ordi infecté

brunflarbe · le 29 décembre 2009

VOILA C FAIT....

========== REGISTRY ==========

========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 27745625 bytes

->Java cache emptied: 9904774 bytes

->FireFox cache emptied: 34264767 bytes

->Google Chrome cache emptied: 182265510 bytes

User: All Users

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 335603 bytes

RecycleBin emptied: 2692245 bytes

Total Files Cleaned = 245,00 mb

OTM by OldTimer - Version 3.1.4.0 log created on 12292009_195516

Files moved on Reboot...

Registry entries deleted on Reboot...

Apollo · le 29 décembre 2009

On dirait que tu n'as pas saisi la totalité du code mais ce n'est pas grave ici.

As-tu encore ces alertes d'antivir?

++

Modifié le 29 décembre 2009 par Apollo

brunflarbe · le 29 décembre 2009

oui ca continu

derniere recu a 20:10

Dans le fichier 'C:\Windows\Temp\qstm.tmp\svchost.exe'

un virus ou un programme indésirable 'TR/Hijacker.Gen' [trojan] a été détecté.

Action exécutée : Refuser l'accès

Apollo · le 29 décembre 2009

Comprends pas, MBAM et ESET sont muets.

On va employer un plus gros calibre alors.

Si lui ne trouve rien, il s'agit sûrement de faux-positifs d'antivir mais je n'oserais pas l'affirmer.

Télécharge Dr.Web CureIt sur ton Bureau:

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Faire l'analyse en mode sans échec

http://www.vista-xp.fr/forum/topic93.html

Double clique launch.exe et ensuite clique sur Analyse;
Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction"; vous pouvez quitter en cliquant le "X"
Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
De retour à la fenêtre principale : clique pour activer "Analyse complète";
Clique le bouton avec flèche verte sur la droite, et le scan débutera.
Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés :
Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv Ouvrir le fichier avec le bloc-notes puis sauvegarder ce fichier.
Ferme Dr.Web Cureit
Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

@++

brunflarbe · le 29 décembre 2009

voila le rapport

Processus en mémoire: C:\Windows\system32\svchost.exe:748 BackDoor.Tdss.565 Eradiqué.

Process.exe C:\Windows\system32 Tool.Prockill Quarantaine.

nvstor.sys C:\Windows\system32\drivers BackDoor.Tdss.1365 Désinfecté.

nvstor.sys c:\windows\system32\drivers BackDoor.Tdss.1365 Désinfecté.

SmitfraudFix.exe\SmitfraudFix\Process.exe C:\Documents and Settings\Administrateur\Desktop\SmitfraudFix.exe Tool.Prockill

SmitfraudFix.exe\SmitfraudFix\restart.exe C:\Documents and Settings\Administrateur\Desktop\SmitfraudFix.exe Tool.ShutDown.14

SmitfraudFix.exe C:\Documents and Settings\Administrateur\Desktop L'archive contient des éléments infectés Quarantaine.

UsbFix.exe\Tools\Kill_P.exe C:\Documents and Settings\Administrateur\Desktop\UsbFix.exe Tool.Prockill

UsbFix.exe C:\Documents and Settings\Administrateur\Desktop L'archive contient des éléments infectés Quarantaine.

SmitfraudFix.exe\SmitfraudFix\Process.exe C:\Documents and Settings\Administrateur\DoctorWeb\Quarantine\SmitfraudFix.exe Tool.Prockill

SmitfraudFix.exe\SmitfraudFix\restart.exe C:\Documents and Settings\Administrateur\DoctorWeb\Quarantine\SmitfraudFix.exe Tool.ShutDown.14

SmitfraudFix.exe C:\Documents and Settings\Administrateur\DoctorWeb\Quarantine L'archive contient des éléments infectés Quarantaine.

UsbFix.exe\Tools\Kill_P.exe C:\Documents and Settings\Administrateur\DoctorWeb\Quarantine\UsbFix.exe Tool.Prockill

UsbFix.exe C:\Documents and Settings\Administrateur\DoctorWeb\Quarantine L'archive contient des éléments infectés Quarantaine.

keygen.exe C:\Documents and Settings\Administrateur\Downloads\TUNE UP\TuneUp.2010.FR\tune up utilities 2010 français\Keygen Trojan.Packed.654 Supprimé.

4b052dd6.qua/data001\Install.exe C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b052dd6.qua/data001 Trojan.MulDrop.33367

data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED L'archive contient des éléments infectés

4b052dd6.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b3285ee.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b3285ee.qua Win32.HLLM.Beagle.282

4b3285ee.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a441b.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a441b.qua Trojan.NtRootKit.4965

4b6a441b.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a4420.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a4420.qua Trojan.NtRootKit.4965

4b6a4420.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a455e.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a455e.qua Trojan.NtRootKit.4965

4b6a455e.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a47d9.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a47d9.qua Trojan.NtRootKit.4965

4b6a47d9.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a47dd.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a47dd.qua Trojan.NtRootKit.4965

4b6a47dd.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a4ba4.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a4ba4.qua Trojan.NtRootKit.4965

4b6a4ba4.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a50a1.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a50a1.qua Trojan.NtRootKit.4965

4b6a50a1.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a50a3.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a50a3.qua Trojan.NtRootKit.4965

4b6a50a3.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a55df.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a55df.qua Trojan.NtRootKit.4965

4b6a55df.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a55e2.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a55e2.qua Trojan.NtRootKit.4965

4b6a55e2.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a5718.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a5718.qua Trojan.NtRootKit.4965

4b6a5718.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a571a.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a571a.qua Trojan.NtRootKit.4965

4b6a571a.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a5853.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a5853.qua Trojan.NtRootKit.4965

4b6a5853.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b6a5855.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b6a5855.qua Trojan.NtRootKit.4965

4b6a5855.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b8a3adc.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b8a3adc.qua Trojan.Packed.706

4b8a3adc.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4b8d3b21.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4b8d3b21.qua Trojan.Packed.706

4b8d3b21.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

4cb7f795.qua\data001 C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4cb7f795.qua Trojan.Packed.706

4cb7f795.qua C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED Conteneur comporte des objets infectés Quarantaine.

RegUBP2b-Administrateur.reg C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2 Trojan.StartPage.1505 Supprimé.

Kill_P.exe C:\UsbFix\Tools Tool.Prockill Quarantaine.

Process.exe C:\Windows\System32 Tool.Prockill Chemin invalide pour le fichier

nvstor.sys C:\Windows\System32\drivers BackDoor.Tdss.1365 Désinfecté.

Apollo · le 29 décembre 2009

Pas mal

On va voir s'il reste du TDSS...

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien :

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan
A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)
Fais redémarrer ton PC

@++

brunflarbe · le 30 décembre 2009

VOILA C FAIT

00:57:00:193 3912 TDSSKiller 2.1.1 Dec 20 2009 02:40:02

00:57:00:193 3912 ================================================================================

00:57:00:193 3912 SystemInfo:

00:57:00:193 3912 OS Version: 6.0.6001 ServicePack: 1.0

00:57:00:193 3912 Product type: Workstation

00:57:00:193 3912 ComputerName: LHSWEET-VY4PEH2

00:57:00:193 3912 UserName: Administrateur

00:57:00:193 3912 Windows directory: C:\Windows

00:57:00:193 3912 Processor architecture: Intel x86

00:57:00:193 3912 Number of processors: 2

00:57:00:193 3912 Page size: 0x1000

00:57:00:193 3912 Boot type: Normal boot

00:57:00:193 3912 ================================================================================

00:57:00:193 3912 ForceUnloadDriver: NtUnloadDriver error 2

00:57:00:209 3912 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\Drivers\KLMD.sys) returned status 0

00:57:00:209 3912 main: Driver KLMD successfully dropped

00:57:00:271 3912 main: Driver KLMD successfully loaded

00:57:00:271 3912

Scanning Registry ...

00:57:00:271 3912 ScanServices: Searching service UACd.sys