Y'a un virus qui fait rien que de m'embêter

[jeanjean35]

Bonjour à tous,

 

J'ai en effet un petit problème avec surement un virus qui me déclenche des fenêtres sur mon PC. Aussi voici mon rapport HiJack This pour celui qui parle cette langue et qui pourra me venir en aide.

 

Merci d'avance

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:50:08, on 07/03/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\CDBurnerXP\NMSAccessU.exe

C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

C:\Program Files\Microsoft Security Client\msseces.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\Wjicyb.exe

C:\DOCUME~1\Jean-Luc\LOCALS~1\Temp\Whl.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\Jean-Luc\LOCALS~1\Temp\Whm.exe

Z:\Logiciels\Utilitaires\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! France

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [KUGHGZXAKT] C:\DOCUME~1\Jean-Luc\LOCALS~1\Temp\Whl.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: *.line6.net

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: M-Audio Series II MIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

 

--

End of file - 4266 bytes

[Apollo]

Salut,

 

Il t'embête ce vilain? Eh ben, on va lui casser la binette!

 

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

 

http://oldtimer.geekstogo.com/OTM.exe

 

 

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA/7: clic droit: exécuter en temps qu'administrateur.
   
  
• Copie l'entièreté du code ci-dessous.
  

  Go
  
  :Files
  c:\documents and settings\jean-luc\locals~1\temp\whl.exe
  
  
  :Services
  
  :Reg
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "KUGHGZXAKT"=-
  
  :Commands
  
  [purity]
  [emptytemp]
  [start explorer]
  [reboot]
  
  

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  
• Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTM en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

*** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

 

 

@++

[jeanjean35]

Merci pour ta réactivité.

 

Voici le rapport demandé, rien de grave docteur???

 

All processes killed

Error: Unable to interpret <Go > in the current context!

Error: Unable to interpret < > in the current context!

========== FILES ==========

c:\documents and settings\jean-luc\locals~1\temp\Whl.exe moved successfully.

========== SERVICES/DRIVERS ==========

========== REGISTRY ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\KUGHGZXAKT deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Jean-Luc

->Temp folder emptied: 302711897 bytes

->Temporary Internet Files folder emptied: 114965213 bytes

->Flash cache emptied: 4267 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 308920 bytes

->Temporary Internet Files folder emptied: 476633 bytes

->Flash cache emptied: 456 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2133582 bytes

%systemroot%\System32 .tmp files removed: 3072 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 1856076 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 65164362 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 154689696 bytes

 

Total Files Cleaned = 613,00 mb

 

 

OTM by OldTimer - Version 3.1.17.2 log created on 03072011_205332

 

Files moved on Reboot...

File move failed. C:\WINDOWS\System32\tmp.tmp scheduled to be moved on reboot.

File C:\WINDOWS\temp\TMP00000005E21B3E6696715666 not found!

 

Registry entries deleted on Reboot...

[Apollo]

Bonjour,

 

Je ne pense pas que cela soit très grave mais on va investiguer un peu.

 

ZHPDiag :

 

• Télécharge Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse

 

Bonne journée.

 

@++

[jeanjean35]

Voici le rapport sur le lien suivant

 

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Merci

 

Voici le rapport sur le lien suivant

 

http://www.cijoint.fr/cjlink.php?file=cj201103/cijuIPlt4n.txt

 

Merci

[Apollo]

Bonsoir Jeanjean,

 

Ton pc est effectivement bien infecté mais on va nettoyer tout cela, avec un peu de patience

On commence par ceci si tu veux bien:

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

Cliquer sur Start scan pour lancer l'analyse.

 

NB: TDSSKiller proposera des options: Delete, Skip ou Cure, il ne faut pas modifier ces options! (Supprimer, ignorer, "soigner")

 

Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés,

vérifier que l'option Cure est sélectionnée, puis cliquer sur le bouton Continue puis sur le bouton Reboot now.

 

Envoyer en réponse:

*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:] .

 

 

@+tard.

[jeanjean35]

Re-bonsoir,

 

Bon ben voilà la suite. Pour info, le logiciel a trouvé deux fichiers problématiques, cependant il ne m'a pas proposé pour le 2ème l'option cure mais 'skip','quarantaine' ou 'delete', aussi dans le doute j'ai laissé 'skip', les infos sur ce fichier sont les suivantes:

 

service name: sptd

servive type: kernell driver (0x1)

Service start: Boot (0x0)

File: C:\WINDOWS\system32\Driver\sptd.sys

MD5: cdddec541bc3c96f91ecv48759673505

 

Dois je le supprimer?

 

Pour finir voici le rapport:

 

 

2011/03/08 20:10:47.0171 3264 TDSS rootkit removing tool 2.4.20.0 Mar 2 2011 10:44:30

2011/03/08 20:10:47.0625 3264 ================================================================================

2011/03/08 20:10:47.0625 3264 SystemInfo:

2011/03/08 20:10:47.0625 3264

2011/03/08 20:10:47.0625 3264 OS Version: 5.1.2600 ServicePack: 3.0

2011/03/08 20:10:47.0625 3264 Product type: Workstation

2011/03/08 20:10:47.0625 3264 ComputerName: JEAN-JEAN

2011/03/08 20:10:47.0625 3264 UserName: Jean-Luc

2011/03/08 20:10:47.0625 3264 Windows directory: C:\WINDOWS

2011/03/08 20:10:47.0625 3264 System windows directory: C:\WINDOWS

2011/03/08 20:10:47.0625 3264 Processor architecture: Intel x86

2011/03/08 20:10:47.0625 3264 Number of processors: 1

2011/03/08 20:10:47.0625 3264 Page size: 0x1000

2011/03/08 20:10:47.0625 3264 Boot type: Normal boot

2011/03/08 20:10:47.0625 3264 ================================================================================

2011/03/08 20:10:50.0234 3264 Initialize success

2011/03/08 20:11:03.0031 1592 ================================================================================

2011/03/08 20:11:03.0031 1592 Scan started

2011/03/08 20:11:03.0031 1592 Mode: Manual;

2011/03/08 20:11:03.0031 1592 ================================================================================

2011/03/08 20:11:03.0843 1592 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys

2011/03/08 20:11:04.0000 1592 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys

2011/03/08 20:11:04.0093 1592 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys

2011/03/08 20:11:04.0234 1592 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys

2011/03/08 20:11:04.0437 1592 AmdK7 (d3dabc57be6d456dfd4bc026cfa582ff) C:\WINDOWS\system32\DRIVERS\amdk7.sys

2011/03/08 20:11:04.0578 1592 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys

2011/03/08 20:11:04.0828 1592 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys

2011/03/08 20:11:04.0890 1592 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys

2011/03/08 20:11:05.0015 1592 ati2mtag (417352592432f5368a8296f7fb73becf) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys

2011/03/08 20:11:05.0140 1592 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys

2011/03/08 20:11:05.0187 1592 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys

2011/03/08 20:11:05.0296 1592 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys

2011/03/08 20:11:05.0359 1592 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys

2011/03/08 20:11:05.0468 1592 cbxt3krn (5f167af36b4fe9eefc40cc2bc5bd6c49) C:\WINDOWS\system32\drivers\cbxt3krn.sys

2011/03/08 20:11:05.0562 1592 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys

2011/03/08 20:11:05.0656 1592 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys

2011/03/08 20:11:05.0718 1592 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys

2011/03/08 20:11:05.0843 1592 CLEDX (b53f9635457b56dcffef750e18aec6cb) C:\WINDOWS\system32\DRIVERS\cledx.sys

2011/03/08 20:11:06.0093 1592 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys

2011/03/08 20:11:06.0234 1592 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys

2011/03/08 20:11:06.0484 1592 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys

2011/03/08 20:11:06.0593 1592 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys

2011/03/08 20:11:06.0656 1592 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys

2011/03/08 20:11:06.0734 1592 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys

2011/03/08 20:11:06.0812 1592 EL90XBC (6e883bf518296a40959131c2304af714) C:\WINDOWS\system32\DRIVERS\el90xbc5.sys

2011/03/08 20:11:06.0890 1592 epmntdrv (f07ba56b0235f15eff8f10dc6389c42e) C:\WINDOWS\system32\epmntdrv.sys

2011/03/08 20:11:07.0015 1592 EuGdiDrv (1f2f4ab15ce03ecc257feb2f6dc5a013) C:\WINDOWS\system32\EuGdiDrv.sys

2011/03/08 20:11:07.0125 1592 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys

2011/03/08 20:11:07.0218 1592 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys

2011/03/08 20:11:07.0265 1592 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys

2011/03/08 20:11:07.0343 1592 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys

2011/03/08 20:11:07.0375 1592 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys

2011/03/08 20:11:07.0437 1592 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys

2011/03/08 20:11:07.0484 1592 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys

2011/03/08 20:11:07.0578 1592 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys

2011/03/08 20:11:07.0765 1592 HSFHWBS2 (970178e8e003eb1481293830069624b9) C:\WINDOWS\system32\DRIVERS\HSFBS2S2.sys

2011/03/08 20:11:07.0875 1592 HSF_DP (ebb354438a4c5a3327fb97306260714a) C:\WINDOWS\system32\DRIVERS\HSFDPSP2.sys

2011/03/08 20:11:08.0015 1592 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys

2011/03/08 20:11:08.0156 1592 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys

2011/03/08 20:11:08.0234 1592 imagedrv (0a7c49b48c772591a2d362daa00246c8) C:\WINDOWS\system32\Drivers\imagedrv.sys

2011/03/08 20:11:08.0328 1592 imagesrv (549ba4f539e7b8d8129500b96dd7b27a) C:\WINDOWS\system32\DRIVERS\imagesrv.sys

2011/03/08 20:11:08.0421 1592 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys

2011/03/08 20:11:08.0656 1592 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys

2011/03/08 20:11:08.0734 1592 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys

2011/03/08 20:11:08.0968 1592 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys

2011/03/08 20:11:09.0093 1592 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys

2011/03/08 20:11:09.0156 1592 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys

2011/03/08 20:11:09.0234 1592 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys

2011/03/08 20:11:09.0343 1592 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys

2011/03/08 20:11:09.0390 1592 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys

2011/03/08 20:11:09.0437 1592 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys

2011/03/08 20:11:09.0500 1592 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys

2011/03/08 20:11:09.0625 1592 L6TPortB (8de7dfc66f065e7c7ea05ccc5b5c623a) C:\WINDOWS\system32\Drivers\L6TPortB.sys

2011/03/08 20:11:09.0859 1592 MA_CMIDI (6d03a526eeded908759ca8c0e581494d) C:\WINDOWS\system32\drivers\ma_cmidi.sys

2011/03/08 20:11:09.0953 1592 mdmxsdk (195741aee20369980796b557358cd774) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys

2011/03/08 20:11:10.0031 1592 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys

2011/03/08 20:11:10.0109 1592 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys

2011/03/08 20:11:10.0234 1592 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys

2011/03/08 20:11:10.0296 1592 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys

2011/03/08 20:11:10.0343 1592 MpFilter (7e34bfa1a7b60bba1da03d677f16cd63) C:\WINDOWS\system32\DRIVERS\MpFilter.sys

2011/03/08 20:11:10.0484 1592 MpKsl2acfa84a (5f53edfead46fa7adb78eee9ecce8fdf) c:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{F575AAF6-DFC0-4568-97EA-A0CD30FF2F65}\MpKsl2acfa84a.sys

2011/03/08 20:11:10.0671 1592 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys

2011/03/08 20:11:10.0765 1592 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys

2011/03/08 20:11:10.0812 1592 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys

2011/03/08 20:11:10.0875 1592 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys

2011/03/08 20:11:11.0000 1592 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys

2011/03/08 20:11:11.0062 1592 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys

2011/03/08 20:11:11.0125 1592 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys

2011/03/08 20:11:11.0187 1592 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys

2011/03/08 20:11:11.0265 1592 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys

2011/03/08 20:11:11.0406 1592 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys

2011/03/08 20:11:11.0515 1592 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys

2011/03/08 20:11:11.0734 1592 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys

2011/03/08 20:11:11.0796 1592 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys

2011/03/08 20:11:11.0859 1592 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys

2011/03/08 20:11:11.0906 1592 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys

2011/03/08 20:11:12.0078 1592 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys

2011/03/08 20:11:12.0171 1592 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys

2011/03/08 20:11:12.0328 1592 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys

2011/03/08 20:11:12.0468 1592 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys

2011/03/08 20:11:12.0578 1592 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys

2011/03/08 20:11:12.0703 1592 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys

2011/03/08 20:11:12.0828 1592 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys

2011/03/08 20:11:13.0015 1592 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys

2011/03/08 20:11:13.0125 1592 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys

2011/03/08 20:11:13.0187 1592 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys

2011/03/08 20:11:13.0218 1592 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys

2011/03/08 20:11:13.0312 1592 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys

2011/03/08 20:11:13.0375 1592 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys

2011/03/08 20:11:13.0812 1592 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys

2011/03/08 20:11:13.0859 1592 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys

2011/03/08 20:11:13.0906 1592 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys

2011/03/08 20:11:14.0140 1592 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys

2011/03/08 20:11:14.0234 1592 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys

2011/03/08 20:11:14.0281 1592 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys

2011/03/08 20:11:14.0312 1592 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys

2011/03/08 20:11:14.0375 1592 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys

2011/03/08 20:11:14.0484 1592 RDID1025 (450ce99f90c5906338e86e6f664231bb) C:\WINDOWS\system32\Drivers\rdwm1025.sys

2011/03/08 20:11:14.0546 1592 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys

2011/03/08 20:11:14.0640 1592 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys

2011/03/08 20:11:14.0750 1592 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys

2011/03/08 20:11:14.0828 1592 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys

2011/03/08 20:11:15.0000 1592 RTL8187B (fe999b16e967c84790be6dc1b4e78f2d) C:\WINDOWS\system32\DRIVERS\RTL8187B.sys

2011/03/08 20:11:15.0187 1592 RVIEG01 (93f66faea8bf047d4242ac85aada403d) C:\Program Files\Roland\Virtual Sound Canvas DXi\RVIEg01.sys

2011/03/08 20:11:15.0453 1592 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys

2011/03/08 20:11:15.0546 1592 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys

2011/03/08 20:11:15.0593 1592 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys

2011/03/08 20:11:15.0828 1592 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys

2011/03/08 20:11:16.0140 1592 SliceDisk5 (903b5b4caa9a85b85ba57e411f7235fa) C:\Program Files\A-FF Find and Mount\slicedisk.sys

2011/03/08 20:11:16.0406 1592 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys

2011/03/08 20:11:16.0500 1592 sptd (cdddec541bc3c96f91ecb48759673505) C:\WINDOWS\system32\Drivers\sptd.sys

2011/03/08 20:11:16.0500 1592 Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: cdddec541bc3c96f91ecb48759673505

2011/03/08 20:11:16.0531 1592 sptd - detected Locked file (1)

2011/03/08 20:11:16.0640 1592 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys

2011/03/08 20:11:16.0796 1592 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys

2011/03/08 20:11:17.0015 1592 StarOpen (f92254b0bcfcd10caac7bccc7cb7f467) C:\WINDOWS\system32\drivers\StarOpen.sys

2011/03/08 20:11:17.0218 1592 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys

2011/03/08 20:11:17.0265 1592 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys

2011/03/08 20:11:17.0468 1592 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys

2011/03/08 20:11:17.0578 1592 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys

2011/03/08 20:11:17.0734 1592 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys

2011/03/08 20:11:17.0859 1592 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys

2011/03/08 20:11:17.0906 1592 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys

2011/03/08 20:11:18.0046 1592 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys

2011/03/08 20:11:18.0218 1592 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys

2011/03/08 20:11:18.0312 1592 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys

2011/03/08 20:11:18.0343 1592 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys

2011/03/08 20:11:18.0406 1592 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys

2011/03/08 20:11:18.0453 1592 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys

2011/03/08 20:11:18.0500 1592 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys

2011/03/08 20:11:18.0640 1592 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

2011/03/08 20:11:18.0671 1592 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys

2011/03/08 20:11:18.0765 1592 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys

2011/03/08 20:11:18.0875 1592 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys

2011/03/08 20:11:19.0046 1592 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys

2011/03/08 20:11:19.0140 1592 winachsf (1225ebea76aac3c84df6c54fe5e5d8be) C:\WINDOWS\system32\DRIVERS\HSFCXTS2.sys

2011/03/08 20:11:19.0375 1592 xmasbus (ddd8286b88fe764ad2a8bd171e7b569a) C:\WINDOWS\system32\DRIVERS\xmasbus.sys

2011/03/08 20:11:19.0468 1592 xmasscsi (4059ad5e639fa47e334304cbe82e9572) C:\WINDOWS\system32\Drivers\xmasscsi.sys

2011/03/08 20:11:19.0703 1592 \HardDisk1 - detected Rootkit.Win32.TDSS.tdl4 (0)

2011/03/08 20:11:19.0703 1592 ================================================================================

2011/03/08 20:11:19.0703 1592 Scan finished

2011/03/08 20:11:19.0703 1592 ================================================================================

2011/03/08 20:11:19.0750 2232 Detected object count: 2

2011/03/08 20:12:03.0765 2232 Locked file(sptd) - User select action: Skip

2011/03/08 20:12:03.0812 2232 \HardDisk1 - will be cured after reboot

2011/03/08 20:12:03.0812 2232 Rootkit.Win32.TDSS.tdl4(\HardDisk1) - User select action: Cure

2011/03/08 20:12:11.0640 3276 Deinitialize success

 

Merci

[jeanjean35]

Dernière chose,

 

Après avoir fait le ménage avec Tdsskiller, et après redémarrage j'ai eu encore plus de pop up, et voilà que mon antivirus se déclenche (enfin) et trouve 2 chevaux de Troie (win32/Renos.PS et Renos.Lx). A noter que j'ai Microsoft security Essential et je me demande si ne vais pas réinstaller Avast.

 

A+

[Apollo]

MSE de Microsoft est bien plus efficace qu'Avast!

 

Dois je le supprimer?

 

Non, tu dois laisser sur Skip car SPTD est un pilote nécessaire pour certaines applications.

 

Par contre le TDSS a été liquidé et c'est bien.

 

Tu as encore des soucis mais je n'ai jamais dit que c'était terminé, il y a encore des analyses à faire.

A commencer par appliquer le fix suivant:

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur H

 

[*]Copie-colle les lignes ci-dessous dans la fenêtre

 

O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job      
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job     
[MD5.00000000000000000000000000000000] [APT] [{22116563-108C-42c0-A7CE-60161B75E508}] (.Pas de propriétaire.) -- C:\DOCUME~1\Jean-Luc\LOCALS~1\Temp\Whl.exe (.not file.)    
[MD5.9262C0A8B84AB486BC9EBF82AE395CCB] [APT] [{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}] (.ComponentOne LLC.) -- C:\WINDOWS\Wjicyb.exe     
[MD5.00000000000000000000000000000000] [APT] [{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}] (.Pas de propriétaire.) -- C:\DOCUME~1\Jean-Luc\LOCALS~1\Temp\Whm.exe  
[HKCU\Software\3D26895M1Z]    
[HKCU\Software\KUGHGZXAKT]    
[HKCU\Software\NtWqIVLZEWZU]     
[HKCU\Software\XML]    
O44 - LFC:[MD5.E6827944720C5FF1D7FA850A37F52890] - 06/03/2011 - 11:18:49 ---A- . (.ComponentOne LLC - sjDrWeb For Windows mh 2011.) -- C:\WINDOWS\System32\sshnas21.dll   [169472]     
O64 - Services: CurCS - C:\WINDOWS\system32\svchost.exe - SSHNAS (SSHNAS)  .(.Microsoft Corporation - Generic Host Process for Win32 Services.) - LEGACY_SSHNAS     
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe     
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe       

 

• Tu cliques sur Tout sélectionner, puis clic-droit -> Copier
  Tu positionnes le curseur dans la zone blanche vide de ZHPFix, puis clic-droit -> Coller

 

[*]Vérifie que toutes les lignes que je t'ai demandé de copier-coller, et seulement ces lignes sont listées dans la fenêtre

 

[*]Clique sur OK puis:

 

[*]Clique sur Tous puis sur Nettoyer

 

[*]Valide par Oui la désinstallation des programmes si demandé

 

[*]Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC

 

[*]Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

@++

[jeanjean35]

Et hop un rapport de plus....

 

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011

Fichier d'export Registre :

Run by Jean-Luc at 08/03/2011 20:46:54

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

Contact : nicolascoolman@yahoo.fr

 

========== Clé(s) du Registre ==========

HKCU\Software\3D26895M1Z => Clé supprimée avec succès

HKCU\Software\KUGHGZXAKT => Clé supprimée avec succès

HKCU\Software\NtWqIVLZEWZU => Clé supprimée avec succès

HKCU\Software\XML => Clé supprimée avec succès

O64 - Services: CurCS - C:\WINDOWS\system32\svchost.exe - SSHNAS (SSHNAS) .(.Microsoft Corporation - Generic Host Process for Win32 Services.) - LEGACY_SSHNAS => Clé supprimée avec succès

 

========== Valeur(s) du Registre ==========

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

 

========== Fichier(s) ==========

c:\windows\tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job => Supprimé et mis en quarantaine

c:\windows\tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job => Fichier absent

c:\windows\tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job => Supprimé et mis en quarantaine

c:\docume~1\jean-luc\locals~1\temp\whl.exe (.not file.) => Fichier absent

c:\windows\wjicyb.exe => Fichier absent

c:\docume~1\jean-luc\locals~1\temp\whm.exe => Fichier absent

c:\windows\system32\sshnas21.dll => Fichier absent

 

========== Tache planifiée ==========

Task : {22116563-108C-42c0-A7CE-60161B75E508} => Tâche supprimée avec succès

Task : {22116563-108C-42c0-A7CE-60161B75E508} => Tâche supprimée avec succès

Task : {62C40AA6-4406-467a-A5A5-DFDF1B559B7A} => Tache absente

Task : {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A} => Tâche supprimée avec succès

Task : {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A} => Tâche supprimée avec succès

 

 

========== Récapitulatif ==========

5 : Clé(s) du Registre

2 : Valeur(s) du Registre

7 : Fichier(s)

5 : Tache planifiée

 

 

End of the scan

 

A noter qu'il n'y a pas eu de redémarrage demandé, ni de désinstallation de programme.