Nouvelle infection

[ndiaye75]

Pourriez vous m' aider à supprimer les virus catégories chevall de troie.

 

1-trojan:win32/Winwebsec alerte grave

2-trojan:winNT/Bubnix.D

3- Etc...

 

Il ya bcp de trojan, l'outil de securite que j'utilise est Microsoft Security Essentials

 

Merci de vos réponses.

 

Cordialement

 

Alioune

[pear]

Bonjour,

 

 

 

Téléchargez les logiciels suivants pour les lancer l'un après l'autre.

Vous en posterez les rapports ensuite, en fin de procédures

 

Télécharger load_tdsskiller de Loup Blanc sur le Bureau

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lancer load_tdsskiller en double-cliquant dessus :
  l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
  
• Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
  
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
  (le fichier est également présent ici : C:\tdsskiller\report.txt)
  
• Redémarrer le PC
  

 

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

il y aura 'un rapport là: %SystemDrive%\rkill.log

donnant la liste de tous les processus arrêtés.

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur Bleeping Computers en Anglais:

 

Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

 

 

Ensuite:

Changelog

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Pour cela,sous Xp :

Copier/coller ,dans le bloc notes,ce qui suit ,(en vert)sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Sous Vista/7

Copier/coller ce qui suiten vertdans le bloc notes,sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers]

"DisableAutoplay"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Fichier ->Enregistrez sous..

Clic sur bureau à gauche

Dans type de fichier->Tous les fichiers

Dans Nom-> regis.reg.

Allez sur le bureau

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre

[/color]

 

 

Télécharger Usb Fix de C_XX & Chiquitine29, sur le bureau

 

Installez le.

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

 

 

Si vous êtes Sous Vista:

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

 

Lancer l'installation avec les paramètres par défault

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

 

Ensuite,

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

 

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option 3 (vaccination)

 

 

[ndiaye75]

Bonjour,

 

 

 

Téléchargez les logiciels suivants pour les lancer l'un après l'autre.

Vous en posterez les rapports ensuite, en fin de procédures

 

Télécharger load_tdsskiller de Loup Blanc sur le Bureau

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lancer load_tdsskiller en double-cliquant dessus :
  l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
  
• Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
  
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
  (le fichier est également présent ici : C:\tdsskiller\report.txt)
  
• Redémarrer le PC
  

 

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

il y aura 'un rapport là: %SystemDrive%\rkill.log

donnant la liste de tous les processus arrêtés.

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur Bleeping Computers en Anglais:

 

Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

 

 

Ensuite:

Changelog

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Pour cela,sous Xp :

Copier/coller ,dans le bloc notes,ce qui suit ,(en vert)sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Sous Vista/7

Copier/coller ce qui suiten vertdans le bloc notes,sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers]

"DisableAutoplay"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Fichier ->Enregistrez sous..

Clic sur bureau à gauche

Dans type de fichier->Tous les fichiers

Dans Nom-> regis.reg.

Allez sur le bureau

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre

[/color]

 

 

Télécharger Usb Fix de C_XX & Chiquitine29, sur le bureau

 

Installez le.

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

 

 

Si vous êtes Sous Vista:

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

 

Lancer l'installation avec les paramètres par défault

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

 

Ensuite,

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

 

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option 3 (vaccination)

 

 

 

 

Bonjour PEAS,

 

 

Je vous remercie de votre aide

 

Voici le résultat apres avoir éxécuté votre plan d'action préconisé:

 

Rapport TDSSKILLER:

 

16:41:22:085 5136 TDSS rootkit removing tool 2.2.3 Feb 4 2010 14:34:00

16:41:22:085 5136 ================================================================================

16:41:22:085 5136 SystemInfo:

 

16:41:22:085 5136 OS Version: 5.1.2600 ServicePack: 3.0

16:41:22:085 5136 Product type: Workstation

16:41:22:085 5136 ComputerName: DPAW-NDIAYE2

16:41:22:085 5136 UserName: a.ndiaye

16:41:22:085 5136 Windows directory: C:\WINDOWS

16:41:22:085 5136 Processor architecture: Intel x86

16:41:22:085 5136 Number of processors: 2

16:41:22:085 5136 Page size: 0x1000

16:41:22:085 5136 Boot type: Normal boot

16:41:22:085 5136 ================================================================================

16:41:22:085 5136 UnloadDriverW: NtUnloadDriver error 2

16:41:22:085 5136 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2

16:41:22:101 5136 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000

16:41:22:179 5136 UtilityInit: KLMD drop and load success

16:41:22:179 5136 KLMD_OpenDevice: Trying to open KLMD Device(KLMD201010)

16:41:22:179 5136 UtilityInit: KLMD open success

16:41:22:179 5136 UtilityInit: Initialize success

16:41:22:179 5136

16:41:22:179 5136 Scanning Services ...

16:41:22:179 5136 CreateRegParser: Registry parser init started

16:41:22:179 5136 DisableWow64Redirection: GetProcAddress(Wow64DisableWow64FsRedirection) error 127

16:41:22:179 5136 CreateRegParser: DisableWow64Redirection error

16:41:22:179 5136 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system

16:41:22:179 5136 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\system) returned status C0000043

16:41:22:179 5136 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

16:41:22:179 5136 wfopen_ex: Trying to KLMD file open

16:41:22:179 5136 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\system

16:41:22:179 5136 wfopen_ex: File opened ok (Flags 2)

16:41:22:179 5136 CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\system) init success: 384BF0

16:41:22:179 5136 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software

16:41:22:179 5136 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\software) returned status C0000043

16:41:22:179 5136 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

16:41:22:179 5136 wfopen_ex: Trying to KLMD file open

16:41:22:179 5136 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\software

16:41:22:179 5136 wfopen_ex: File opened ok (Flags 2)

16:41:22:179 5136 CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\software) init success: 384C58

16:41:22:179 5136 EnableWow64Redirection: GetProcAddress(Wow64RevertWow64FsRedirection) error 127

16:41:22:179 5136 CreateRegParser: EnableWow64Redirection error

16:41:22:179 5136 CreateRegParser: RegParser init completed

16:41:22:726 5136 GetAdvancedServicesInfo: Raw services enum returned 395 services

16:41:22:742 5136 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system

16:41:22:742 5136 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software

16:41:22:742 5136

16:41:22:742 5136 Scanning Kernel memory ...

16:41:22:742 5136 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk

16:41:22:742 5136 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 86D8E8F8

16:41:22:742 5136 DetectCureTDL3: KLMD_GetDeviceObjectList returned 3 DevObjects

16:41:22:742 5136

16:41:22:742 5136 DetectCureTDL3: DEVICE_OBJECT: 86D7E030

16:41:22:742 5136 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86D7E030

16:41:22:742 5136 KLMD_ReadMem: Trying to ReadMemory 0x86D7E030[0x38]

16:41:22:742 5136 DetectCureTDL3: DRIVER_OBJECT: 86D8E8F8

16:41:22:742 5136 KLMD_ReadMem: Trying to ReadMemory 0x86D8E8F8[0xA8]

16:41:22:742 5136 KLMD_ReadMem: Trying to ReadMemory 0xE17783C0[0x18]

16:41:22:742 5136 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk

16:41:22:742 5136 DetectCureTDL3: IrpHandler (0) addr: F74F6BB0

16:41:22:742 5136 DetectCureTDL3: IrpHandler (1) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (2) addr: F74F6BB0

16:41:22:742 5136 DetectCureTDL3: IrpHandler (3) addr: F74F0D1F

16:41:22:742 5136 DetectCureTDL3: IrpHandler (4) addr: F74F0D1F

16:41:22:742 5136 DetectCureTDL3: IrpHandler (5) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (6) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (7) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler ( addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (9) addr: F74F12E2

16:41:22:742 5136 DetectCureTDL3: IrpHandler (10) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (11) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (12) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (13) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (14) addr: F74F13BB

16:41:22:742 5136 DetectCureTDL3: IrpHandler (15) addr: F74F4F28

16:41:22:742 5136 DetectCureTDL3: IrpHandler (16) addr: F74F12E2

16:41:22:742 5136 DetectCureTDL3: IrpHandler (17) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (18) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (19) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (20) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (21) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (22) addr: F74F2C82

16:41:22:742 5136 DetectCureTDL3: IrpHandler (23) addr: F74F799E

16:41:22:742 5136 DetectCureTDL3: IrpHandler (24) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (25) addr: 804F4562

16:41:22:742 5136 DetectCureTDL3: IrpHandler (26) addr: 804F4562

16:41:22:742 5136 TDL3_FileDetect: Processing driver: Disk

16:41:22:742 5136 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys

16:41:22:742 5136 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys

16:41:22:773 5136 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean

16:41:22:773 5136

16:41:22:773 5136 DetectCureTDL3: DEVICE_OBJECT: 86D53C68

16:41:22:773 5136 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86D53C68

16:41:22:773 5136 KLMD_ReadMem: Trying to ReadMemory 0x86D53C68[0x38]

16:41:22:773 5136 DetectCureTDL3: DRIVER_OBJECT: 86D8E8F8

16:41:22:773 5136 KLMD_ReadMem: Trying to ReadMemory 0x86D8E8F8[0xA8]

16:41:22:773 5136 KLMD_ReadMem: Trying to ReadMemory 0xE17783C0[0x18]

16:41:22:773 5136 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk

16:41:22:773 5136 DetectCureTDL3: IrpHandler (0) addr: F74F6BB0

16:41:22:773 5136 DetectCureTDL3: IrpHandler (1) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (2) addr: F74F6BB0

16:41:22:773 5136 DetectCureTDL3: IrpHandler (3) addr: F74F0D1F

16:41:22:773 5136 DetectCureTDL3: IrpHandler (4) addr: F74F0D1F

16:41:22:773 5136 DetectCureTDL3: IrpHandler (5) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (6) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (7) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler ( addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (9) addr: F74F12E2

16:41:22:773 5136 DetectCureTDL3: IrpHandler (10) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (11) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (12) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (13) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (14) addr: F74F13BB

16:41:22:773 5136 DetectCureTDL3: IrpHandler (15) addr: F74F4F28

16:41:22:773 5136 DetectCureTDL3: IrpHandler (16) addr: F74F12E2

16:41:22:773 5136 DetectCureTDL3: IrpHandler (17) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (18) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (19) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (20) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (21) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (22) addr: F74F2C82

16:41:22:773 5136 DetectCureTDL3: IrpHandler (23) addr: F74F799E

16:41:22:773 5136 DetectCureTDL3: IrpHandler (24) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (25) addr: 804F4562

16:41:22:773 5136 DetectCureTDL3: IrpHandler (26) addr: 804F4562

16:41:22:773 5136 TDL3_FileDetect: Processing driver: Disk

16:41:22:773 5136 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys

16:41:22:773 5136 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys

16:41:22:789 5136 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean

16:41:22:789 5136

16:41:22:789 5136 DetectCureTDL3: DEVICE_OBJECT: 86CB3AB8

16:41:22:789 5136 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86CB3AB8

16:41:22:789 5136 DetectCureTDL3: DEVICE_OBJECT: 86CB2940

16:41:22:789 5136 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86CB2940

16:41:22:789 5136 KLMD_ReadMem: Trying to ReadMemory 0x86CB2940[0x38]

16:41:22:789 5136 DetectCureTDL3: DRIVER_OBJECT: 86CBAC28

16:41:22:789 5136 KLMD_ReadMem: Trying to ReadMemory 0x86CBAC28[0xA8]

16:41:22:789 5136 KLMD_ReadMem: Trying to ReadMemory 0xE17B75A8[0x1A]

16:41:22:789 5136 DetectCureTDL3: DRIVER_OBJECT name: \Driver\atapi, Driver Name: atapi

16:41:22:789 5136 DetectCureTDL3: IrpHandler (0) addr: F72FE6F2

16:41:22:789 5136 DetectCureTDL3: IrpHandler (1) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (2) addr: F72FE6F2

16:41:22:789 5136 DetectCureTDL3: IrpHandler (3) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (4) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (5) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (6) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (7) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler ( addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (9) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (10) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (11) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (12) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (13) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (14) addr: F72FE712

16:41:22:789 5136 DetectCureTDL3: IrpHandler (15) addr: F72FA852

16:41:22:789 5136 DetectCureTDL3: IrpHandler (16) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (17) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (18) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (19) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (20) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (21) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (22) addr: F72FE73C

16:41:22:789 5136 DetectCureTDL3: IrpHandler (23) addr: F7305336

16:41:22:789 5136 DetectCureTDL3: IrpHandler (24) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (25) addr: 804F4562

16:41:22:789 5136 DetectCureTDL3: IrpHandler (26) addr: 804F4562

16:41:22:789 5136 KLMD_ReadMem: Trying to ReadMemory 0xF72FB864[0x400]

16:41:22:789 5136 TDL3_StartIoHookDetect: CheckParameters: 0, 00000000, 0

16:41:22:789 5136 TDL3_FileDetect: Processing driver: atapi

16:41:22:789 5136 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\atapi.sys

16:41:22:789 5136 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\atapi.sys

16:41:22:820 5136 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: Clean

16:41:22:820 5136

16:41:22:820 5136 Completed

16:41:22:820 5136

16:41:22:820 5136 Results:

16:41:22:820 5136 Memory objects infected / cured / cured on reboot: 0 / 0 / 0

16:41:22:820 5136 Registry objects infected / cured / cured on reboot: 0 / 0 / 0

16:41:22:820 5136 File objects infected / cured / cured on reboot: 0 / 0 / 0

16:41:22:820 5136

16:41:22:820 5136 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000

16:41:22:820 5136 UtilityDeinit: KLMD(ARK) unloaded successfully

 

 

 

Rapport RKILL

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as a.ndiaye on 15/02/2010 at 16:58:56.

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Documents and Settings\a.ndiaye\Bureau\Virus\rkill.com

 

 

Rkill completed on 15/02/2010 at 16:59:03.

 

 

 

Rapport MBAM

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3743

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.11

 

15/02/2010 23:48:06

mbam-log-2010-02-15 (23-48-06).txt

 

Type de recherche: Examen rapide

Eléments examinés: 136149

Temps écoulé: 8 minute(s), 19 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 4

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\45215926 (Rogue.Multiple) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Documents and Settings\All Users\Application Data\45215926 (Rogue.Multiple) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\WINDOWS\Temp\~TM62.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\~TM63.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\a.ndiaye\Local Settings\Temporary Internet Files\Content.IE5\VSRPBI0R\load[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Documents and Settings\a.ndiaye\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

 

 

 

 

 

J attends le résulta de tes analyses, merci encore une nouvelle fois.

 

très Cordialement

 

Alioune

[pear]

Bonjour,

 

Pour répondre,et afin d'éviter de citer le message précédent,utilisez le bouton Repondre plus bas, entre Flash et Nouveau

 

Comment va le pc ?

[ndiaye75]

j'ai lancé mon antivirus MIcrosoft secure essential et il n a plus detecter de virus.

Je supposos donc ke c 'est résolu l'incident?

Ou ya encore un nettoyage à faire?

 

Cordialement

Alioune

[pear]

Bonsoir,

Ca parait bon.

Il ne vous servirait à rien de garder des outils de désinfection qui sont constamment mis à jours et seraient obsolètes en quelques jours.

 

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner2 de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

 

L'outil supprimera sans que vous ayez à intervenir.