Infection Malware Defense

[Arnaud2875]

Bonjour,

Alors voilà, quelqu'un dans ma famille a téléchargé Malware Defense, avec pour résultat de faire planter l'ordi après chaque démarrage. J'ai essayé de prendre le problème en main, j'ai démarré en mode sans échec, désinstallé le programme via le panneau de configuration, lancé des scans Avast et Ad-Aware et me suis débarassé de tout ce qu'ils ont trouvé (j'avais déjà réussi à me débarrasser d'un autre rogue de cette façon là).

En mode sans échec, l'ordinateur fonctionne normalement, mais après un démarrage normal il est extrêmement lent et finit par planter plus ou moins rapidement. Je suppose donc qu'il reste quelque chose quelque part à réparer, mais je ne sais pas où, peut-être pourriez-vous m'aider ?

Mon système d'exploitation est XP SP3 édition familiale, au passage.

[Apollo]

Bonjour,

 

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien :

 

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

 

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan
  
• A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
  
• Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)
  
• Fais redémarrer ton PC
  

 

NB: Pendant la procédure, si TDSSKiller fait apparaître ce message:

Hidden service detected: H8SRTd.sys

Type "delete" (without quotes) to delete it: 14:30:08:000 0256

, tape delete et valide.

 

@++

[Arnaud2875]

14:47:05:078 1108 TDSSKiller 2.1.1 Dec 20 2009 02:40:02

14:47:05:078 1108 ================================================================================

14:47:05:078 1108 SystemInfo:

 

14:47:05:078 1108 OS Version: 5.1.2600 ServicePack: 3.0

14:47:05:078 1108 Product type: Workstation

14:47:05:078 1108 ComputerName: HM-746F8B3EBB7E

14:47:05:078 1108 UserName: Dominique

14:47:05:078 1108 Windows directory: C:\WINDOWS

14:47:05:078 1108 Processor architecture: Intel x86

14:47:05:078 1108 Number of processors: 2

14:47:05:078 1108 Page size: 0x1000

14:47:05:078 1108 Boot type: Safe boot with network

14:47:05:078 1108 ================================================================================

14:47:05:078 1108 ForceUnloadDriver: NtUnloadDriver error 2

14:47:05:078 1108 ForceUnloadDriver: NtUnloadDriver error 2

14:47:05:078 1108 ForceUnloadDriver: NtUnloadDriver error 2

14:47:05:093 1108 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\Drivers\KLMD.sys) returned status 0

14:47:05:093 1108 main: Driver KLMD successfully dropped

14:47:05:093 1108 main: Driver KLMD successfully loaded

14:47:05:093 1108

Scanning Registry ...

14:47:05:109 1108 ScanServices: Searching service UACd.sys

14:47:05:109 1108 ScanServices: Open/Create key error 2

14:47:05:109 1108 ScanServices: Searching service TDSSserv.sys

14:47:05:109 1108 ScanServices: Open/Create key error 2

14:47:05:109 1108 ScanServices: Searching service gaopdxserv.sys

14:47:05:109 1108 ScanServices: Open/Create key error 2

14:47:05:109 1108 ScanServices: Searching service gxvxcserv.sys

14:47:05:109 1108 ScanServices: Open/Create key error 2

14:47:05:109 1108 ScanServices: Searching service MSIVXserv.sys

14:47:05:109 1108 ScanServices: Open/Create key error 2

14:47:05:109 1108 UnhookRegistry: Kernel module file name: C:\windows\system32\ntoskrnl.exe, base addr: 804D7000

14:47:05:109 1108 UnhookRegistry: Kernel local addr: BA0000

14:47:05:125 1108 UnhookRegistry: KeServiceDescriptorTable addr: C2B520

14:47:05:187 1108 UnhookRegistry: KiServiceTable addr: BAD8B0

14:47:05:187 1108 UnhookRegistry: NtEnumerateKey service number (local): 47

14:47:05:187 1108 UnhookRegistry: NtEnumerateKey local addr: C41E14

14:47:05:187 1108 KLMD_OpenDevice: Trying to open KLMD device

14:47:05:187 1108 UnhookRegistry: Cannot get access to KLMD, error 2

14:47:05:187 1108 ScanHiddenServices: UnhookRegistry error

14:47:05:187 1108

Scanning Kernel memory ...

14:47:05:187 1108 KLMD_OpenDevice: Trying to open KLMD device

14:47:05:187 1108 DetectCureTDL3: Cannot get access to KLMD, error 2

14:47:05:187 1108 DetectCureTDL3 failed

14:47:05:187 1108 UnloadDriver: NtUnloadDriver error 2

14:47:05:187 1108 main: Driver KLMD unload error

14:47:05:187 1108

Completed

 

Results:

14:47:05:203 1108 Infected objects in memory: 0

14:47:05:203 1108 Cured objects in memory: 0

14:47:05:203 1108 Infected objects on disk: 0

14:47:05:203 1108 Objects on disk cured on reboot: 0

14:47:05:203 1108 Objects on disk deleted on reboot: 0

14:47:05:203 1108 Registry nodes deleted on reboot: 0

14:47:05:203 1108

 

voilà, je redémarre.

[Apollo]

Tu ne sais travailler qu'en mode sans échec?

 

Ca ira pour la suite mais il vaudrait quand-même mieux mettre MBAM à jour avant de tenter de la lancer, éventuellement en mode sans échec:

 

S'il refuse de se lancer, c'est un signe et on utiliserait un plus gros calibre ^^

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Poste également un log Hijackthis stp.

 

@++

[Arnaud2875]

L'ordinateur ne tourne pas autrement qu'en mode sans échec. Avec un démarrage normal il plante systématiquement avant qu'on puisse faire quoi que ce soit. MBAM ne démarre pas, je n'arrive pas à l'installer.

Voici le log hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:21:06, on 10/01/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Safe mode with network support

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Internet Explorer\Iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\2.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/f...etup1.0.1.1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwssvc.exe

O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe

 

--

End of file - 6186 bytes

[Apollo]

Ok alors en mode sans échec:

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci > grossbaf
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur grossbaf.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

[Arnaud2875]

Je n'arrive pas à désactiver Avast. Avast me dit que la protection résidente est désactivée, mais Combofix me signale quand même qu'avast est en train de tourner.

[Apollo]

Ok,,

 

Va en mode sans échec simple, sans prise en charge du réseau et relance ComboFix (renommé).

 

Si tu as le même message d'avertissement, passe outre et continue l'analyse, il n'est pas possible que l'antivirus se charge en mode sans échec:

http://www.vista-xp.fr/forum/topic93.html

 

On installera la console de récup d'une autre manière alors, vu que ce ne sera pas possible sans connexion.

 

@++