Infection par Antimalware Doctor

11gatsu · le 13 juin 2010

Bonjour,

J'ai été infecté par Antimalware Doctor. Je ne sais vraiment pas quoi faire pour m'en débarrasser. J'ai regardé à droite à gauche sur des forum pour essayer de trouver une solution, mais apparemment ca a l'air assez compliqué à gérer. Je préfère donc demander de l'assistance.

Comme antivirus, j'ai simplement AVG ... Sinon, CCleaner pour faire du nettoyage, mais forcément, ça n'a rien fait.

Puis un autre problème pour corser le tout : depuis quelques temps (plusieurs mois, en fait), je ne parviens plus à télécharger d'executable, que ce soit depuis IE ou Mozilla. Je me doute que c'est Vista qui me bloque tout, mais j'ai pas réussi à trouver le moyen de régler ce problème. Et donc s'il faut télécharger des programmes pour se débarrasser de Antimalware Doctor, ça risque de me poser problème.

Merci pour votre secours !!

11gatsu · le 13 juin 2010

Mea culpa !! J'ai été trop rapide dans mon accusation de Vista sur le blocage de mes téléchargements. En fait, il fallait simplement que je repasse aux paramètres par défaut sur IE, et tout est redevenu normal de ce point de vue-là.

Du coup, j'ai récupéré Hijackthis. En effet, j'ai vu sur plusieurs forum qu'il était nécessaire pour se débarrasser de Antimalware Doctor. Je vais donc lancer un scan.

@+

11gatsu · le 13 juin 2010

Voici le résultat du scan par HijackThis.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:10:07, on 13/06/2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18928)

Boot mode: Normal

Running processes:

C:\Windows\system32\csrss.exe

C:\Windows\system32\wininit.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\nvvsvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Creative\Shared Files\CTAudSvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\rundll32.exe

C:\Program Files\Common Files\SPBA\upeksvr.exe

C:\Windows\system32\svchost.exe

C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe

C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe

C:\Program Files\ATKGFNEX\GFNEXSrv.exe

C:\Windows\system32\WLANExt.exe

C:\Windows\system32\taskeng.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Windows\system32\svchost.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Users\Lionel\AppData\Local\Temp\fFollower.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\SearchIndexer.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\sdra64.exe

C:\Windows\system32\Dwm.exe

C:\Program Files\ASUS\ASUS CopyProtect\aspg.exe

C:\Program files\P4G\BatteryLife.exe

C:\Program Files\ASUS\ASUS Live Update\ALU.exe

C:\Program Files\ASUS\SmartLogon\sensorsrv.exe

C:\Windows\Explorer.EXE

C:\Windows\System32\alg.exe

C:\Program Files\ASUS\ATK Hotkey\MsgTranAgt.exe

C:\Program Files\ASUS\ATK Hotkey\HControl.exe

C:\Program Files\Wireless Console 2\wcourier.exe

C:\Program Files\ASUS\Splendid\ACMON.exe

C:\Windows\System32\ACEngSvr.exe

C:\Program Files\ASUS\ATK Hotkey\ATKOSD.exe

C:\Program Files\ASUS\ATK Hotkey\KBFiltr.exe

C:\Program Files\ASUS\ATK Hotkey\WDC.exe

C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe

C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe

C:\Program Files\ASUS\ASUS Data Security Manager\ADSMTray.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\ASUS\ATK Media\DMedia.exe

C:\Windows\AsScrPro.exe

C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

C:\Program Files\Creative\USB Speaker\Volume Panel\VolPanlu.exe

C:\Windows\System32\rundll32.exe

C:\Windows\ehome\ehtray.exe

C:\Windows\System32\rundll32.exe

C:\Users\Lionel\AppData\Roaming\FC63490E14E6F8553AD99E6E516590B6\setupupdater0002.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe

C:\Program Files\Synaptics\SynTP\SynTPHelper.exe

C:\Windows\system32\SearchProtocolHost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Users\Lionel\Desktop\softs\Internet\HiJackThis.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Windows\system32\taskeng.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\system32\sdra64.exe,

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"

O4 - HKLM\..\Run: [P2Go_Menu] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe

O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe

O4 - HKLM\..\Run: [ADSMTray] C:\Program Files\ASUS\ASUS Data Security Manager\ADSMTray.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMedia.exe

O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe

O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\USB Speaker\Volume Panel\VolPanlu.exe" /r

O4 - HKLM\..\Run: [updReg] C:\Windows\UpdReg.EXE

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [tutuutsys] rundll32.exe "xxxyya.dll",DllRegisterServer

O4 - HKLM\..\Run: [hgggdcdrv] rundll32.exe "awwvvs.dll",s

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [xxxutssys] rundll32.exe "xxxyya.dll",DllRegisterServer

O4 - HKCU\..\Run: [urrppqdrv] rundll32.exe "awwvvs.dll",s

O4 - HKCU\..\Run: [setupupdater0002.exe] C:\Users\Lionel\AppData\Roaming\FC63490E14E6F8553AD99E6E516590B6\setupupdater0002.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [efcyvtdrv] rundll32.exe "awwvvs.dll",s (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [efcyvtdrv] rundll32.exe "awwvvs.dll",s (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Bluetooth.lnk = ?

O4 - Global Startup: FancyStart daemon.lnk = ?

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O15 - Trusted Zone: http://www.01net.com

O15 - Trusted Zone: http://www.any-video-converter.com

O15 - Trusted Zone: mirror.ibcp.fr

O15 - Trusted Zone: http://www.miktex.org

O15 - Trusted Zone: http://www.python.org

O15 - Trusted Zone: http://www.sciencedirect.com

O15 - Trusted Zone: http://downloads.sourceforge.net

O15 - Trusted Zone: http://*.sourceforge.net

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: avgrsstx.dll

O20 - Winlogon Notify: spba - C:\Program Files\Common Files\SPBA\homefus2.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ADSM Service (ADSMService) - ASUSTek Computer Inc. - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe

O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe

O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe

O23 - Service: Creative HOAL Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTHOALLicensing.exe

O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe

O23 - Service: Follower - Unknown owner - C:\Users\Lionel\AppData\Local\Temp\fFollower.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--

End of file - 10106 bytes

A partir d'ici, je ne sais pas ce qu'il faut faire. J'attends vos conseils.

Merci.

@+

Thanos · le 13 juin 2010

Salut et bienvenue sur le forum

Quelques liens pour t'aider à commencer :

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

Pour répondre ou ajouter un post, un rapport, etc, utilise le bouton .

(bouton qui se trouve entre "Flash" et "Nouveau")

*********

1°) Un petit scan supplémentaire avec un programme que tu vas pouvoir conserver: si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >>

Télécharge Malwarebytes' Anti-Malware (MBAM)

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complêt"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

2°) Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit

Poste les 3 rapports stp.

11gatsu · le 13 juin 2010

J'ai profité du fait que je peux de nouveau récupérer des exe pour récupérer Malwarebytes (j'ai vu sur des forum qu'il est très utile).

Au départ, il ne se passais rien quand je le lancais. Finalement, j'ai vu qu'il y avait une astuce de renommer le mbam.exe en autre chose. Du coup ça a fonctionné. Je vous copie le résultat du scan rapide:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Version de la base de données: 4052

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18928

13/06/2010 22:53:21

mbam-log-2010-06-13 (22-53-21).txt

Type d'examen: Examen rapide

Elément(s) analysé(s): 117061

Temps écoulé: 5 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 1

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 6

Valeur(s) du Registre infectée(s): 9

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 14

Processus mémoire infecté(s):

C:\Windows\System32\sdra64.exe (Spyware.Zbot) -> No action taken.

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken.

HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken.

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\urrppqdrv (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hgggdcdrv (Trojan.Vundo) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\efcyvtdrv (Trojan.Vundo) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\efcyvtdrv (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tutuutsys (Trojan.Vundo) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xxxutssys (Trojan.Vundo) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wvvstusys (Trojan.Vundo) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wvvstusys (Trojan.Vundo) -> No action taken.

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\Windows\system32\userinit.exe,C:\Windows\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.

Dossier(s) infecté(s):

C:\Windows\System32\lowsec (Stolen.data) -> No action taken.

Fichier(s) infecté(s):

C:\Windows\Temp\teste2_p.exe (Trojan.Agent) -> No action taken.

C:\Windows\System32\lowsec\local.ds (Stolen.data) -> No action taken.

C:\Windows\System32\lowsec\user.ds (Stolen.data) -> No action taken.

C:\Windows\System32\sdra64.exe (Spyware.Zbot) -> No action taken.

C:\Windows\Temp\avto.exe (Trojan.Agent) -> No action taken.

C:\Windows\tmp1513868.log (Trojan.Agent) -> No action taken.

C:\Windows\tmp8022743.log (Trojan.Agent) -> No action taken.

C:\Windows\tmp8507682.log (Trojan.Agent) -> No action taken.

C:\Windows\ctfmon.exe (Trojan.Agent) -> No action taken.

C:\Windows\lsass.exe (Trojan.PWS) -> No action taken.

C:\Windows\servicelayer.exe (Backdoor.Bot) -> No action taken.

C:\Windows\svc.exe (Trojan.Agent) -> No action taken.

C:\Windows\Temp\teste3_p.exe (Trojan.Agent) -> No action taken.

C:\Users\Lionel\AppData\Local\Temp\0.17774656329307348.exe (Trojan.Dropper) -> No action taken.

Ne sachant pas ce qu'il fallait faire ensuite (suppression, quarantaine, ...), je n'ai donc rien fait de plus. Quelle est la démarche à suivre ensuite ? Dois-je faire supprimer les éléments listés ? Dois-je faire un scan complet ?

11gatsu · le 13 juin 2010

Oups !! Nos réponses se sont croisées ! Je vais faire ce que tu indiques dans le message. Je ferais une nouvelle réponse quand ce sera fait.

En tout cas, merci de m'aider !

Thanos · le 13 juin 2010

oui stp refais le scan mais complet comme indiqué dans le message: n'oublie surtout pas de supprimer les éléments découverts par MBAM, car dans le scan que tu as fait, rien n'a été éliminé!

11gatsu · le 13 juin 2010

J'ai fait les différents scans (1h53 pour celui de Malwarebytes !! J'ai sommeil !!). Voici les log.

D'abord celui de mbam :

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Version de la base de données: 4195

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18928

14/06/2010 01:10:27

mbam-log-2010-06-14 (01-10-27).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)

Elément(s) analysé(s): 326631

Temps écoulé: 1 heure(s), 53 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 3

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 7

Valeur(s) du Registre infectée(s): 13

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 21

Processus mémoire infecté(s):

C:\Users\Lionel\AppData\Roaming\FC63490E14E6F8553AD99E6E516590B6\setupupdater0002.exe (Malware.Packer.Gen) -> Unloaded process successfully.

C:\Windows\System32\sdra64.exe (Spyware.Zbot) -> Unloaded process successfully.

C:\Users\Lionel\AppData\Local\Temp\fFollower.exe (Trojan.Dropper) -> Unloaded process successfully.

Module(s) mémoire infecté(s):

C:\Windows\System32\awwvvs.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Follower (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\setupupdater0002.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\servicelayer (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netc (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xxxutssys (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\urrppqdrv (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tutuutsys (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hgggdcdrv (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wvvstusys (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\efcyvtdrv (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wvvstusys (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\efcyvtdrv (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\Windows\system32\userinit.exe,C:\Windows\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):

C:\Windows\System32\lowsec (Stolen.data) -> Delete on reboot.

Fichier(s) infecté(s):

C:\Windows\System32\awwvvs.dll (Trojan.Agent) -> Delete on reboot.

C:\Users\Lionel\AppData\Roaming\FC63490E14E6F8553AD99E6E516590B6\setupupdater0002.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\Windows\Temp\teste2_p.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\System32\lowsec\local.ds (Stolen.data) -> Delete on reboot.

C:\Windows\System32\lowsec\user.ds (Stolen.data) -> Delete on reboot.

C:\Windows\System32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.

C:\Users\Lionel\AppData\Local\Temp\0.17774656329307348.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Windows\Temp\avto.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\Temp\teste3_p.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\tmp1513868.log (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\tmp4997610.log (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\tmp7618035.log (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\tmp8022743.log (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\tmp8465301.log (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\tmp8507682.log (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\ctfmon.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\lsass.exe (Trojan.PWS) -> Quarantined and deleted successfully.

C:\Windows\servicelayer.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Windows\svc.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Users\Lionel\AppData\Local\Temp\ffollower.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Windows\Temp\ffollower.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Ensuite le "log.txt" de RSIT :

Logfile of random's system information tool 1.07 (written by random/random)

Run by Lionel at 2010-06-14 01:17:03

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2

System drive C: has 143 GB (60%) free of 238 GB

Total RAM: 3070 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 01:17:13, on 14/06/2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18928)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\ASUS\ASUS Live Update\ALU.exe

C:\Program files\P4G\BatteryLife.exe

C:\Program Files\ASUS\SmartLogon\sensorsrv.exe

C:\Program Files\ASUS\ASUS CopyProtect\aspg.exe

C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe

C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe

C:\Program Files\ASUS\ASUS Data Security Manager\ADSMTray.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\ASUS\ATK Media\DMedia.exe

C:\Windows\AsScrPro.exe

C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

C:\Program Files\Creative\USB Speaker\Volume Panel\VolPanlu.exe

C:\Program Files\AVG\AVG8\avgtray.exe

C:\Windows\System32\rundll32.exe

C:\Windows\ehome\ehtray.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Synaptics\SynTP\SynTPHelper.exe

C:\Users\Lionel\Desktop\softs\Internet\RSIT.exe

C:\Program Files\trend micro\Lionel.exe