Virus : trojan et abnow [1]

[Apollo]

As-tu le cd original de Vista Microsoft?

 

Que faire quand windows Vista ne démarre plus ... : Astuces pour dépanner Vista et Seven

[loulou2710]

bon j'arrive en mode sans echec mais pas en normal, j'essaye de désinstaller sptd mais ça marche pas...

sinon oui j'ai le cd

[Apollo]

Alors, pour virer SPTD.sys tu vas utiliser TDSSKiller; en général l'outil conseille de "skipper" ce driver mais dans ton cas, tu devras choisir l'option Delete. (rien que pour CE driver).

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Lance le et ne modifie les options par défaut que pour sptd.sys, (delete) qui dans ce cas-ci semble foireux.

 

Poste le rapport qui se trouve aussi sur le C:\

 

Essaie également de désinstaller Deamon Tool Lite.

 

@++

[loulou2710]

Alors impossible de faire tdss killer (can't load driver).

La protection avira en temps reel ne se démarre plus, sinon l'ordi refonctionne.

 

 

Rapport de ZHPFix 1.12.3380 par Nicolas Coolman, Update du 05/02/2011

Fichier d'export Registre :

Run by Valérian at 29/02/2012 00:52:30

Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Valeur(s) du Registre ==========

ABSENT RunValue: Regedit32a, Inc.) [HKLM] -- Windows F7-B760ECB69611}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.) [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer] [HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}] [HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}] [HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}] [HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}] [HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}] [HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}] [HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}] C:\ProgramData\{B49A644A-10

 

========== Fichier(s) ==========

ABSENT File: c:\program files\windows ilivid toolbar\datamngr\toolbar\dtuser.exeac-cdb6808ef06f}] [hklm\software\classes\clsid\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}] [hklm\software\classes\clsid\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}] [hklm\software\classes\clsid\{97720195-206a-42ae-8e65-260b9ba5589f}] [hklm\software\classes\clsid\{97d69524-bb57-4185-9c7f-5f05593b771a}] [hklm\software\classes\clsid\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}] [hklm\software\classes\clsid\{b18788a4-92bd-440e-a4d1-380c36531119}] c:\programdata\{b49a644a-10

 

========== Autre ==========

NON TRAITE 76-4A3D-B124-DAA7862F2318} C:\Users\Valérian\AppData\LocalLow\searchqutoolbar emptytempemptyflashfirewallraz

 

 

========== Récapitulatif ==========

1 : Valeur(s) du Registre

1 : Fichier(s)

1 : Autre

 

 

End of clean in 00mn 00s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 29/02/2012 00:52:30 [2134]

[Apollo]

Bonjour,

 

Es-tu parvenu à désinstaller Deamon Tool Lite et le driver SPTD ?

 

MBAM: Ne pas accepter la proposition d'essai de la version Pro sous peine de conflits.

 

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

|MG| Malwarebytes Anti-Malware 1.60.1.1000 Download

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[loulou2710]

Je pense avoir réussi à désinstaller daemon et sptd.

La protection temps reel avira ne veut pas se mettre en route.

 

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.02.29.05

 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 9.0.8112.16421

Valérian :: PC_DE_VAL_LAURE [administrateur]

 

01/03/2012 00:26:11

mbam-log-2012-03-01 (00-26-11).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 524992

Temps écoulé: 1 heure(s), 55 minute(s), 31 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 1

C:\Windows\System32\axinstsv.dll (Rootkit.0Access) -> Suppression au redémarrage.

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Données: C:\Windows\system32\regedit.exe -> Mis en quarantaine et supprimé avec succès.

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 6

C:\Windows\System32\axinstsv.dll (Rootkit.0Access) -> Suppression au redémarrage.

C:\Users\Valérian\AppData\Local\1cf6efbe\X (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

C:\Users\Valérian\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

[Apollo]

Bonjour,

 

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

 

Et coche les 2 options supplémentaires:

 

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

+++

[loulou2710]

Lien CJoint.com BCbuz6uDa9A

 

j'ai tout mis skip, c'est quoi tous ces trucs ??

[Apollo]

Bonsoir,

 

Avec TDSSKiller, tu ne dois pas modifier les réactions à avoir sur les détections de l'outil. Je l'ai indiqué en rouge: si tu skippes tout alors que l'outil conseillait CURE ou DELETE, cela n'aura servi à rien.

 

On va passer ou repasser un autre outil pour faire une vérif:

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

Modifié le 1 mars 2012 par Apollo

[loulou2710]

RogueKiller V7.2.1 [29/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Valérian [Droits d'admin]

Mode: Recherche -- Date: 01/03/2012 20:54:00

 

¤¤¤ Processus malicieux: 6 ¤¤¤

[sUSP PATH] rf2m08iqaw.exe -- C:\Users\Valérian\rf2m08iqaw.exe -> NOT KILLED [0x5]

[sVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]

[sVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]

[sVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]

[sVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]

[RESIDUE] rf2m08iqaw.exe -- C:\Users\Valérian\rf2m08iqaw.exe -> NOT KILLED [0x5]

 

¤¤¤ Entrees de registre: 5 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : rf2m08iqaw (C:\Users\Valérian\rf2m08iqaw.exe) -> FOUND

[sUSP PATH] HKUS\S-1-5-21-2934704154-1322454149-1878601150-1000[...]\Run : rf2m08iqaw (C:\Users\Valérian\rf2m08iqaw.exe) -> FOUND

[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD3200BEVT-60ZCT0 +++++

--- User ---

[MBR] be9ea4fb7909a50d90bba6c175f8cd42

[bSP] 093160f5170f7e517e17dd41aed3da67 : HP tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 295748 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 605693952 | Size: 9493 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt