[Résolu] Rootkit TDSS - pas de restauration possible, meme apres un scan de a-squared

Bonjour à vous Héros des temps modernes...

Je reviens tout petit vers vous pour solliciter de nouveau de l'aide, l'ordinateur portable toshiba de mon amie est encore victime de... "quelque chose".
Une alerte windows s'est d'un seul coup mis en branle, le sujet était que qu'un risque fort avait été détecté et qu'il était urgent d'installer l'antivirus de windows proposé sur le meme tableau ou l'on active le pare feu, je n'ai pas voulu suivre ce conseil dans un premier temps étant donné que j'avais déja antivir, mais le pobleme a persisté, ah oui le problème est que l'ordinateur après s'être lancé normalement se bloque completement au bout de 30 secondes (environ). j'ai tenté de lancé une restauration systeme en mode sans echec mais apres avoir selection un point de restauration, l'application ne se lance tout simplement pas.
J'ai installé a-squared et fait un scan complet, mais ca n'a rien arrangé, la restauration refuse toujours de se lancer.

Merci d'avance, voici le scan de a-squred:

Version - a-squared Anti-Malware 4.5
Dernière mise à jour : 18/12/2009 20:04:54

Paramètres des balayages :

Type de balayage : N/A
Objets : Mémoire, Traces, Cookies, C:\, E:\
Balayage dans les archives : Marche
Analyse heuristique : Arrêt
Balayage dans les ADS : Marche

Début du balayage : 18/12/2009 20:05:20

\\?\globalroot\systemroot\system32\H8SRTehtitlwhky.dll Objets détectés : Packed.Win32.Tdss!IK
c:\microgaming Objets détectés : Trace.Directory.Ruby Fortune Casino!A2
Value: HKEY_CURRENT_USER\Software\Grand Virtual --> XD3C Objets détectés : Trace.Registry.Casino Treasure!A2
c:\documents and settings\all users\menu démarrer\programmes\everest poker\ Objets détectés : Trace.Directory.EverestPoker!A2
c:\documents and settings\all users\menu démarrer\programmes\everest poker\everest poker.lnk Objets détectés : Trace.File.EverestPoker!A2
c:\documents and settings\all users\menu démarrer\programmes\everest poker\uninstall everest poker.lnk Objets détectés : Trace.File.EverestPoker!A2
Key: HKEY_CURRENT_USER\software\Grand Virtual Objets détectés : Trace.Registry.EverestPoker!A2
c:\program files\antimalware\malw.db Objets détectés : Trace.File.AntiMalware!A2
Key: HKEY_LOCAL_MACHINE\software\AntiMalware Objets détectés : Trace.Registry.AntiMalware!A2
Key: HKEY_CURRENT_USER\software\MGS\Thumper\Casino Objets détectés : Trace.Registry.CasinoAction!A2
c:\program files\divx\divx pro codec\license.txt Objets détectés : Trace.File.DivX 5.0.3 Pro Bundle!A2
c:\program files\divx\divx pro codec\readme.txt Objets détectés : Trace.File.DivX 5.0.3 Pro Bundle!A2
Key: HKEY_CLASSES_ROOT\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} Objets détectés : Trace.Registry.Claria.CommonComponents!A2
Key: HKEY_LOCAL_MACHINE\software\classes\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} Objets détectés : Trace.Registry.Claria.CommonComponents!A2
Value: HKEY_LOCAL_MACHINE\software\classes\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} --> gef Objets détectés : Trace.Registry.Claria.CommonComponents!A2
Value: HKEY_LOCAL_MACHINE\software\classes\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} --> gmg Objets détectés : Trace.Registry.Claria.CommonComponents!A2
Value: HKEY_LOCAL_MACHINE\software\classes\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} --> uets Objets détectés : Trace.Registry.Claria.CommonComponents!A2
Key: HKEY_LOCAL_MACHINE\software\gator.com Objets détectés : Trace.Registry.Claria.CommonComponents!A2
Key: HKEY_LOCAL_MACHINE\software\gator.com\gator Objets détectés : Trace.Registry.Claria.WebSecureAlert!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\dyn --> PdpFirstStart Objets détectés : Trace.Registry.Gator.com Trickler!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\stat --> Guid Objets détectés : Trace.Registry.Gator.com Trickler!A2
Key: HKEY_LOCAL_MACHINE\software\gator.com\gator\dyn Objets détectés : Trace.Registry.Gator!A2
C:\Documents and Settings\Elise\Bureau\bilou\pkrinstall.exe/pkr.exe Objets détectés : Riskware.Monitor.Win32.PKRPoker!IK
C:\Documents and Settings\Elise\Local Settings\Temp\clspackxq.exe Objets détectés : Packed.Win32.Tdss!IK
C:\Documents and Settings\Elise\Local Settings\Temp\Installer.exe Objets détectés : Packed.Win32.Tdss!IK
C:\Documents and Settings\Elise\Local Settings\Temp\wscsvc32.exe Objets détectés : Packed.Win32.Tdss!IK
C:\Documents and Settings\Elise\Mes documents\HP Tournament Clock\HP Installer.exe Objets détectés : Virus.Win32.Agent.BPB!IK
C:\Documents and Settings\Elise\Mes documents\hp-tournament-clock.zip/HP Installer.exe Objets détectés : Virus.Win32.Agent.BPB!IK

Analysé

Fichiers : 140054
Traces : 424054
Cookies : 7
Processus : 15

Objets trouvés

Fichiers : 13
Traces : 21
Cookies : 0
Processus : 0
Clés de Registre : 0

Fin du balayage : 18/12/2009 21:27:31
Temps du balayage : 1:22:11

voici le rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:19:45, on 18/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Elise\Mes documents\HiJackThis.exe
C:\Program Files\Internet Explorer\Iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.mg40.mail.yahoo.com/dc/launch?.rand=bvq3jh9mi6ijk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2453821 14
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [clspackxq.exe] C:\DOCUME~1\Elise\LOCALS~1\Temp\clspackxq.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ImageMixer for HDD Camcorder.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Unibet - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\unibetpokerMPP\MPPoker.exe (file missing) (HKCU)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - https://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} - http://www.pixdiscount.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 7277 bytes

Merci d'avance

Salut.

Plusieurs choses ! /!\Attention, tout peut ne pas fonctionner. Suis les étapes dans l'ordre, si un outil ne passe pas, passe au suivant.

AD-Remover


Télécharge et enregistre le fichier d installation sur ton bureau : /// ---> AD-REMOVER DE C_XX<--- \\\

Ici, le ---Tuto d'installation--- si besoin.

Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )

Ouvre le dossier Ad-remover présent sur ton bureau

Double clique sur Ad-remover.bat.

Au menu principal choisi l'option "L" et tape sur [entrée] .

Laisse travailler l'outil et ne touche à rien ...

Poste le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL A Pour tout selectionner , CTRL C pour copier et CTRL V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

======================

▶ Télécharge Malwarebytes Anti-Malware (MBAM): ///---> Malwarebytes Anti-Malware <---\\\

▶ Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.

▶ Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".

▶ Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".

Poste le rapport généré.

Bonjour ric025 et merci de me venir en aide.

Voici déjà le rapport de ad-remover:


.
======= RAPPORT D'AD-REMOVER 1.1.4.6_F | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 20.12.2009 à 18:16
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:21:10, 20/12/2009 | Mode sans echec | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft Windows XP Service Pack 2 v5.1.2600
Nom du PC: NOM-1FF766121D7 | Utilisateur actuel: Administrateur
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.


(!) -- Fichiers temporaires supprimés.

.
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 7.0.5730.11 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1 (0x1)
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\Elise\Application Data\BitTorrent\Windows XP Pro SP2 FR ISO + Serial + Crack + Remove WPA Notificiation.torrent
.
===================================
.
1910 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
0 Fichier(s) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
0 Fichier(s) - C:\WINDOWS\Temp
0 Fichier(s) - C:\WINDOWS\Prefetch
.
17 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 18:41:27 | 20/12/2009 - CLEAN[1]
.
============== E.O.F ==============
.

je me lance dans la suite du programme

J'ai aujourd'hui une demande persistante pour l'activation du filtre anti-hameçonnage automatique de Microsoft.
Avant de l'activer, j'aimerais connaitre un avis sur lui, je n'ai jamais rencontré cette proposition auparavant...

Merci

bon ben, finalement MBAM refuse de se lancer, j'ai essayé de le désinstaller (vu qu'il était déja sur l'ordi) et même ca je n'ai pas réussi a le faire...

Ok, c'est un peu ce que je craignais; N'installe rien pour l'instant. Fais juste ce que je te demande et utilise un minimum le pc pour l'instant.

/!\ A l'attention de ceux qui passent sur ce sujet : L'outil qui suit ne doit pas être utilisé sans avis /!\

/!\ Désactive tes protections résidentes (Antivirus, Antispywares, etc...) /!\

Télécharge ComboFix (de sUBs) sur ton Bureau. Il est renommé et s'appelle ici lamagie.exe

https://sd-1.archive-host.com/membres/up/21362097671547645/lamagie.exe

* Double-clique sur lamagie.exe (le .exe n'est pas forcément visible) afin de le lancer.
* Il va te demander d'installer la console de récupération : ACCEPTE !
* Ne touche pas au pc durant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un Tutoriel sur l'utilisation de ComboFix (à lire avant de le lancer)

-->> http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

++

Bonjour à toi ric025 et encore et toujours merci de m'aider...

Bon j'ai deux nouvelles, une très bonne et une je sais pas trop si j'ai fait mon boulet..?

La première est que j'ai executé combifix et que l'ordi refonctionne à premiere vue correctement ce qui est une très bonne nouvelle!!!

La deuxième et c'est la que je ne sais pas trop ou je me situe.

Après l'examen automatique de combofix, l'ordinateur a redémarré mais juste aprés avoir cliqué sur le compte utilisateur un écran bleu avec plein d'écriture est apparu avant que l'ordinateur ne redémarre aussitot. j'ai de nouveau cliqué sur le compte utilisateur et un message d'erreur sur le fond d'écran vierge est apparu:

"windows ne trouve pas "C:\lamagie\res.bat" verifiez que vous avez entré le nom correctement et essayer de nouveau. Pour rechercher un fichier, cliquer sur le bouton démarrez, puis sur rechercher."

Je crois que la manip de combofix ne s'est pas terminé et je n'ai pas de rapport.
Du coup... je me demandais si le fait d'avoir lancé Combofix à partir du mode sans échec dans le compte utilisateur "administrateur" (compte auquel je n'ai accés que par le mode sans échec), vu que en lancant normalement xp je ne pouvais pour ainsi dire rien faire, n'a pas un petit peu perdu combofix, en tout cas le rapport n'existe pas non plus dans le compte administrateur!!!

Sinon il y a aussi le fait que je n'ai pas pu désactiver antivir vu qu'il n'existait plus à ce moment là, il existe à nouveau d'ailleurs.

J'attends tes instructions et laisse de côté l'ordinateur pour l'instant, je ne sais plus trop ou il en est même si tout à l'air de fonctionner.

Merci à toi.

++

Salut.

Même à la racine de C:\, tu n'as rien ? Pas de combofix.txt ?

Pour résumer tu en es où ? Tu peux redémarrer en mode normal ?

Fais ceci stp :

Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

http://images.malwareremoval.com/random/RSIT.exe

Double-clique sur RSIT.exe.

Clique sur Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

A noter: Les rapports se trouvent également ici: C:\rsit.

Les rapports seront trop longs, il vaut mieux les héberger. Passe par ce site : http://www.cijoint.fr

++

Salut ric025

Je pars pour les fetes et reviens le 27 décembre, je ne vais pas avoir le temps d'executer ca avant.

Merci et au 27 si dieu le veut bien.

++

Salut.

Pas de soucis; On verra à ce moment-là.

Bon réveillon alors.

Bonnes fêtes.
++

Salut ric025

Me revoila, j'espere que tu as passer un bon réveillon et que tu ne m'as pas oublier .

Pour répondre à ta première question je n'ai en effet pas le fichier "combofix.txt" à la racine de C:\, et oui je peux redémarrer en mode normal sans aucun souci apparant, comme si il n'y avait jamais eu de problèmes.

Je n'ai toutefois pas encore tenté la restauration du système à une heure antérieure, je préfère attendre ton avis avant ça !!!

Voici les deux rapports que tu m'as demandé:

"info": http://www.cijoint.fr/cjlink.php?file=cj200912/cij6DDaDKm.txt

et

"log": http://www.cijoint.fr/cjlink.php?file=cj200912/cijWsRdTF0.txt

Encore merci de m'aider.

++

salut juste pour te demander de patienter car avec les fetes nos helpeurs sont absents excuse nous du désagrément et de merci de ta compréhension

Salut arctarus (vive Goldo!!!).

Pas de problème, y a pas d'urgence.

Merci de prendre autant soin de nous

Bonjour par ici


Ric025 a demandé d'avancer un peu ton sujet (enfin si j'ai bien compris), alors si tu es d'accord, on va voir 2 ou 3 choses ensemble


Déjà, n'essaie pas de lancer de restauration du système, cela réinstallerait tous les vilains que Combofix a supprimé. D'après le premier rapport que tu as posté (a-squared), il y a du bon et gros vilain.


Etape 1

Supprime Combofix.exe

PUIS

Télécharge Combofix sur ton bureau depuis un de ces deux liens
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe

Ferme toutes tes fenêtres, désactive tes logiciels de sécurité.

Double clique sur Combofix pour le lancer et suis les instructions à l'écran. Pendant qu'il travaillera, ne touche plus à rien.
A priori il va redémarrer la machine, laisse le faire.
A la fin, il te fournira un rapport dont j'aurai besoin, copie/colle son contenu ici svp.

Une aide en image disponible ici



Etape 2

Clique ici pour télécharger Gmer sur ton bureau.

• Ferme tous tes programmes et déconnecte toi d'internet.
  
• Désactive tes logiciels de sécurité (antivirus, antispyware, etc).
  
  
• Décompresse le sur ton bureau et double clique sur Gmer.exe pour le lancer.
  
  • Utilisateur de Vista : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".
  
  
• Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, clique sur l'onglet Rootkit/Malware.
  
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  
  
• Clique sur le bouton Scan.
  
  • Laisse Gmer travailler et ne touche plus à ton ordinateur.
    
  • Patiente car le scan peut être long.
  
  
• A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu ici.
  
• Quitte Gmer et réactive tes logiciels de sécurité.
  

Attention à ne rien tenter par toi même !!


Bonne soirée ( et bonne année )

Bonjour GrosBébé

Merci de prendre le relais , j'ai bien pu effectuer combofix mais j'ai des petits souci avec gmer.
Je l'ai lancé une premiere fois et il n'a pas réussi a terminer, ordinateur bloqué. La deuxieme fois avait l'air d'être la bonne mais l'ordinateur s'est relancé et je n'ai pas trace de rapport???

Voici le rapport de combofix, je vais tenter à nouveau GMER.

http://www.cijoint.fr/cjlink.php?file=cj201001/cij4UXHmmO.txt

Bonsoir


Ok, maintenant reste à voir la suite. Avec la présence d'un rootkit sur le pc, il vaut mieux qu'on arrive à avoir quelque chose d'un anti rootkit.


Si gmer ne veut pas se lancer (ce qui arrive de temps en temps), essaie RootRepeal.


Télécharge RootRepeal en cliquant sur un des liens ci dessous et sauvegarde le sur ton bureau :

Lien 1
Lien 2

• Double clique sur RootRepeal pour le lancer
  Vista : clique droit sur l'icône > lancer en tant qu'administrateur
  
  
• Clique sur l'onglet Report (en bas)
  
• Clique sur le bouton scan
  
• coche :
  
  *Drivers
  *Files
  *Processes
  *SSDT
  *Stealth Objects
  *Hidden Services
  *Shadow SSDT
  
  
• Clique sur le bouton OK.
  
• Fenêtre suivante, sélectionne tous tes lecteurs. Clique sur OK pour lancer le scan.
  Patiente le temps du scan et ne touche plus à rien
  
  
• A la fin, clique sur le bouton Save Report et sauvegarde le sur le bureau.

Quitte le programme et poste le rapport.

Bonjour,

Juste une ou deux question avant si tu le veux bien.

Faut-il que je rentre sur l'ordinateur en mode sans echec?

Et est ce qu'il faut que j'execute le même procédé avec "Rootrepeal", à savoir fermer les softs de sécurité et me déconnecter d'internet?

Encore merci.

Bonjour Lamagie


Tu peux lancer Gmer ou RootRepeal depuis le mode normal.
RootRepeal peut être lancer sans désactiver tes logiciels de sécurité.

A plus tard et bonne journée.

Salut

Voila le rapport, tout a fonctionné et très rapidement.

Merci.

Salut


Excellent

Maintenant on va supprimer les fichiers temporaires, ça pourrait être bien parce que si je me fie au rapport ASquared, il se pourrait qu'il y ait des fichiers infectieux.


Etape 1

Télécharge TFC (clique ici) (de Old Timer) sur le bureau

• TFC va fermer toutes tes fenêtres, je te conseille d'enregistrer ton travail puis de les fermer par toi même pour éviter de perdre ton travail
  
• Double clique sur TFC.exe pour le lancer
  
• Clique sur le bouton Start et patiente quelques instants.
  
• Une fois le nettoyage terminé, ton pc va redémarrer. S'il ne le fait pas, redémarre le toi même pour terminer le nettoyage

Etape 2

• Clique ici pour télécharger OTL (de Old Timer) sur ton bureau
  
• Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
  
• Coche Lop Check et Purity check
  
• Sous Custom Scans (en bas), copie/colle ceci
  
  %SYSTEMDRIVE%\*.*
  %PROGRAMFILES%\*.*
  %PROGRAMFILES%\*.
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  /md5start
  eventlog.dll
  scecli.dll
  netlogon.dll
  cngaudit.dll
  sceclt.dll
  ntelogon.dll
  logevent.dll
  iaStor.sys
  nvstor.sys
  atapi.sys
  IdeChnDr.sys
  viasraid.sys
  AGP440.sys
  vaxscsi.sys
  nvatabus.sys
  viamraid.sys
  nvata.sys
  nvgts.sys
  iastorv.sys
  ViPrt.sys
  eNetHook.dll
  ahcix86.sys
  KR10N.sys
  nvstor32.sys
  ahcix86s.sys
  nvrd32.sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
  CREATERESTOREPOINT
  
  
  
• Clique sur le bouton Run Scan en haut à gauche puis patiente quelques instants.
  
  
  
  • A la fin du scan, deux rapports s'ouvriront (OTL.Txt et Extras.Txt).
  
  PS : Les rapport sont aussi enregistrés sur le bureau

Les rapports sont longs, vérifie qu'ils sont entiers quand tu les copies/colles sur cijoint.fr


Bonne soirée

Voici les rapports:

OTL.txt: http://www.cijoint.fr/cjlink.php?file=cj201001/cijRBoHnau.txt

Extras.txt: http://www.cijoint.fr/cjlink.php?file=cj201001/cijGY3vjS8.txt

Je comprends pas trop ce que je fait depuis le début mais ca à l'air d'être du lourd


PS: As-tu eu le lien pour le rapport "RootRepeal", je ne le vois plus???

Encore une fois merci.

Salut


Et bien oui, c'est un rootkit, et ce n'est pas évident à enlever. Mais là, ça a l'air d'être pas mal.

J'ai eu le rapport de RootRepeal, c'est moi qui ai effacé le lien parce qu'il y avait une adresse mail.


Maintenant, voyons voir si Malwarebytes fonctionne.


Etape 1

Relance OTL

• Dans le cadre Custom Scans/Fixes qui est en bas, colle le contenu du cadre ci dessous :
  
  

  Citation :

  :OTL
  O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
  [2009/12/17 21:24:43 | 00,000,008 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\sysReserve.ini
  [2009/01/07 14:57:28 | 00,000,000 | ---D | M] -- C:\Program Files\Avast4
  
  :Commands
  [purity]
  [emptytemp]

  Puis clique sur le bouton Run Fix en haut.
  
• Laisse OTL tourner, le pc va redémarrer.
  
• Au redémarrage, un nouveau rapport va s'ouvrir, copie/colle son contenu ici svp
  

Etape 2

• Lance Malwarebyte et mets à jour la base de définition en allant dans l'onglet "Mise à jour" puis clique sur "recherche de mise à jour"
  
• Choisi Exécuter un examen rapide puis Rechercher
  
• Laisse l'analyse se faire (cela peut durer longtemps).
  
• A la fin, vérifie que les éléments trouvés soient cochés (dans "Résultat de l'examen").
  
• Puis clique sur Supprimer la sélection en bas.
  
• Un redémarrage peut être nécessaire.

Un rapport va s'afficher, enregistre-le sur ton bureau. Sinon, après le démarrage, il se trouvera dans Rapports/logs[/list]
Et poste le rapport svp

Une aide à l'utilisation ici


Etape 3

Envoie les rapports de OTL et de Malwarebyte svp. Tu peux les coller directement ici sans passer par cijoint.
Au passage, comment fonctionne le pc ?


Bonne journée

Bonjour GrosBébé


ETAPE 1

Voici le rapport OTL:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
C:\Documents and Settings\All Users\Application Data\sysReserve.ini moved successfully.
C:\Program Files\Avast4\Setup folder moved successfully.
C:\Program Files\Avast4 folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Elise
->Temp folder emptied: 2474 bytes
->Temporary Internet Files folder emptied: 3475143 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 3,00 mb


OTL by OldTimer - Version 3.1.21.0 log created on 01082010_152008

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


----------------------------------------------------------------------------------------------

ETAPE 2

Par contre comme tu le soupconnais "Malwarebyte" ne fonctionne pas, le message d'erreur est:

Une erreur est survenue.Veuillez transmettre au support de MBAM le code d'erreur ci-dessous.

Error code: 723 (2)

Sinon le pc en lui-même fonctionne bien dans l'ensemble mais j'evite encore de m'en servir, si je le laisse simplement allumé un certain temps Avira détecte quelque chose (malheureusement j'ai oublié de noter ce que c'était, je l'ai mis en quarantaine), et il m'est aussi arrivé à deux reprise d'observer l'utilisation de l'UC à 100% en continu alors que rien ne le justifiait.

Bonjour bonjour

lamagie a écrit:

Par contre comme tu le soupconnais "Malwarebyte" ne fonctionne pas, le message d'erreur est:

Une erreur est survenue.Veuillez transmettre au support de MBAM le code d'erreur ci-dessous.

Error code: 723 (2)

Ok je vois. Désinstalle Malwarebytes, puis réinstalle le svp
http://majorgeeks.com/downloadget.php?id=5756&file=15&evp=693ee0b20204960edfd909666f809b26

Citation :

si je le laisse simplement allumé un certain temps Avira détecte quelque chose (malheureusement j'ai oublié de noter ce que c'était, je l'ai mis en quarantaine)

Possible qu'Antivir détecte des vilains dans les zones de quarantaine, on verra.

A plus tard.

Je développe un peu :

Désinstalle Malwarebyte
Redémarre puis utilise ceci
http://www.malwarebytes.org/mbam-clean.exe

Redémarre une fois de plus, puis installe Malwarebyte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Si ça bloque toujours, on avisera

Re!!!

J'ai pu executer MBAM, mais à la suite de l'execution de mbam-clean j'ai d'abord eu ce message d'erreur:

SHGet Value failed with error code 0

J'ai tout de même continuer selon tes instructions et MBAM s'est bien éxecuter voici le rapport:

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3519
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

08/01/2010 18:32:10
mbam-log-2010-01-08 (18-32-10).txt

Type de recherche: Examen rapide
Eléments examinés: 115049
Temps écoulé: 5 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

On avance.

Je remarque que Java n'est pas installé sur ce pc, on va le mettre. Ensuite je te propose de lancer un scan en ligne pour contrôler le tout.


Etape 1

Télécharge et installe Java depuis le lien ci dessous.

http://java.com/fr/


Etape 2

Rends toi sur kaspersky online scanner (clique ici)

• Clique sur Accept en bas pour installer le programme.
  
• Ferme toutes tes fenêtres et désactive tes logiciels de sécurité.
  
• Clique sur exécuter pour lancer le programme.
  Patiente le temps de la mise à jour ...
  
• Clique sur my computer sous scan (à gauche)
  Patiente le temps du scan.
  
• Dès que c'est fini, clique sur Report... à gauche, puis clique sur save report...

Sauvegarde le rapport sous le nom kaspersky.txt et copie/colle son contenu ici svp.
Réactive ton antivirus.

ps : n'utilise pas ton pc le temps du scan.

Une aide en image ici

Bonjour

voila le rapport de kaspersky:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Saturday, January 9, 2010
Operating system: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Friday, January 08, 2010 23:22:30
Records in database: 3318709
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
F:\

Scan statistics:
Objects scanned: 112272
Threats found: 1
Infected objects found: 2
Suspicious objects found: 0
Scan duration: 04:16:49


File name / Threat / Threats count
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTehtitlwhky.dll.vir Infected: Packed.Win32.TDSS.aa 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTtymexmqsin.dll.vir Infected: Packed.Win32.TDSS.aa 1

Selected area has been scanned.

Salut


Pas mal, ces fichiers sont dans une zone de 40aine, on s'en occupera plus tard.

Tu as encore des alertes de la part d'antivir ?

Salut

Oui j'ai eu une alerte:

Trojan Horse
TR/Crypt.CFI.Gen

Sinon penses tu que le PC peut reprendre du service, j'aimerais quand même savoir vider les fichiers qui sont en quarantaine.

En tout cas merci pour tout.

Pas de quoi.

Ne t'inquiète pas, on videra les quarantaines à la fin. Là c'est encore trop tôt vu qu'antivir détecte encore quelque chose.

Il faudrait que je vois ce qu'il détecte.
En bas à droite de ton écran, tu as le parapluie d'antivir :
- clic droit dessus et sélectionne "Démarrer antivir"
- Antivir s'ouvre, sur la gauche clique sur "Evènement"
- sur la droite, une liste d'action apparait, double clique sur la première action qui s'appelle "Logiciel malveillant détecté" et copie/colle le contenu ici svp.

++

J'ai effectué un nouveau scan avant, je te copie colle ce que tu m'as demandé mais il y en a 4 autres de plus, dis moi si tu veux aussi le rapport du scan.

Dernier détecté:

The file 'C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP668\A0079696.exe'
contained a virus or unwanted program 'HIDDENEXT/Crypted' [heuristic]
Action(s) taken:
The file was moved to "4b7912e0.qua"!

-------------------------------------------------------------

Les quatres autres, au cas où !?!

The file 'C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP668\A0079690.exe'
contained a virus or unwanted program 'TR/Crypt.CFI.Gen' [trojan]
Action(s) taken:
The file was moved to "4b7912c6.qua"!

--------------------------------------------------------------

The file 'C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP665\A0074632.exe'
contained a virus or unwanted program 'HIDDENEXT/Crypted' [heuristic]
Action(s) taken:
The file was moved to "4b791216.qua"!

--------------------------------------------------------------

The file 'C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP626\A0066163.exe'
contained a virus or unwanted program 'TR/Crypt.CFI.Gen' [trojan]
Action(s) taken:
The file was moved to "4b79109b.qua"!

--------------------------------------------------------------

The file 'C:\Documents and Settings\Elise\Bureau\ComboFix.exe'
contained a virus or unwanted program 'HIDDENEXT/Crypted' [heuristic]
Action(s) taken:
The file was moved to "4bb606a1.qua"!

---------------------------------------------------------------

PS: la mise a jour d'Avira ne veut pas s'effectuer a cause d'une license invalide.

Salut

Ok, c'est tout bon, les fichiers détectés par Antivir sont dans les points de restauration de windows qu'on va bientôt vider. Et pour la dernière infection détectée, il s'agit d'un faux positif, pas de ce souci de côté là.

Pour la forme (et au cas où), je veux bien voir le rapport d'Antivir si tu l'as encore, si non ce n'est pas grave.

Antivir en attente (c'est pour éviter de tout mélanger)

A plus tard

Bonjour GrosBébé

Ca marche, voila le rapport d'Antivir:

Avira AntiVir Personal
Report file date: samedi 9 janvier 2010 23:38

Scanning for 1165085 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: NOM-1FF766121D7

Version information:
BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 10:02:56
AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 09:43:37
LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 09:41:23
LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 09:28:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 11:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 14:08:58
ANTIVIR2.VDF : 7.0.3.62 337408 Bytes 21/03/2008 20:12:34
ANTIVIR3.VDF : 7.0.3.68 57856 Bytes 25/03/2008 09:27:50
Engineversion : 8.1.0.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 10:58:21
AEscript.DLL : 8.1.0.19 229754 Bytes 07/04/2008 16:34:44
AESCN.DLL : 8.1.0.12 115060 Bytes 07/04/2008 16:34:44
AERDL.DLL : 8.1.0.19 418164 Bytes 07/04/2008 16:34:44
AEPACK.DLL : 8.1.1.0 364918 Bytes 18/03/2008 12:20:42
AEOFFICE.DLL : 8.1.0.15 192889 Bytes 07/04/2008 16:34:44
AEHEUR.DLL : 8.1.0.15 1147253 Bytes 07/04/2008 16:34:44
AEHELP.DLL : 8.1.0.11 115061 Bytes 07/04/2008 16:34:43
AEGEN.DLL : 8.1.0.15 299379 Bytes 07/04/2008 16:34:43
AEEMU.DLL : 8.1.0.5 430450 Bytes 07/04/2008 16:34:43
AECORE.DLL : 8.1.0.25 168309 Bytes 08/04/2008 10:58:32
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 18:07:53
AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 11:37:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 14:26:47
AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 18:07:49
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 09:29:23
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 09:31:31
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 18:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 18:08:39
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 13:05:10
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 15:37:25
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 13:02:11

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, E:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: samedi 9 janvier 2010 23:38

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'update.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned
Scan process 'CLI.exe' - '1' Module(s) have been scanned
Scan process 'CLI.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'reader_sl.exe' - '1' Module(s) have been scanned
Scan process 'IMx3Launcher.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned
Scan process 'sm56hlpr.exe' - '1' Module(s) have been scanned
Scan process 'RTHDCPL.EXE' - '1' Module(s) have been scanned
Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned
Scan process 'CLI.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'MDM.EXE' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
48 processes with 48 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'E:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '41' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\Elise\Bureau\ComboFix.exe
[0] Archive type: RAR SFX (self extracting)
--> 32788R22FWJFW\n.pif
[DETECTION] The file contains an executable. This, however, is disguised by a harmless file extension (HIDDENEXT/Crypted)
[NOTE] The file was moved to '4bb606a1.qua'!
C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP626\A0066163.exe
[DETECTION] Is the Trojan horse TR/Crypt.CFI.Gen
[NOTE] The file was moved to '4b79109b.qua'!
C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP665\A0074632.exe
[0] Archive type: RAR SFX (self extracting)
--> 32788R22FWJFW\n.pif
[DETECTION] The file contains an executable. This, however, is disguised by a harmless file extension (HIDDENEXT/Crypted)
[NOTE] The file was moved to '4b791216.qua'!
C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP668\A0079690.exe
[DETECTION] Is the Trojan horse TR/Crypt.CFI.Gen
[NOTE] The file was moved to '4b7912c6.qua'!
C:\System Volume Information\_restore{7E65214A-D691-4969-B9ED-40FAC1F678A8}\RP668\A0079696.exe
[0] Archive type: RAR SFX (self extracting)
--> 32788R22FWJFW\n.pif
[DETECTION] The file contains an executable. This, however, is disguised by a harmless file extension (HIDDENEXT/Crypted)
[NOTE] The file was moved to '4b7912e0.qua'!
Begin scan in 'E:\'


End of the scan: dimanche 10 janvier 2010 00:59
Used time: 1:20:49 min

The scan has been done completely.

11727 Scanning directories
415584 Files were scanned
5 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
5 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
415579 Files not concerned
7257 Archives were scanned
2 Warnings
5 Notes

Re

Ok, c'est bon, antivir n'a trouvé ces choses que dans les points de restauration.

On va supprimer tous les outils que je t'ai demandés d'utiliser. Au passage, les zones de quarantaine seront supprimées et les points de restauration vidés.

• Clique sur le menu démarrer et sélectionne Exécuter...
  
• Tape ComboFix /Uninstall (attention, il y a un espace) puis clique sur Ok.

Double clique sur OTL.exe et clique sur le bouton CleanUp.
OTL va supprimer tous les logiciels qu'on a utilisés et faire redémarrer ton ordinateur.


Supprime tous les logiciels que je t'ai demandés d'installer qui ne seraient pas partis avec OTL ainsi que les différents rapports.


Conserve Malwarebyte et utilise le régulièrement, c'est un antimalware "grand public"

"""""""""""""""""""""""""""""""""""""""""""""

Tu devrais penser à installer un pare feu, il va consommer un peu de mémoire, mais tu serais mieux protéger. En voici trois :
Online Armor Free
Sunbelt Personal Firewall
Agnitum Outpost Firewall

"""""""""""""""""""""""""""""""""""""""""""""

Startuplite est un programme qui va désactiver certains programmes inutiles au démarrage (ce qui libérera de la mémoire).

Auslogics Disk Defrag pour défragmenter ton ordinateur..

"""""""""""""""""""""""""""""""""""""""""""""

As tu des questions ?



Concernant Antivir, quelque chose m'embête. D'après le rapport, j'ai l'impression que tu utilises la précédente version ... désinstalle puis réinstalle le depuis ce lien svp.
http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

J'ai suivi tes conseils j'attends juste que l'ordinateur soit bien propre pour installer "Online Armor Free".

Je n'ai pas d'autres questions.

Merci

Bonjoue Lamagie


Les derniers rapports reçus semblent propres, donc pour moi c'est bon.
Tu as d'autres soucis ?

Bonne journée

Bonjour GrosBébé

Donc tout est OK je peux utiliser à nouveau mes points de restauration.

En tout un gros Merci à toi et à ric025. J'attends juste ta confirmation pour le restauration système et je signalerais le post comme résolu!!!

Bonsoir

Pour moi c'est bon, par contre :

GrosBébé a écrit:

Au passage, les zones de quarantaine seront supprimées et les points de restauration vidés.

Donc tu devrais pouvoir utiliser ta restauration du système (mais tu ne pourras revenir qu'à hier vu qu'on a purgé tes points de restauration).

Bonne soirée

OK

Sujet Resolu!!!

Un gros !!!!!!

Le sujet semble résolu, je le verrouille. Si pour une raison ou une autre, vous avez besoin de le réouvrir, faites en la demande par MP en précisant la raison et le lien vers ce sujet. Ceci ne s'applique qu'à lamagie. Pour les autres, créez votre propre sujet svp.