Programme Backdoor BDS/TDSS [Résolu]

slt il est costaud celui là


fais ceci:


télécharge combofix renommé en killfix (par sUBs) ici :

http://sd-1.archive-host.com/membres/up/193094576412487685/Killfix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

non car ton infection est très très chi...

Voila


ComboFix 08-12-20.01 - Jimmy 2008-12-20 19:59:47.1 - NTFSx86
Microsoft Windows XP Professionnel *.*.****.*.****.*.****.**.****.*** [GMT 1:00]
Lancé depuis: c:\documents and settings\Jimmy\Bureau\Killfix.exe
Commutateurs utilisés :: c:\documents and settings\Jimmy\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
* Un nouveau point de restauration a été créé
.
[i] ADS - system32: deleted 12 bytes in 1 streams. /i

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Jimmy\Application Data\.#
c:\windows\system32\i
c:\windows\system32\TDSSwupe.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MICR0S0FT_AGENT


((((((((((((((((((((((((((((( Fichiers créés du 2008-11-20 au 2008-12-20 ))))))))))))))))))))))))))))))))))))
.

2008-12-20 16:03 . 2008-12-20 16:03 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-20 16:03 . 2008-12-20 16:03 <REP> d-------- c:\documents and settings\Jimmy\Application Data\Malwarebytes
2008-12-20 16:03 . 2008-12-20 16:03 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-20 16:03 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-20 16:03 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-16 06:45 . 2008-12-16 06:45 <REP> d-------- c:\documents and settings\Jimmy\Application Data\TransRender
2008-12-16 06:45 . 2008-12-16 06:45 <REP> d-------- c:\documents and settings\Jimmy\Application Data\Temporary
2008-12-01 18:13 . 2008-12-01 18:15 <REP> d-------- c:\program files\PDF Blender
2008-11-25 22:32 . 2008-11-25 22:32 <REP> d-------- c:\program files\STOIK Imaging
2008-11-25 22:32 . 2008-11-25 22:32 <REP> d-------- c:\program files\Fichiers communs\ST System Shared
2008-11-25 22:32 . 2008-11-25 22:32 <REP> d-------- c:\documents and settings\Jimmy\Application Data\STOIK
2008-11-25 22:32 . 2008-11-25 22:32 <REP> d-------- c:\documents and settings\Jimmy\Application Data\InstallShield

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-20 18:56 --------- d-----w c:\program files\Java
2008-12-20 13:23 --------- d-----w c:\documents and settings\Jimmy\Application Data\uTorrent
2008-12-20 11:47 --------- d-----w c:\program files\Pvm
2008-12-19 23:20 --------- d-----w c:\program files\eMule
2008-12-16 05:32 1,234 ----a-w c:\documents and settings\Jimmy\Application Data\filterclsid.dat
2008-12-08 14:50 21,753,344 ----a-w c:\windows\Internet Logs\tvDebug.zip
2008-11-26 22:33 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-11-25 21:32 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-12 00:05 --------- d-----w c:\documents and settings\Jimmy\Application Data\ConvertTemp
2008-11-08 12:35 --------- d-----w c:\program files\Fichiers communs\SWF Studio
2008-07-02 19:40 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-07-02 19:40 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-07-02 19:40 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-07-02 19:40 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-07-02 19:40 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
2007-10-29 22:55 56 --sh--r c:\windows\system32\BC302C7CE3.sys
2007-10-29 22:55 3,350 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-11-21 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2003-11-12 48128]
"ATIPTA"="c:\ati technologies\ATI Control Panel\atiptaxx.exe" [2003-10-28 335872]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-10-19 286720]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-11-02 267048]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2003-08-08 13312]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm
"VIDC.FFDS"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
"vidc.VP31"= vp31vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"h"= h:Micrcsoft Windows Updeta

R0 avgntmgr;avgntmgr;c:\windows\System32\DRIVERS\avgntmgr.sys [2007-11-25 22336]
R1 avgntdd;avgntdd;c:\windows\System32\DRIVERS\avgntdd.sys [2007-11-25 45376]
R1 nltdi;nltdi;\??\c:\windows\System32\drivers\nltdi.sys [2007-04-23 82200]
R2 CX88XBAR;Conexant 2388x Crossbar;c:\windows\System32\drivers\CX88XBAR.sys [2007-10-28 6528]
S3 CV2K1;CommView Network Monitor;c:\windows\System32\DRIVERS\cv2k1.sys []
S3 s716bus;Sony Ericsson Device 716 driver (WDM);c:\windows\System32\DRIVERS\s716bus.sys [2008-09-10 83208]
S3 s716mdfl;Sony Ericsson Device 716 USB WMC Modem Filter;c:\windows\System32\DRIVERS\s716mdfl.sys [2008-09-10 15112]
S3 s716mdm;Sony Ericsson Device 716 USB WMC Modem Driver;c:\windows\System32\DRIVERS\s716mdm.sys [2008-09-10 108552]
S3 s716mgmt;Sony Ericsson Device 716 USB WMC Device Management Drivers (WDM);c:\windows\System32\DRIVERS\s716mgmt.sys [2008-09-10 100360]
S3 s716nd5;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (NDIS);c:\windows\System32\DRIVERS\s716nd5.sys [2008-09-10 23176]
S3 s716obex;Sony Ericsson Device 716 USB WMC OBEX Interface;c:\windows\System32\DRIVERS\s716obex.sys [2008-09-10 98568]
S3 s716unic;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (WDM);c:\windows\System32\DRIVERS\s716unic.sys [2008-09-10 98952]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
.
Contenu du dossier 'Tâches planifiées'

2008-12-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]

2007-10-29 c:\windows\Tasks\Rappel d'enregistrement 1.job
- c:\windows\System32\OOBE\oobebaln.exe [2003-08-08 13:00]

2007-11-04 c:\windows\Tasks\Rappel d'enregistrement 2.job
- c:\windows\System32\OOBE\oobebaln.exe [2003-08-08 13:00]

2007-11-11 c:\windows\Tasks\Rappel d'enregistrement 3.job
- c:\windows\System32\OOBE\oobebaln.exe [2003-08-08 13:00]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Micrcsoft Windows Updeta - nhvjex.exe
HKLM-Run-EPSON Stylus CX6600 Series - c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
HKLM-Run-Micrcsoft Windows Updeta - nhvjex.exe
HKLM-RunServices-Micrcsoft Windows Updeta - nhvjex.exe
HKU-Default-Run-Micrcsoft Windows Updeta - nhvjex.exe


.
------- Examen supplémentaire -------
.
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
TCP: {1980DD31-A21E-4238-9EE7-50778F652772} = 208.67.222.222,208.67.220.220
FF - ProfilePath - c:\documents and settings\Jimmy\Application Data\Mozilla\Firefox\Profiles\load1wro.default\
FF - prefs.js: browser.startup.homepage - hxxp://yahoo.fr/
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-20 20:05:54
Windows 5.1.2600 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(664)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(720)
c:\windows\System32\dssenh.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\windows\eHome\ehSched.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\eHome\ehrec.exe
c:\program files\NetLimiter 2 Pro\nlsvc.exe
c:\windows\system32\wdfmgr.exe
c:\program files\NetLimiter 2 Pro\NLClient.exe
c:\windows\eHome\ehmsas.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2008-12-20 20:09:45 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-20 19:09:42

Avant-CF: 48 293 183 488 octets libres
Après-CF: 49,172,738,048 octets libres

166 --- E O F --- 2007-10-29 10:39:18



Cela a-t-il fonctionné?
Comment j'ai chopé cette s*loperie? je suis sous Antivir, ZoneAlarm et AVG Anti-Spyware au niveau protection

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum


_____________

puis colle un rapport avec antivir que tu as

Rapport SDFix


[b]SDFix: Version 1.240 /b
Run by Jimmy on 20/12/2008 at 21:23

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b:

No Trojan Files Found






Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-20 21:34:57
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"h"="h:*:Enabled:Micrcsoft Windows Updeta"

[b]Remaining Files /b:



[b]Files with Hidden Attributes /b:

Sun 28 Oct 2007 191 A.SHR --- "C:\BOOT.BAK"
Mon 29 Oct 2007 56 ..SHR --- "C:\WINDOWS\system32\BC302C7CE3.sys"
Mon 29 Oct 2007 3,350 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Fri 18 Jan 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 13 Jun 2005 39,424 A..H. --- "C:\Documents and Settings\Jimmy\Mes documents\Textes\~WRL1934.tmp"

[b]Finished!/b



Rapport Antivir (qui n'a rien trouvé):



Avira AntiVir Personal
Report file date: samedi 20 décembre 2008 21:56

Scanning for 1106377 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: **********-*****-****
Platform: Windows XP
Windows version: (Service Pack 1) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: SN************

Version information:
BUILD.DAT : 8.2.0.337 16934 Bytes 18/11/2008 13:05:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25/11/2008 18:58:15
AVSCAN.DLL : 8.1.4.0 40705 Bytes 18/07/2008 18:56:26
LUKE.DLL : 8.1.4.5 164097 Bytes 18/07/2008 18:56:27
LUKERES.DLL : 8.1.4.0 12033 Bytes 18/07/2008 18:56:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 19:04:11
ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07/12/2008 18:57:56
ANTIVIR2.VDF : 7.1.0.250 342528 Bytes 18/12/2008 18:58:09
ANTIVIR3.VDF : 7.1.1.14 95232 Bytes 19/12/2008 18:58:05
Engineversion : 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 15/10/2008 18:58:45
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 11/12/2008 18:58:12
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 18:59:22
AERDL.DLL : 8.1.1.3 438645 Bytes 07/11/2008 18:59:21
AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 18:56:42
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11/12/2008 18:58:10
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 11/12/2008 18:58:08
AEHELP.DLL : 8.1.2.0 119159 Bytes 18/11/2008 18:58:05
AEGEN.DLL : 8.1.1.8 323956 Bytes 11/12/2008 18:58:02
AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 18:58:37
AECORE.DLL : 8.1.5.2 172405 Bytes 28/11/2008 18:57:52
AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 18:58:34
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18/07/2008 18:56:26
AVPREF.DLL : 8.0.2.0 38657 Bytes 18/07/2008 18:56:26
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 18:52:18
AVREG.DLL : 8.0.0.1 33537 Bytes 18/07/2008 18:56:26
AVARKT.DLL : 1.0.0.23 307457 Bytes 16/04/2008 18:45:57
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18/07/2008 18:56:26
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16/04/2008 18:45:57
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18/07/2008 18:56:27
NETNT.DLL : 8.0.0.1 7937 Bytes 16/04/2008 18:45:57
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18/07/2008 18:56:24
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18/07/2008 18:56:24

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: samedi 20 décembre 2008 21:56

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'Reader_SL.exe' - '1' Module(s) have been scanned
Scan process 'UnlockerAssistant.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned
Scan process 'ehmsas.exe' - '1' Module(s) have been scanned
Scan process 'ehtray.exe' - '1' Module(s) have been scanned
Scan process 'NLClient.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nlsvc.exe' - '1' Module(s) have been scanned
Scan process 'mdm.exe' - '1' Module(s) have been scanned
Scan process 'ehSched.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
36 processes with 36 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.
Master boot sector HD2
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '50' files ).


Starting the file scan:

Begin scan in 'C:\' <HDD>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!


End of the scan: samedi 20 décembre 2008 22:42
Used time: 45:56 Minute(s)

The scan has been done completely.

6841 Scanning directories
249609 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
249607 Files not concerned
7270 Archives were scanned
4 Warnings
0 Notes

ok parfait

pour virer ce qui a été utilisé:


Télécharge ToolsCleaner sur ton bureau.
--> http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).



puis pour virer les virus de ta restauration:


désactive ta restauration puis redémarre ton ordi puis réactive la pour virer les infections qui seraient dedans
http://www.informatruc.com/desactiver_restauration.php

[ Rapport ToolsCleaner version 2.2.8 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\SDFIX: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\Jimmy\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Jimmy\Bureau\SDFIX: trouvé !
C:\Documents and Settings\Jimmy\Bureau\SDFix\SDFIX: trouvé !
C:\Documents and Settings\Jimmy\Mes documents\Logiciels\vundoFix.exe: trouvé !
C:\RECYCLER\S-1-5-21-4124804132-1833156334-3677282102-1004\Dc1\SDFIX: trouvé !
C:\WINDOWS\NIRCMD.exe: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\Jimmy\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Jimmy\Mes documents\Logiciels\vundoFix.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\WINDOWS\NIRCMD.exe: supprimé !
C:\SDFIX: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\Jimmy\Bureau\SDFIX: supprimé !
C:\RECYCLER\S-1-5-21-4124804132-1833156334-3677282102-1004\Dc1\SDFIX: supprimé !

Fichiers temporaires nettoyés !
Corbeille vidée!


Je redemarre apres avoir désactivé la Resto.

encore des problèmes?













pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

ANTIVIR ou AVG8 ou (AVAST )
http://www.malekal.com/tutorial_antivir.php (merci Malekal)
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT +/- si tea timer non active de spybot:
WINDOWS DEFENDER ou SPYWARE TERMINATOR

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
--------
un pare feu :
celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall
http://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html
http://forum.pcastuces.com/sujet.asp?f=25&s=35606
http://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
http://manuelsdaide.com/Internet/Jetico/firewall.htm
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/

Salut

Non pas de backdoor revenu pendant la nuit :)
Je navigue deja sous FF et j'ai deja zonealarm et Antivir (meilleur antivirus gratuit, avast est toujours a la traine et j'ai eu des problemes avec)

Je n'ai pas compris ce passage:

<<des anti-espions :
MalwareByte's Anti-Malware + SPYBOT +/- si tea timer non active de spybot:
WINDOWS DEFENDER ou SPYWARE TERMINATOR
+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version >>

Il faut (préférable pour ma sécurité) que j'installe Malwarebyte's ET Spybot?
Puis installer aussi Win.Def. ou Spy.Term. si Spybot a un "tea timer non activé"? (ça je pige rien ^^)
Et installer encore en plus Spywareblaster?

oui mets


Il faut (préférable pour ma sécurité) que j'installe Malwarebyte's ET Spybot? et spywareblaster qui ne fais pas de scan mais immunise ton navigateur

Dois-je desinstaller AVG Antispyware (non licencié donc a moitié actif)

Ah et comment faire pour balancer Spywareblaster en barre des taches sans le fermer?
Car quand je le ferme visiblement ça ferme tout puisqu'il n'apparait pas dans la barre des taches.
Merci

c'est normal il ne fait que immuniser tes navigateur et ne fais pas d'analyse des espione en temps reel et meme tout court!

mets le a jour tous les mois et immunise et c'est tout!

ah ok merci :)
et concernant AVG Antispyware je le vire ou pas? (pas de bouclier résident parce que pas payé, d'ailleurs si tu en connais un gratuit ^^)

en antiespions gratuits comme indiqués:


des anti-espions :
MalwareByte's Anti-Malware + SPYBOT +/- si tea timer non active de spybot:
WINDOWS DEFENDER ou SPYWARE TERMINATOR






SPYBOT avec le tea timer ou
WINDOWS DEFENDER ou SPYWARE TERMINATOR font des analyses en temps réel

merci, pour terminer je te demanderais juste comment on fait pour déterminer si le tea timer (je sais juste que ça fait partie de spybot, je sais pas en quoi il consiste ni comment y acceder par contre) est activé ou non?
merci

tu lances SPYBOT puis tu vas dans MODE puis MODE AVANCE puis OUTILS puis RESIDENT

Ok il est actif :)

Merci grandement pour toute la solution. J'affiche "résolu".

@++

ok bonne suite

c'est un coriace mais en réalité relativement facile à éradiquer :
booter depuis un cd/dvd (pe builder ou ubcd4win)
ou démonter le disque dur pour l'analyser depuis un autre système
passer cureit de drweb en particulier sur le dossier lettre_du_disque_à_pb :\WINDOWS\system32\drivers
en fonction des disques durs installer l'antivirus va trouver des anomalies dans les fichiers pilotes de disque (pciide.sys ou/et atapi.sys)
désinfecter ces fichiers (ou les remplacer par d'autres sains)
en profiter pour faire une analyse complète du disque car ce backdoor n'est certainement pas venu tout seul...