServices: Open/Create key error 2

16:22:1:562 4732 ScanServices: Searching service TDSSserv.sys

16:22:1:562 4732 ScanServices: Open/Create key error 2

16:22:1:562 4732 ScanServices: Searching service gaopdxserv.sys

16:22:1:562 4732 ScanServices: Open/Create key error 2

16:22:1:562 4732 ScanServices: Searching service gxvxcserv.sys

16:22:1:562 4732 ScanServices: Open/Create key error 2

16:22:1:562 4732 ScanServices: Searching service MSIVXserv.sys

16:22:1:562 4732 ScanServices: Open/Create key error 2

16:22:1:567 4732 UnhookRegistry: Kernel module file name: C:\Windows\system32\ntkrnlpa.exe, base addr: 8500C000

16:22:1:703 4732 UnhookRegistry: Kernel local addr: 1E40000

16:22:1:704 4732 UnhookRegistry: KeServiceDescriptorTable addr: 1F77B00

16:22:1:954 4732 UnhookRegistry: KiServiceTable addr: 1EEC82C

16:22:1:954 4732 UnhookRegistry: NtEnumerateKey service number (local): 85

16:22:1:954 4732 UnhookRegistry: NtEnumerateKey local addr: 203D0BA

16:22:1:963 4732 KLMD_OpenDevice: Trying to open KLMD device

16:22:1:963 4732 KLMD_GetSystemRoutineAddressA: Trying to get system routine address ZwEnumerateKey

16:22:1:963 4732 KLMD_GetSystemRoutineAddressW: Trying to get system routine address ZwEnumerateKey

16:22:1:963 4732 KLMD_ReadMem: Trying to ReadMemory 0x85054D19[0x4]

16:22:1:963 4732 UnhookRegistry: NtEnumerateKey service number (kernel): 85

16:22:1:963 4732 KLMD_ReadMem: Trying to ReadMemory 0x850B8A40[0x4]

16:22:1:964 4732 UnhookRegistry: NtEnumerateKey real addr: 852090BA

16:22:1:964 4732 UnhookRegistry: NtEnumerateKey calc addr: 852090BA

16:22:1:964 4732 UnhookRegistry: No SDT hooks found on NtEnumerateKey

16:22:1:964 4732 KLMD_ReadMem: Trying to ReadMemory 0x852090BA[0xA]

16:22:1:964 4732 UnhookRegistry: No splicing found on NtEnumerateKey

16:22:1:969 4732

Scanning Kernel memory ...

16:22:1:969 4732 KLMD_OpenDevice: Trying to open KLMD device

16:22:1:969 4732 KLMD_GetSystemObjectAddressByNameA: Trying to get system object address by name \Driver\Disk

16:22:1:969 4732 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk

16:22:1:969 4732 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 8895EA48

16:22:1:969 4732 DetectCureTDL3: KLMD_GetDeviceObjectList returned 1 DevObjects

16:22:1:969 4732 DetectCureTDL3: 0 Curr stack PDEVICE_OBJECT: 88A61AC8

16:22:1:969 4732 KLMD_GetLowerDeviceObject: Trying to get lower device object for 88A61AC8

16:22:1:969 4732 DetectCureTDL3: 0 Curr stack PDEVICE_OBJECT: 88238918

16:22:1:969 4732 KLMD_GetLowerDeviceObject: Trying to get lower device object for 88238918

16:22:1:969 4732 DetectCureTDL3: 0 Curr stack PDEVICE_OBJECT: 88236030

16:22:1:969 4732 KLMD_GetLowerDeviceObject: Trying to get lower device object for 88236030

16:22:1:969 4732 KLMD_ReadMem: Trying to ReadMemory 0x88236030[0x38]

16:22:1:969 4732 DetectCureTDL3: DRIVER_OBJECT addr: 88227030

16:22:1:970 4732 KLMD_ReadMem: Trying to ReadMemory 0x88227030[0xA8]

16:22:1:970 4732 KLMD_ReadMem: Trying to ReadMemory 0x88202708[0x208]

16:22:1:970 4732 DetectCureTDL3: DRIVER_OBJECT name: \Driver\atapi, Driver Name: atapi

16:22:1:970 4732 DetectCureTDL3: IrpHandler (0) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (1) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (2) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (3) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (4) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (5) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (6) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (7) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler ( addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (9) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (10) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (11) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (12) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (13) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (14) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (15) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (16) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (17) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (18) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (19) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (20) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (21) addr: 857DC9B0

16:22:1:970 4732 DetectCureTDL3: IrpHandler (22) addr: 857DC9B0

16:22:1:971 4732 DetectCureTDL3: IrpHandler (23) addr: 857DC9B0

16:22:1:971 4732 DetectCureTDL3: IrpHandler (24) addr: 857DC9B0

16:22:1:971 4732 DetectCureTDL3: IrpHandler (25) addr: 857DC9B0

16:22:1:971 4732 DetectCureTDL3: IrpHandler (26) addr: 857DC9B0

16:22:1:971 4732 DetectCureTDL3: All IRP handlers pointed to one addr: 857DC9B0

16:22:1:971 4732 KLMD_ReadMem: Trying to ReadMemory 0x857DC9B0[0x400]

16:22:1:971 4732 TDL3_IrpHookDetect: TDL3 Stub signature found, trying to get hook true addr

16:22:1:971 4732 KLMD_ReadMem: Trying to ReadMemory 0xFFDF0308[0x4]

16:22:1:971 4732 KLMD_ReadMem: Trying to ReadMemory 0x8822788C[0x4]

16:22:1:971 4732 TDL3_IrpHookDetect: New IrpHandler addr: 89CB3F61

16:22:1:971 4732 KLMD_ReadMem: Trying to ReadMemory 0x89CB3F61[0x400]

16:22:1:971 4732 TDL3_IrpHookDetect: CheckParameters: 10, FFDF0308, 510, 134, 3, 120

16:22:1:971 4732 Driver "atapi" Irp handler infected by TDSS rootkit ... 16:22:1:971 4732 KLMD_WriteMem: Trying to WriteMemory 0x89CB3FE7[0xD]

16:22:1:971 4732 cured

16:22:1:972 4732 KLMD_ReadMem: Trying to ReadMemory 0x0[0x400]

16:22:1:972 4732 KLMD_ReadMem: DeviceIoControl error 1

16:22:1:972 4732 TDL3_StartIoHookDetect: Unable to get StartIo handler code

16:22:1:972 4732 TDL3_FileDetect: Processing driver: atapi

16:22:1:972 4732 TDL3_FileDetect: Parameters: C:\Windows\system32\drivers\atapi.sys, C:\Windows\system32\Drivers\tsk_atapi.sys, SYSTEM\CurrentControlSet\Services\atapi, system32\Drivers\tsk_atapi.sys

16:22:1:972 4732 TDL3_FileDetect: Processing driver file: C:\Windows\system32\drivers\atapi.sys

16:22:1:972 4732 KLMD_CreateFileW: Trying to open file C:\Windows\system32\drivers\atapi.sys

16:22:2:32 4732 File C:\Windows\system32\drivers\atapi.sys infected by TDSS rootkit ... 16:22:2:33 4732 TDL3_FileCure: Processing driver file: C:\Windows\system32\drivers\atapi.sys

16:22:2:33 4732 KLMD_CreateFileW: Trying to open file C:\Windows\system32\drivers\atapi.sys

16:22:2:50 4732 TDL3_FileCure: Dumping cured buffer to file C:\Windows\system32\Drivers\tsk_atapi.sys

16:22:2:240 4732 TDL3_FileCure: Image path (system32\Drivers\tsk_atapi.sys) was set for service (SYSTEM\CurrentControlSet\Services\atapi)

16:22:2:240 4732 TDL3_FileCure: KLMD_PendCopyFileW (C:\Windows\system32\Drivers\tsk_atapi.sys, C:\Windows\system32\drivers\atapi.sys) success

16:22:2:240 4732 will be cured on next reboot

16:22:2:259 4732

Completed

 

Results:

16:22:2:259 4732 Infected objects in memory: 1

16:22:2:259 4732 Cured objects in memory: 1

16:22:2:260 4732 Infected objects on disk: 1

16:22:2:260 4732 Objects on disk cured on reboot: 1

16:22:2:260 4732 Objects on disk deleted on reboot: 0

16:22:2:260 4732 Registry nodes deleted on reboot: 0

16:22:2:260 4732

[Papillon_des_neiges]

Remarque 1 : Pour MBAM, je ne peux effectuer de mise à jour ! pourtant, je l'avais déjà installer (puis redésinstaller) et il se mettait très bien à jour.

Remarque 2 : il n'y a plus antivir et zonealarm qui se lancent au démarrage !

[Papillon_des_neiges]

Voici un imprim écran du problème de MAJ : http://www.cijoint.fr/cjlink.php?file=cj20.../cijsMa0HBy.jpg

[Papillon_des_neiges]

Il semble que je sois très infecté, je ne peux même pas faire de point de restauration système : http://www.cijoint.fr/cjlink.php?file=cj20.../cijbo89X7A.jpg

[Papillon_des_neiges]

Voici le problème d'antivir, dont le service ne veut pas se lancer : http://www.cijoint.fr/cjlink.php?file=cj20.../cijknENzK5.jpg

[pear]

Ne vous inquiétez pas de vos protections. Elles redeviendront fonctionnelles après la désinfection.

 

Aviez vous bien redémarré le pc après le scan tdssKiller?

Sinon, il faut recommencer.

 

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

 

Vous devriez avoir une fenêtre vous avertissant que vous téléchargez Combofix depuis un site non-autorisé.

N'en tenez pas compte

 

Lancez Combofix en double cliquant

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mis

 

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur Bleeping Computers en Anglais:

 

Sur PCA,En Français

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Connecter tous les disques amovibles (disque dur externe, clé USB…).

*Double cliquer sur combofix.exe pour le lancer.

 

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

 

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur,(sous Vista désactivez UAC) lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:

Patientez au moins 30 minutes pendant l'analyse. Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Modifié le 20 décembre 2009 par pear