RESOLU - éradication très difficile, à l'aide

[walzouk]

ci joint les rapports :

 

1/ mbam

2/ message après reboot

3/ seaf

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4068

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

05/05/2010 15:45:15

mbam-log-2010-05-05 (15-45-15).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 135072

Temps écoulé: 40 minute(s), 6 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> Delete on reboot.

 

 

Message d'erreur après reboot :

c:windows/temp/bn2.tmp

contient le cheval de troie TR/Gendal.64512.B

 

 

 

1. ========================= SEAF 1.0.0.7 - C_XX

2.

3. Commencé à: 16:18:42 le 05/05/2010

4.

5. Valeur(s) recherchée(s):

6.

7. ndis.sys

8.

9. (!) --- Calcul du Hash "MD5"

10. (!) --- Informations supplémentaires

11. (!) --- Recherche registre

12.

13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======

14.

15. "c:\WINDOWS\system32\drivers\ndis.sys" [ ----A---- | 211072 ]

16. TC: 05/08/2004,12:00:00 | TM: 28/04/2010,22:48:57 | DA: 05/05/2010,12:44:11

17. MD5: DENIED

18.

19.

20.

21. =========================

22.

23. "c:\WINDOWS\system32\dllcache\ndis.sys" [ ----AC---- | 211072 ]

24. TC: 05/08/2004,12:00:00 | TM: 28/04/2010,22:48:32 | DA: 02/05/2010,17:20:52

25. MD5: DENIED

26.

27.

28.

29. =========================

30.

31. "c:\WINDOWS\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\ndis.sys" [ ----A---- | 182656 ]

32. TC: 18/02/2009,10:58:10 | TM: 13/04/2008,21:20:37 | DA: 02/05/2010,17:20:58

33. MD5: DENIED

34.

35.

36.

37. =========================

38.

39. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======

40.

41. Aucun dossier trouvé

42.

43.

44. ====== Entrée(s) du registre ======

45.

46. Aucune entrée du registre trouvée

47.

48. =========================

49.

50. Fin à: 16:19:13 le 05/05/2010 ( E.O.F )

[walzouk]

autre message avira qui est revenu après redémarrage du pc :

 

Dans le fichier 'C:\WINDOWS\System32\msxsltsso.dll'

un virus ou un programme indésirable 'TR/Agent.42496.BD' [trojan] a été détecté.

Action exécutée : Refuser l'accès

[walzouk]

autre remarque l'activité de ma connection internet est permanente m^me sans navigateur ouvert

[pear]

Bonsoir,

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

 

Vous devriez avoir une fenêtre vous avertissant que vous téléchargez Combofix depuis un site non-autorisé.

N'en tenez pas compte

 

Lancez Combofix en double cliquant

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mis

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire->Sur PCA,En Français

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Connecter tous les disques amovibles (disque dur externe, clé USB…).

*Double cliquer sur combofix.exe pour le lancer.

 

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

 

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur,(sous Vista désactivez UAC) lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[walzouk]

bonsoir Pear,

je vous joins le rapport combofix, pour info j'ai desinstallé avira pour le scan combo car au 1er essai il ne se désactivait pas.

L'ordi semble aller beaucoup mieux, que faut il encore vérifier ?

 

ComboFix 10-05-04.06 - Administrateur 05/05/2010 18:33:58.7.1 - x86

Lancé depuis: c:\documents and settings\Administrateur\Bureau\2774-CF.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\msxsltsso.dll

 

Une copie infectée de c:\windows\system32\drivers\ndis.sys a été trouvée et désinfectée

Copie restaurée à partir de - c:\system volume information\_restore{59B9A9D5-7EF3-4759-81F3-A00A6868E4C5}\RP3\A0002187.sys

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-05 au 2010-05-05 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-05 14:11 . 2010-05-05 14:19 -------- d-----w- c:\program files\SEAF

2010-05-04 10:47 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-05-04 10:47 . 2010-05-04 17:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-04 10:47 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-05-03 16:31 . 2010-05-03 16:31 -------- d-----w- C:\rsit

2010-05-03 16:31 . 2010-05-03 16:31 -------- d-----w- c:\program files\trend micro

2010-05-01 08:06 . 2010-05-01 08:06 -------- d-----w- C:\_OTM

2010-04-28 20:48 . 2004-02-25 15:43 163840 ----a-w- c:\windows\system32\igfxres.dll

2010-04-28 19:38 . 2004-08-05 10:00 76288 -c--a-w- c:\windows\system32\dllcache\uniime.dll

2010-04-28 19:37 . 2004-08-05 10:00 7680 -c--a-w- c:\windows\system32\dllcache\pwsdata.dll

2010-04-28 19:36 . 2004-08-05 10:00 7680 -c--a-w- c:\windows\system32\dllcache\migregdb.exe

2010-04-28 19:35 . 2004-08-05 10:00 32256 -c--a-w- c:\windows\system32\dllcache\gzip.dll

2010-04-28 19:34 . 2004-08-05 10:00 45568 -c--a-w- c:\windows\system32\dllcache\browscap.dll

2010-04-28 19:33 . 2004-08-05 10:00 7168 -c--a-w- c:\windows\system32\dllcache\wamregps.dll

2010-04-28 18:30 . 2010-04-28 18:30 -------- d-----w- c:\windows\dell

2010-04-28 16:48 . 2004-08-03 22:54 154112 ----a-w- c:\windows\system32\irftp.exe

2010-04-28 16:48 . 2004-08-03 22:54 8192 ----a-w- c:\windows\system32\wshirda.dll

2010-04-28 16:48 . 2004-08-03 22:54 28160 ----a-w- c:\windows\system32\irmon.dll

2010-04-28 16:42 . 2004-08-05 10:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll

2010-04-28 16:42 . 2004-08-05 10:00 24661 ----a-w- c:\windows\system32\spxcoins.dll

2010-04-28 16:42 . 2004-08-05 10:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll

2010-04-28 16:42 . 2004-08-05 10:00 13312 ----a-w- c:\windows\system32\irclass.dll

2010-04-28 16:17 . 2010-04-28 16:17 -------- d-----w- c:\windows\system32\vmm32

2010-04-28 16:17 . 2010-04-28 16:17 -------- d-----w- c:\program files\Dell

2010-04-28 16:11 . 1999-01-20 03:01 210032 ----a-w- c:\windows\system32\DBCLIENT.DLL

2010-04-28 16:11 . 2010-04-28 16:11 -------- d-----w- c:\program files\Fichiers communs\Borland Shared

2010-04-27 16:27 . 2010-04-27 16:27 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Conduit

2010-04-27 16:26 . 2010-04-27 17:03 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Softonic_France

2010-04-27 10:20 . 2010-04-27 10:20 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData

2010-04-27 07:11 . 2010-04-28 04:09 -------- d-----w- C:\VundoFix Backups

2010-04-27 06:54 . 2010-04-27 06:15 119808 ----a-w- C:\VundoFix.exe

2010-04-27 06:07 . 2010-04-27 05:54 256832 ----a-w- C:\SoftonicDownloader78354.exe

2010-04-27 06:00 . 2010-04-27 06:00 -------- d-s---w- c:\documents and settings\NetworkService\UserData

2010-04-27 05:26 . 2010-04-27 07:09 -------- d-----w- C:\SmitfraudFix

2010-04-27 05:15 . 2010-04-27 04:42 1872472 ----a-w- C:\SmitfraudFix.exe

2010-04-26 11:00 . 2010-04-26 11:01 -------- d-----r- c:\documents and settings\NetworkService\Favoris

2010-04-23 22:58 . 2010-04-23 22:58 4736 ----a-w- c:\windows\system32\o.sys

2010-04-23 18:53 . 2010-04-23 18:53 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\Search Settings

2010-04-23 18:53 . 2010-04-23 18:55 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\pdfforge

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-05 10:08 . 2009-02-11 21:09 -------- d-----w- c:\program files\Mozilla Thunderbird

2010-04-29 11:46 . 2009-02-11 14:30 87263 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat

2010-04-28 21:47 . 2009-02-11 20:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-04-27 15:50 . 2010-04-23 18:51 112 ----a-w- c:\documents and settings\All Users\Application Data\6nB4CAKa.dat

2010-04-27 07:00 . 2009-02-11 20:52 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-04-19 07:11 . 2009-05-18 13:56 -------- d-----w- c:\program files\Google

2010-04-13 08:47 . 2002-09-17 21:04 368314 ----a-w- c:\windows\system32\perfh00C.dat

2010-04-13 08:47 . 2002-09-17 21:04 49054 ----a-w- c:\windows\system32\perfc00C.dat

.

<pre>
c:\program files\Adobe\Reader 9.0\Reader\Reader_sl .exe
c:\program files\Java\j2re1.4.2_06\bin\jusched .exe
c:\program files\Spybot - Search & Destroy\TeaTimer .exe
c:\windows\inf\WG511v2\snetcfg .exe
</pre>

 

((((((((((((((((((((((((((((( SnapShot@2010-04-28_21.11.22 )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-05-05 16:42 . 2010-05-05 16:42 16384 c:\windows\temp\Perflib_Perfdata_354.dat

+ 2010-05-05 16:33 . 2010-05-05 16:33 16384 c:\windows\temp\Perflib_Perfdata_2d8.dat

+ 2010-05-04 12:45 . 2010-05-05 14:53 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

+ 2010-05-05 14:13 . 2010-05-05 14:55 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012010050520100506\index.dat

+ 2009-02-11 14:35 . 2010-05-05 14:53 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

- 2009-02-11 14:35 . 2010-04-28 19:41 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2009-02-11 14:30 . 2010-04-29 11:46 4448 c:\windows\PCHealth\HelpCtr\PackageStore\SkuStore.bin

+ 2009-02-11 14:31 . 2010-04-29 06:30 9696 c:\windows\PCHealth\HelpCtr\Config\Cntstore.bin

+ 2004-08-05 10:00 . 2004-08-05 10:00 182912 c:\windows\system32\drivers\ndis.sys

+ 2004-08-05 10:00 . 2004-08-05 10:00 182912 c:\windows\system32\dllcache\ndis.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\System32\igfxtray.exe" [2004-02-25 155648]

"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2004-02-25 118784]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 110592]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

NETGEAR WG511v2 Smart Wizard.lnk - c:\program files\NETGEAR\WG511v2\WG511v2.exe [2007-6-26 1499136]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

 

R1 zslidbecv1;zslidbecv1.sys;c:\windows\system32\drivers\zslidbecv1.sys [x]

R2 gupdate1c9d7c06e1333f0;Service Google Update (gupdate1c9d7c06e1333f0);c:\program files\Google\Update\GoogleUpdate.exe [2009-05-18 133104]

S2 k;k;c:\windows\system32\o.sys [2010-04-23 4736]

 

.

Contenu du dossier 'Tâches planifiées'

 

2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-18 13:56]

 

2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-18 13:56]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

.

- - - - ORPHELINS SUPPRIMES - - - -

 

SSODL-GootkitSSO-{43263C7A-F1E1-4BBE-8569-173FC441EF64} - c:\windows\System32\msxsltsso.dll

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-05 18:42

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\System32\snmp.exe

c:\windows\system32\rundll32.exe

.

**************************************************************************

.

Heure de fin: 2010-05-05 18:46:59 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-05-05 16:46

ComboFix2.txt 2010-05-05 16:06

ComboFix3.txt 2010-05-01 15:20

ComboFix4.txt 2010-04-30 09:39

ComboFix5.txt 2010-05-05 16:29

 

Avant-CF: 6 443 659 264 octets libres

Après-CF: 6 417 219 584 octets libres

 

- - End Of File - - A8F406876B4AE151B7103A6098F59898

[pear]

Bonsoir,

 

combofix a eliminé cela:

c:\windows\system32\msxsltsso.dll

Une copie infectée de c:\windows\system32\drivers\ndis.sys a été trouvée et désinfectée

 

Comment va la machine ?

Modifié le 5 mai 2010 par pear

[walzouk]

Cher Pear, bonjour,

Ce message pour vous informer que le PC fonctionne parfaitement bien. Je vous remercie pour votre aide car lorsque l'on est néophyte les problèmes informatiques énervent.

Juste une remarque, il est peut nécessaire dans certains cas de desinstaller avira avant le scan de combofix car lors du reboot provoqué par combofix, avira démarre en cache sans qu'on puisse le désactiver.

Merci encore.

[pear]

Bonjour,

il est peut nécessaire dans certains cas de desinstaller avira avant le scan de combofix

 

Vous avez tellement raison que c'est indiqué dans la procédure.

Cela vaut d'ailleurs pour tous les outils de désinfection car, comme les virus, ils utilisent des fonctions qui touchent au coeur du système, et sont donc suspectés.

 

Je suis ravi que votre machine ait retrouvé sa bonne forme.

 

Si vous estimez votre problème résolu, éditez l'en tête de votre premier message et y indiquez Résolu pour que ceux qui la recherchent y trouvent une solution.

Modifié le 6 mai 2010 par pear