Bonjour à tous,

Je suis actuellement infecté par deux virus que ni Malwarebytes Antimalware, ni A-squared, ni AVG n'arrivent à supprimer.

La vitesse de mon PC est ralentie, le démarrage est très lent et plante par moment.

Je poste ci-dessous mes rapports :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2687
Windows 5.1.2600 Service Pack 2

24/08/2009 16:11:58
mbam-log-2009-08-24 (16-11-58).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 177174
Temps écoulé: 16 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.

a-squared free v. 4.5.0.11
(C) 2003-2009 Emsi Software GmbH - www.emsisoft.com

ID Object
0 C:\WINDOWS\system32\svchost.exe Trojan.Win32.FakeCog!IK

Salut.

/!\ A l'attention de ceux qui passent sur ce sujet : L'outil qui suit ne doit pas être utilisé sans avis /!\

/!\ Désactive tes protections résidentes (Antivirus, Antispywares, etc...) /!\

Télécharge ComboFix (de sUBs) sur ton Bureau.

http://sd-1.archive-host.com/membres/up/21362097671547645/Delirium79.exe

* Double-clique sur Delirium79.exe (le .exe n'est pas forcément visible) afin de le lancer.
* Il va te demander d'installer la console de récupération : ACCEPTE !.
* Ne touche pas au pc durant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un Tutoriel sur l'utilisation de ComboFix (à lire avant de le lancer)

-->> http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

J'ai fais tout ce que je pouvais.... impossible de lancer Combofix. Il se coupe dés le début de l'analyse...

Salut.

Tu as bien désactivé tes protections ? Tu as deux antivirus sur ta machine.

Suis cette procédure pour supprimer toute trace de Norton:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

Désactive AVG et retente combofix. Si ça ne fonctionne pas, dis-le moi.

++

Oui j'avais bien désinstallé complètement Symantec.

Pour AVG j'ai dû utiliser AVG remover car j'avais un message d'erreur lorsque je passais par "ajout/suppression de programme".

Tu as désinstallé les deux AV ? Tu devais juste désactiver ton AV. Et comme j'ai vu que tu avais deux Antivirus, je t'ai conseillé de supprimer totalement Norton.

Bref,tu en es où ? Combofix ne démarre toujours pas ?

Quel outil t'a trouvé un Rootkit TDSS ?

Si combofix ne fonctionne pas, essaie cet outil :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec comme ceci !! :

=============Ne passe pas par MSConfig==============

• Redémarre ton ordinateur
• Tout de suite après le bip de démarrage, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

=============En Mode Sans Echec===================

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur une touche pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

• Appuie sur une touche pour redémarrer le PC.

=============En Mode Normal======================

• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

++

SDFix: Version 1.240
Run by Administrateur on mar. 25/08/2009 at 14:42

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-25 14:49:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Administrateur.GARAGEDUCARREFO\ntuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\JavaSoft\\JRE\\1.3.1\\bin\\javaw.exe"="C:\\Program Files\\JavaSoft\\JRE\\1.3.1\\bin\\javaw.exe:*:Enabled:javaw"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Java\\jre1.5.0_06\\bin\\javaw.exe"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\JavaSoft\\JRE\\1.3.1\\bin\\javaw.exe"="C:\\Program Files\\JavaSoft\\JRE\\1.3.1\\bin\\javaw.exe:*:Enabled:javaw"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"="C:\\Program Files\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
"C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"="C:\\Program Files\\AVG\\AVG8\\avgnsx.exe:*:Enabled:avgnsx.exe"

Remaining Files :



Files with Hidden Attributes :

Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Mon 9 Feb 2009 36,218,232 A..H. --- "C:\Documents and Settings\GLaurent\Local Settings\Temp\BIT87.tmp"

Finished!

Ci-dessus mon rapport SDFix.

Je n'ai pas pu lancer celui-ci dans un premier temps. J'ai pu le lancer seulement après en avoir changé le nom.

Pour répondre à la question précédente, oui j'ai désinstallé Symantec et AVG.

Et c'est A-squared qui m'a trouvé le trojan (voir plus haut). Malwarebytes le retrouvait également mais lors de la suppression de celui-ci (du trojan) -> message d'erreur et plantage du PC.

Je ne vois toujours pas de TDSS...

Ceci dit, bizarre que Combofix ne parte pas.

Avant de passer à autre chose,je t'envoie un MP.

A +

Mon rapport complet A-squared :

Version - a-squared Anti-Malware 4.5
Dernière mise à jour : 20/08/2009 16:28:33

Paramètres des balayages :

Type de balayage : Scan en Détail
Objets : Mémoire, Traces, Cookies, C:\
Balaye dans les archives : Marche
Analyse heuristique : Arrêt
Balaye dans les ADS : Marche

Début du balayage : 25/08/2009 15:48:10

[880] \\?\globalroot\systemroot\system32\UACulkmotawin.dll Objets détectés : Trojan.TDss!IK
[880] \\?\globalroot\systemroot\system32\UACfvlrohjqqb.dll Objets détectés : Trojan.Win32.FakeCog!IK
[1168] \\?\globalroot\systemroot\system32\UACulkmotawin.dll Objets détectés : Trojan.TDss!IK
[1276] \\?\globalroot\systemroot\system32\UACulkmotawin.dll Objets détectés : Trojan.TDss!IK
[1336] \\?\globalroot\systemroot\system32\UACulkmotawin.dll Objets détectés : Trojan.TDss!IK
[1524] \\?\globalroot\systemroot\system32\UACulkmotawin.dll Objets détectés : Trojan.TDss!IK
[1792] \\?\globalroot\systemroot\system32\UACulkmotawin.dll Objets détectés : Trojan.TDss!IK

Analysé

Fichiers : 343811
Traces : 585810
Cookies : 4
Processus : 18

Objets trouvés

Fichiers : 0
Traces : 0
Cookies : 0
Processus : 7
Clés de Registre : 0

Fin du balayage : 25/08/2009 16:23:49
Temps du balayage : 0:35:39

Re.

Redémarre en mode sans échec de cette manière :

=============Ne passe pas par MSConfig==============

• Redémarre ton ordinateur
• Tout de suite après le bip de démarrage, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Puis fais un scan "complet" avec MBAM. Reviens ici et poste le rapport s'il a trouvé quelque chose.

++

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2687
Windows 5.1.2600 Service Pack 2

24/08/2009 16:11:58
mbam-log-2009-08-24 (16-11-58).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 177174
Temps écoulé: 16 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.

Pas de solution pour moi??

Bonjour Delirium79


Ne t'inquiète pas, attends les instructions de Ric025

Salut !

Le soucis, c'est que normalement, les rootkits reconnaissent le nom de certains outils de désinfection. Le fait de les renommer permet de passer outre ces restrictions. Seulement, ici, Combofix, même renommé, ne veut pas démarrer.

L'affaire ne s'annonce pas simple.

On va tenter un outil qui a déjà permis de faire avancer un peu :

http://www.commentcamarche.net/telecharger/telechargement-34055015-avg-anti-rootkit

• Double clique sur le fichier téléchargé.
  
• Accepte la licence.
  
• Puis next >> install
  
• Redémarre ton PC comme demandé.
  
  Après redémarrage:
  
  
• Lance le programme
  
• Clique sur "search for rootkit"
  
• S'il trouve qu'elle que chose clique sur "save result to file".
  
• Puis sur "Perform in-deph search avg anti-rootkit"
  
• Et poste le rapport.

++

"Search for rootkit" : C:\WINDOWS\system32\drivers\UACeptklrxume.sys,Hidden driver file
"En-deph" : C:\WINDOWS\system32\drivers\UACeptklrxume.sys,Hidden driver file

Est-ce que je dois "remove selected items" maintenant?

Oui, tu peux supprimer.

++

Combofix fonctionne à présent :-))

ComboFix 09-08-23.01 - Administrateur 26/08/2009 16:26.1.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.510.284 [GMT 2:00]
Running from: c:\documents and settings\Administrateur\Bureau\Delirium79.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\uacinit.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_UACd.sys
-------\Service_UACd.sys


((((((((((((((((((((((((( Files Created from 2009-07-26 to 2009-08-26 )))))))))))))))))))))))))))))))
.

2009-08-26 13:43 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2009-08-25 12:38 . 2009-08-25 12:38 -------- d-----w- c:\windows\ERUNT
2009-08-25 12:33 . 2009-08-25 12:49 -------- d-----w- C:\SDFix
2009-08-25 07:23 . 2009-08-25 07:23 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Symantec
2009-08-25 06:51 . 2009-08-25 06:51 -------- d--h--w- c:\windows\system32\GroupPolicy
2009-08-24 14:16 . 2009-08-24 14:16 -------- d-----w- C:\rsit
2009-08-24 14:16 . 2009-08-24 14:16 -------- d-----w- c:\program files\trend micro
2009-08-24 08:35 . 2009-08-24 08:35 -------- d-s---w- c:\documents and settings\Administrateur.GARAGEDUCARREFO\UserData
2009-08-24 07:25 . 2009-08-24 07:25 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-08-24 06:10 . 2009-08-24 06:23 -------- d-----w- C:\graph
2009-08-21 15:05 . 2009-08-21 15:05 -------- d-----w- c:\program files\Microsoft Silverlight
2009-08-21 14:49 . 2009-08-21 14:49 -------- d-----w- c:\documents and settings\GLaurent\Application Data\Malwarebytes
2009-08-21 14:48 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-21 14:48 . 2009-08-21 14:49 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-21 14:48 . 2009-08-21 14:48 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-21 14:48 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-21 11:23 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-21 07:35 . 2009-08-21 08:31 -------- d-----w- c:\program files\Lavasoft
2009-08-21 07:35 . 2009-08-21 08:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-08-20 14:25 . 2009-08-24 08:28 -------- d-----w- c:\program files\a-squared Free
2009-08-20 14:24 . 2009-08-26 06:22 -------- d-----w- c:\program files\CCleaner

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-26 13:45 . 2009-07-25 09:32 19968 ----a-w- c:\windows\system32\UACqvngwuflut.dll
2009-08-26 13:45 . 2009-07-25 09:32 174 ----a-w- c:\windows\system32\UACrjnkciqugq.dat
2009-08-26 13:45 . 2009-07-25 09:32 74240 ----a-w- c:\windows\system32\UACulkmotawin.dll
2009-08-25 08:39 . 2009-07-27 07:23 -------- d-----w- c:\documents and settings\All Users\Application Data\avg8
2009-08-25 08:08 . 2006-03-10 17:00 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2009-08-25 08:08 . 2006-03-10 17:00 -------- d-----w- c:\program files\Symantec AntiVirus
2009-08-25 07:23 . 2006-03-10 17:00 -------- d-----w- c:\program files\Symantec
2009-08-20 14:22 . 2004-08-05 12:00 80364 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-20 14:22 . 2004-08-05 12:00 482304 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-20 14:18 . 2005-09-24 11:49 -------- d-----w- c:\documents and settings\GLaurent\Application Data\Lavasoft
2009-07-27 07:23 . 2009-07-27 07:23 -------- d-----w- c:\program files\AVG
2009-07-25 09:32 . 2009-07-25 09:32 18432 ----a-w- c:\windows\system32\UACfspfdprbhb.dll
2009-07-25 09:32 . 2009-07-25 09:32 30208 ----a-w- c:\windows\system32\UACjkmvbvphfd.dll
2009-07-25 09:32 . 2009-07-25 09:32 26624 ----a-w- c:\windows\system32\UACpxevstyqxd.dll
2009-07-25 09:32 . 2009-07-25 09:32 54784 ----a-w- c:\windows\system32\drivers\UACeptklrxume.sy_
2009-07-25 09:32 . 2009-07-25 09:32 843776 ----a-w- c:\windows\system32\UACfvlrohjqqb.dll
2009-07-09 14:11 . 2007-03-05 15:32 -------- d--h--w- c:\program files\Okelia
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-08-12 122939]
"UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2004-01-06 110592]
"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-26 53248]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2004-08-05 144384]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\msoffice\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\JavaSoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Java\\jre1.5.0_06\\bin\\javaw.exe"=

.
Contents of the 'Scheduled Tasks' folder
.
- - - - ORPHANS REMOVED - - - -

Notify-avgrsstarter - avgrsstx.dll
Notify-NavLogon - (no file)


.
------- Supplementary Scan -------
.
IE: E&xporter vers Microsoft Excel - c:\msoffice\Office10\EXCEL.EXE/3000
TCP: {37C5FAE6-6662-4EDE-9E25-0FE85161F489} = 193.74.208.135,193.74.208.65
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-26 16:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\program files\a-squared Free\a2service.exe
c:\program files\a-squared Free\a2service.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Completion time: 2009-08-26 16:37 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-26 14:37

Pre-Run: 69.237.559.296 octets libres
Post-Run: 69.445.832.704 octets libres

120

C'est une bonne nouvelle !

Maintenant, il faut réussir à tout supprimer :

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour Delirium79, il n'est pas transposable sur un autre ordinateur !

• Télécharge ce dossier http://sd-1.archive-host.com/membres/up/21362097671547645/Delirium79.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un fichier CFscript.txt se trouve à l'intérieur et se place sur le Bureau.

• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFscript.txt sur le fichier Combofix.exe (comme sur cette image)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

++

Et hop voilà

ComboFix 09-08-23.01 - Administrateur 27/08/2009 8:30.2.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.510.334 [GMT 2:00]
Running from: c:\documents and settings\Administrateur.GARAGEDUCARREFO\Bureau\Delirium79.exe
Command switches used :: c:\documents and settings\Administrateur.GARAGEDUCARREFO\Bureau\Delirium79\CFScript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2009-07-27 to 2009-08-27 )))))))))))))))))))))))))))))))
.

2009-08-26 13:43 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2009-08-25 12:38 . 2009-08-25 12:38 -------- d-----w- c:\windows\ERUNT
2009-08-25 12:33 . 2009-08-25 12:49 -------- d-----w- C:\SDFix
2009-08-25 06:51 . 2009-08-25 06:51 -------- d--h--w- c:\windows\system32\GroupPolicy
2009-08-24 14:16 . 2009-08-24 14:16 -------- d-----w- C:\rsit
2009-08-24 14:16 . 2009-08-24 14:16 -------- d-----w- c:\program files\trend micro
2009-08-24 11:39 . 2009-08-24 11:39 -------- d-----w- c:\documents and settings\Administrateur.GARAGEDUCARREFO\Application Data\Malwarebytes
2009-08-24 08:35 . 2009-08-24 08:35 -------- d-s---w- c:\documents and settings\Administrateur.GARAGEDUCARREFO\UserData
2009-08-24 06:10 . 2009-08-24 06:23 -------- d-----w- C:\graph
2009-08-21 15:05 . 2009-08-21 15:05 -------- d-----w- c:\program files\Microsoft Silverlight
2009-08-21 14:49 . 2009-08-21 14:49 -------- d-----w- c:\documents and settings\GLaurent\Application Data\Malwarebytes
2009-08-21 14:48 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-21 14:48 . 2009-08-21 14:49 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-21 14:48 . 2009-08-21 14:48 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-21 14:48 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-21 11:23 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-21 07:35 . 2009-08-21 08:31 -------- d-----w- c:\program files\Lavasoft
2009-08-21 07:35 . 2009-08-21 08:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-08-20 14:25 . 2009-08-24 08:28 -------- d-----w- c:\program files\a-squared Free
2009-08-20 14:24 . 2009-08-26 06:22 -------- d-----w- c:\program files\CCleaner

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-25 08:39 . 2009-07-27 07:23 -------- d-----w- c:\documents and settings\All Users\Application Data\avg8
2009-08-25 08:08 . 2006-03-10 17:00 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2009-08-25 08:08 . 2006-03-10 17:00 -------- d-----w- c:\program files\Symantec AntiVirus
2009-08-25 07:23 . 2006-03-10 17:00 -------- d-----w- c:\program files\Symantec
2009-08-20 14:22 . 2004-08-05 12:00 80364 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-20 14:22 . 2004-08-05 12:00 482304 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-20 14:18 . 2005-09-24 11:49 -------- d-----w- c:\documents and settings\GLaurent\Application Data\Lavasoft
2009-07-27 07:23 . 2009-07-27 07:23 -------- d-----w- c:\program files\AVG
2009-07-25 09:32 . 2009-07-25 09:32 54784 ----a-w- c:\windows\system32\drivers\UACeptklrxume.sy_
2009-07-09 14:11 . 2007-03-05 15:32 -------- d--h--w- c:\program files\Okelia
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-08-12 122939]
"UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2004-01-06 110592]
"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-26 53248]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2004-08-05 144384]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\msoffice\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\JavaSoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Java\\jre1.5.0_06\\bin\\javaw.exe"=

.
.
------- Supplementary Scan -------
.
IE: E&xporter vers Microsoft Excel - c:\msoffice\Office10\EXCEL.EXE/3000
TCP: {37C5FAE6-6662-4EDE-9E25-0FE85161F489} = 193.74.208.135,193.74.208.65
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-27 08:35
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\program files\a-squared Free\a2service.exe
c:\program files\a-squared Free\a2service.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Completion time: 2009-08-27 8:38 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-27 06:38
ComboFix2.txt 2009-08-26 14:37

Pre-Run: 69.423.271.936 octets libres
Post-Run: 69.404.815.360 octets libres

101

Je ne sais pas si tout est ok ou pas.

Je vais relancer A-Squared et Malwarebytes pour vérifier, je post le résultat après...

A-Squared : http://www.miraclesalad.com/webtools/clip.php?clip=3035

Malwarebytes : http://www.miraclesalad.com/webtools/clip.php?clip=3036

Je n'ai pris aucune action de nettoyage. Je n'ai effectué que ces 2 scans.

Salut !

C'est tout bon, je me suis trompé dans mon Script Combofix !!

Tu peux donc nettoyer avec MBAM. Le fichier que j'ai zappé sur le script sera supprimé. A-Squarred le détecte également, autant le supprimer avec MBAM, et les autres détections de A-Squarred sont en rapport avec la quarantaine de Combofix.

++

Ok, est-ce que je peux donc TOUT supprimer avec MBAM? Même les fichiers mis en quarantaine avec Combofix?

Tu peux tout supprimer avec MBAM !

Re,

N'oublie pas de ma poster le rapport MBAM une fois tout supprimé.

Puis fais un scan Hijackthis et poste le rapport :

HijackThis :

▶ Télécharge HijackThis

▶ Tout est expliqué sur ce site web pour l'installer et l'utiliser correctement.

▶ Poste le rapport obtenu dans le bloc note dans ta prochaine réponse.

++

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:13:03, on 28/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - Global Startup: Microsoft Office.lnk = C:\MSOffice\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\MSOffice\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1251103607484
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1251102981812
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = GarageduCarrefour.local
O17 - HKLM\Software\..\Telephony: DomainName = GarageduCarrefour.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{37C5FAE6-6662-4EDE-9E25-0FE85161F489}: NameServer = 193.74.208.135,193.74.208.65
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = GarageduCarrefour.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{37C5FAE6-6662-4EDE-9E25-0FE85161F489}: NameServer = 193.74.208.135,193.74.208.65
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = GarageduCarrefour.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{37C5FAE6-6662-4EDE-9E25-0FE85161F489}: NameServer = 193.74.208.135,193.74.208.65
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)

--
End of file - 4984 bytes

Version - a-squared Anti-Malware 4.5
Dernière mise à jour : 27/05/2009 16:12:39

Paramètres des balayages :

Type de balayage : Scan en Détail
Objets : Mémoire, Traces, Cookies, C:\
Balaye dans les archives : Marche
Analyse heuristique : Arrêt
Balaye dans les ADS : Marche

Début du balayage : 27/05/2009 16:44:13

C:\Qoobox\Quarantine\C\WINDOWS\system32\_UACfspfdprbhb_.dll.zip/UACfspfdprbhb.dll Objets détectés : Trojan.Crypt!IK
C:\Qoobox\Quarantine\C\WINDOWS\system32\_UACfvlrohjqqb_.dll.zip/UACfvlrohjqqb.dll Objets détectés : Trojan.Win32.FakeCog!IK
C:\Qoobox\Quarantine\C\WINDOWS\system32\_UACjkmvbvphfd_.dll.zip/UACjkmvbvphfd.dll Objets détectés : Packed.Win32.Tdss!IK
C:\Qoobox\Quarantine\C\WINDOWS\system32\_UACpxevstyqxd_.dll.zip/UACpxevstyqxd.dll Objets détectés : Trojan.Win32.FakeCog!IK
C:\Qoobox\Quarantine\C\WINDOWS\system32\_UACqvngwuflut_.dll.zip/UACqvngwuflut.dll Objets détectés : Packed.Win32.Tdss!IK
C:\Qoobox\Quarantine\C\WINDOWS\system32\_UACulkmotawin_.dll.zip/UACulkmotawin.dll Objets détectés : Trojan.TDss!IK

Analysé

Fichiers : 342420
Traces : 585810
Cookies : 5
Processus : 20

Objets trouvés

Fichiers : 6
Traces : 0
Cookies : 0
Processus : 0
Clés de Registre : 0

Fin du balayage : 27/05/2009 17:15:22
Temps du balayage : 0:31:09

C:\Qoobox\Quarantine\C\WINDOWS\system32\_UACulkmotawin_.dll.zip/UACulkmotawin.dll Objets Supprimés Trojan.TDss!IK
C:\Qoobox\Quarantine\C\WINDOWS\system32\_UACjkmvbvphfd_.dll.zip/UACjkmvbvphfd.dll Objets Supprimés Packed.Win32.Tdss!IK
C:\Qoobox\Quarantine\C\WINDOWS\system32\_UACqvngwuflut_.dll.zip/UACqvngwuflut.dll Objets Supprimés Packed.Win32.Tdss!IK
C:\Qoobox\Quarantine\C\WINDOWS\system32\_UACfvlrohjqqb_.dll.zip/UACfvlrohjqqb.dll Objets Supprimés Trojan.Win32.FakeCog!IK
C:\Qoobox\Quarantine\C\WINDOWS\system32\_UACpxevstyqxd_.dll.zip/UACpxevstyqxd.dll Objets Supprimés Trojan.Win32.FakeCog!IK
C:\Qoobox\Quarantine\C\WINDOWS\system32\_UACfspfdprbhb_.dll.zip/UACfspfdprbhb.dll Objets Supprimés Trojan.Crypt!IK

Objets Supprimés

Fichiers : 6
Traces : 0
Cookies : 0

Salut.

Ok, pas de soucis pour A-Squarred, c'est la quarantaine de combofix qu'il a supprimée !
Tu as celui de MBAM ?

==========================

Ensuite, tu as beaucoup de mises à jour en retard ! Il faut faire attention, car cela créé des failles de sécurité exploitables par les pirates !

Mets à jour IE et XP via Windows Update. Tu devrais trouver Internet Explorer 8 ainsi que le SP 3 de XP.

===========================

Adobe n'est pas à jour. Via le panneau de configuration, désinstalle Adobe reader 5 (faille de sécurité)

Télécharge et installe la version actuelle: [http://get.adobe.com/fr/reader/ Adobe Reader 9.1.3]

============================

Désinstalle également Java ! Télécharge et installe la dernière version : http://www.java.com/fr/download/

============================

Relance ensuite HijackThis et choisis cette fois "Do a system scan only". La liste créée, coche les lignes suivantes :

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file) O4 - Global Startup: Microsoft Office.lnk = C:\MSOffice\Office10\OSA.EXE O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - [url=http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab]http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab[/url] O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - [url=http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1251103607484]http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1251103607484[/url] O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url=http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1251102981812]http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1251102981812[/url]

Clique sur "Fix Checked".

Redémarre le pc et envoie un tout dernier Hijackthis. Si tu ne vois aucun soucis, si les mises à jour sont ok, on pourra finaliser.

++

Salut

Petits problèmes :

Mets à jour IE et XP via Windows Update : ma version de XP n'est pas une "officielle"

===========================

Adobe n'est pas à jour : il s'agit ici d'un pc à usage professionnel et certains programmes NE PEUVENT utiliser que Acrobat 5.0 -> pas de mise à jour

============================

Désinstalle également Java ! Télécharge et installe la dernière version : Même problème qu'ici au dessus.

sujet verouillé pour inactivité

si besoin de le réouvrir demandé au helper qui s'occupe du sujet

merci