Malekal's forum

[zicoeljarod]

bonjour et sorry pour la mauvaise rédaction du precedent sujet "avira et malware byte ne demarrent plus"

j'utilise un vieux pc, avec xp, qui tourne bien d'habitude
j'ai récupéré malware defense, je ne sais pas trop comment. Antivir (version gratuite) a disparu de la barre en bas à droite de l'écran, je n'arrive plus à le lancer.
apres avoir installé puis désinstallé des anti malware qui ne servent à rien, j'ai supprimé du moins en apparence, malware defense grace à hijackthis : du moins les pop up incessants ont disparu, mais aussi les alertes du centre sécurité windows.
je n'ai pas noté ce que j'ai effacé avec hijackthis, de mémoire y'avait settdebugx.exe et deux autres trucs.
cependant, toujours impossible de lancer antivir, sauf en mode sans échec: ça ne marche pas en cliquant sur le raccourci, ni dans le menu démarrer, mais ça marche en faisant clic droit sur un dossier. en scannant C/ je trouve alors 406 virus !!!
je n'ai pu que les mettre en quarantaine, pas d'autre choix proposé par antivir.
j'ai nettoyé avec CCleaner, registre aussi. toujours pas possible d'utiliser antivir en mode normal. apres avoir découvert votre site, j'installe malwarebyte : impossible de mettre à jour ou faire un scan ou juste le lancer (comme antivir sauf que malwarebyte fonctionne pas non plus en mode sans échec).
l'ordi plante toutes les cinq minutes en mode normal, ça fait douze heures que je galère...mon niveau informatique est loin d'etre brillant...help

[angelique]

en scannant C/ je trouve alors 406 virus !!!

si c'est de la detection Virut\Virtob.... autant formater direct

sinon :

• Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien :
http://fradesch.perso.cegetel.net/trans ... killer.exe

* Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan
* A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
* Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)
* Fais redémarrer ton PC

• telecharges sur ton bureau et balançe un coup de http://download.bleepingcomputer.com/grinler/rkill.com

• telecharges dans C:\program files\Malwarebytes' Anti-Malware\ , l'executif aleatoire et double clic dessus pour lançer MBAM
http://mbam.malwarebytes.org/program/random.php

* Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
* Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
* Sélectionne "Exécuter un examen rapide"
* Clique sur "Rechercher"
* L'analyse démarre, le scan est relativement long, c'est normal.
* A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
* Ferme tes navigateurs.
* Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
* MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.



NB : Si MBAM te demande à redémarrer, fais-le.

mise à jour manuelle si besoin : http://www.malwarebytes.org/mbam/databa ... -rules.exe

• .*´¨ )
,.•´¸.•*¨) ¸.•*¨)
(¸.•´ : (¸.•´ : (´¸.•*´¯`*•
» Télécharge combofix.exe (par sUBs) » renomme le dans la fenetre de telechargement par COlaF , et sauvegarde le sur ton bureau , pas ailleurs!!!!!


http://download.bleepingcomputer.com/sUBs/ComboFix.exe



http://imagesup.org/images/1238940640-cfdl.jpg


http://imagesup.org/images/1238940687-cfren.jpg




Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/

* Double-clique combofix.exe(COlaF), accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.
* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.
* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
.*´¨ )
,.•´¸.•*¨) ¸.•*¨)
(¸.•´ : (¸.•´ : (´¸.•*´¯`*•

[Wootsee]

Bonjour et merci à Angélique pour son explication qui m'a permis de remettre en fonction Antivir et MAM
même s' il a fallu que je m'y reprenne à 2 fois.

J'ai eu le même type d' infection que "zicoeljarod" avec les mêmes symptômes : Malware defense
Antivir et Malwarebytes anti-malware inopérants.
J' ai déjà eu l'occasion de subir 2, 3 infections solutionnées assez rapidement grâce à l'aide de ce forum notamment
mais là je dois avouer que celle -ci est de loin la plus pénible.

Je dois ajouter à vos explications qu'à mon niveau il a fallu que je désinstalle et réinstalle Antivir et MAM en mode
sans échec et qu'au démarrage du PC celui-ci se bloquait au bout de 2 minutes (Curseur fixe, impossibilité d'accès au gestionnaire de tâches,...) m' empêchant d' effectuer toute manipulation pour contrer l'infection.

Mon dernier rapport sur tdsskiller est le suivant, je n'ai pas utilisé combofix par contre est-ce indispensable ?
Merci par avance de vos réponses :



22:11:36:984 2228 TDSSKiller 2.1.1 Dec 20 2009 02:40:02
22:11:36:984 2228 ================================================================================
22:11:36:984 2228 SystemInfo:

22:11:36:984 2228 OS Version: 5.1.2600 ServicePack: 2.0
22:11:36:984 2228 Product type: Workstation
22:11:36:984 2228 ComputerName: STEPH-887849335
22:11:36:984 2228 UserName: Steph
22:11:36:984 2228 Windows directory: C:\WINDOWS
22:11:36:984 2228 Processor architecture: Intel x86
22:11:36:984 2228 Number of processors: 2
22:11:36:984 2228 Page size: 0x1000
22:11:36:984 2228 Boot type: Normal boot
22:11:36:984 2228 ================================================================================
22:11:37:031 2228 ForceUnloadDriver: NtUnloadDriver error 2
22:11:37:031 2228 main: Driver KLMD_Boot successfully unloaded
22:11:37:531 2228 ForceUnloadDriver: NtUnloadDriver error 2
22:11:37:640 2228 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\Drivers\KLMD.sys) returned status 0
22:11:37:640 2228 main: Driver KLMD successfully dropped
22:11:37:687 2228 main: Driver KLMD successfully loaded
22:11:37:687 2228
Scanning Registry ...
22:11:37:734 2228 ScanServices: Searching service UACd.sys
22:11:37:734 2228 ScanServices: Open/Create key error 2
22:11:37:734 2228 ScanServices: Searching service TDSSserv.sys
22:11:37:734 2228 ScanServices: Open/Create key error 2
22:11:37:734 2228 ScanServices: Searching service gaopdxserv.sys
22:11:37:734 2228 ScanServices: Open/Create key error 2
22:11:37:734 2228 ScanServices: Searching service gxvxcserv.sys
22:11:37:734 2228 ScanServices: Open/Create key error 2
22:11:37:734 2228 ScanServices: Searching service MSIVXserv.sys
22:11:37:734 2228 ScanServices: Open/Create key error 2
22:11:37:828 2228 UnhookRegistry: Kernel module file name: C:\windows\system32\ntkrnlpa.exe, base addr: 804D7000
22:11:38:453 2228 UnhookRegistry: Kernel local addr: B70000
22:11:38:515 2228 UnhookRegistry: KeServiceDescriptorTable addr: BF46E0
22:11:39:937 2228 UnhookRegistry: KiServiceTable addr: B9C960
22:11:39:953 2228 UnhookRegistry: NtEnumerateKey service number (local): 47
22:11:39:953 2228 UnhookRegistry: NtEnumerateKey local addr: CBB970
22:11:40:000 2228 KLMD_OpenDevice: Trying to open KLMD device
22:11:40:000 2228 KLMD_GetSystemRoutineAddressA: Trying to get system routine address ZwEnumerateKey
22:11:40:000 2228 KLMD_GetSystemRoutineAddressW: Trying to get system routine address ZwEnumerateKey
22:11:40:000 2228 KLMD_ReadMem: Trying to ReadMemory 0x804FF801[0x4]
22:11:40:000 2228 UnhookRegistry: NtEnumerateKey service number (kernel): 47
22:11:40:000 2228 KLMD_ReadMem: Trying to ReadMemory 0x80503A7C[0x4]
22:11:40:000 2228 UnhookRegistry: NtEnumerateKey real addr: F73F9CA4
22:11:40:000 2228 UnhookRegistry: NtEnumerateKey calc addr: 80622970
22:11:40:000 2228 KLMD_WriteMem: Trying to WriteMemory 0x80503A7C[0x4]
22:11:40:000 2228 UnhookRegistry: NtEnumerateKey (SDT) unhooked successfully
22:11:40:000 2228 KLMD_ReadMem: Trying to ReadMemory 0x80622970[0xA]
22:11:40:000 2228 UnhookRegistry: No splicing found on NtEnumerateKey
22:11:40:000 2228
Scanning Kernel memory ...
22:11:40:000 2228 KLMD_OpenDevice: Trying to open KLMD device
22:11:40:000 2228 KLMD_GetSystemObjectAddressByNameA: Trying to get system object address by name \Driver\Disk
22:11:40:000 2228 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk
22:11:40:000 2228 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 8674BA08
22:11:40:000 2228 DetectCureTDL3: KLMD_GetDeviceObjectList returned 2 DevObjects
22:11:40:000 2228 DetectCureTDL3: 0 Curr stack PDEVICE_OBJECT: 86746C68
22:11:40:000 2228 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86746C68
22:11:40:000 2228 KLMD_ReadMem: Trying to ReadMemory 0x86746C68[0x38]
22:11:40:000 2228 DetectCureTDL3: DRIVER_OBJECT addr: 8674BA08
22:11:40:000 2228 KLMD_ReadMem: Trying to ReadMemory 0x8674BA08[0xA8]
22:11:40:000 2228 KLMD_ReadMem: Trying to ReadMemory 0xE15DB640[0x208]
22:11:40:000 2228 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
22:11:40:000 2228 DetectCureTDL3: IrpHandler (0) addr: F7632C30
22:11:40:000 2228 DetectCureTDL3: IrpHandler (1) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (2) addr: F7632C30
22:11:40:000 2228 DetectCureTDL3: IrpHandler (3) addr: F762CD9B
22:11:40:000 2228 DetectCureTDL3: IrpHandler (4) addr: F762CD9B
22:11:40:000 2228 DetectCureTDL3: IrpHandler (5) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (6) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (7) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (8) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (9) addr: F762D366
22:11:40:000 2228 DetectCureTDL3: IrpHandler (10) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (11) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (12) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (13) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (14) addr: F762D44D
22:11:40:000 2228 DetectCureTDL3: IrpHandler (15) addr: F7630FC3
22:11:40:000 2228 DetectCureTDL3: IrpHandler (16) addr: F762D366
22:11:40:000 2228 DetectCureTDL3: IrpHandler (17) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (18) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (19) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (20) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (21) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (22) addr: F762EEF3
22:11:40:000 2228 DetectCureTDL3: IrpHandler (23) addr: F7633A24
22:11:40:000 2228 DetectCureTDL3: IrpHandler (24) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (25) addr: 804F4476
22:11:40:000 2228 DetectCureTDL3: IrpHandler (26) addr: 804F4476
22:11:40:000 2228 KLMD_ReadMem: Trying to ReadMemory 0x0[0x400]
22:11:40:015 2228 KLMD_ReadMem: DeviceIoControl error 1
22:11:40:015 2228 TDL3_StartIoHookDetect: Unable to get StartIo handler code
22:11:40:015 2228 TDL3_FileDetect: Processing driver: Disk
22:11:40:015 2228 TDL3_FileDetect: Parameters: C:\WINDOWS\system32\drivers\disk.sys, C:\WINDOWS\system32\Drivers\disk.tsk, SYSTEM\CurrentControlSet\Services\Disk, system32\Drivers\disk.tsk
22:11:40:015 2228 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\drivers\disk.sys
22:11:40:015 2228 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\drivers\disk.sys
22:11:40:031 2228 DetectCureTDL3: 1 Curr stack PDEVICE_OBJECT: 86749AB8
22:11:40:031 2228 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86749AB8
22:11:40:031 2228 DetectCureTDL3: 1 Curr stack PDEVICE_OBJECT: 866ADF18
22:11:40:031 2228 KLMD_GetLowerDeviceObject: Trying to get lower device object for 866ADF18
22:11:40:031 2228 DetectCureTDL3: 1 Curr stack PDEVICE_OBJECT: 8670E940
22:11:40:031 2228 KLMD_GetLowerDeviceObject: Trying to get lower device object for 8670E940
22:11:40:031 2228 KLMD_ReadMem: Trying to ReadMemory 0x8670E940[0x38]
22:11:40:031 2228 DetectCureTDL3: DRIVER_OBJECT addr: 86741F38
22:11:40:031 2228 KLMD_ReadMem: Trying to ReadMemory 0x86741F38[0xA8]
22:11:40:031 2228 KLMD_ReadMem: Trying to ReadMemory 0xE10133F8[0x208]
22:11:40:031 2228 DetectCureTDL3: DRIVER_OBJECT name: \Driver\atapi, Driver Name: atapi
22:11:40:031 2228 DetectCureTDL3: IrpHandler (0) addr: 867D61F8
22:11:40:031 2228 DetectCureTDL3: IrpHandler (1) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (2) addr: 867D61F8
22:11:40:031 2228 DetectCureTDL3: IrpHandler (3) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (4) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (5) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (6) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (7) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (8) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (9) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (10) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (11) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (12) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (13) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (14) addr: 867D61F8
22:11:40:031 2228 DetectCureTDL3: IrpHandler (15) addr: F75FD8B4
22:11:40:031 2228 DetectCureTDL3: IrpHandler (16) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (17) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (18) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (19) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (20) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (21) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (22) addr: 867D61F8
22:11:40:031 2228 DetectCureTDL3: IrpHandler (23) addr: 867D61F8
22:11:40:031 2228 DetectCureTDL3: IrpHandler (24) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (25) addr: 804F4476
22:11:40:031 2228 DetectCureTDL3: IrpHandler (26) addr: 804F4476
22:11:40:031 2228 KLMD_ReadMem: Trying to ReadMemory 0xF73527C6[0x400]
22:11:40:031 2228 TDL3_StartIoHookDetect: CheckParameters: 0, 0, 229, 0
22:11:40:031 2228 TDL3_FileDetect: Processing driver: atapi
22:11:40:031 2228 TDL3_FileDetect: Parameters: C:\WINDOWS\system32\drivers\atapi.sys, C:\WINDOWS\system32\Drivers\atapi.tsk, SYSTEM\CurrentControlSet\Services\atapi, system32\Drivers\atapi.tsk
22:11:40:031 2228 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\drivers\atapi.sys
22:11:40:031 2228 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\drivers\atapi.sys
22:11:40:031 2228
Completed

Results:
22:11:40:031 2228 Infected objects in memory: 0
22:11:40:046 2228 Cured objects in memory: 0
22:11:40:046 2228 Infected objects on disk: 0
22:11:40:046 2228 Objects on disk cured on reboot: 0
22:11:40:046 2228 Objects on disk deleted on reboot: 0
22:11:40:046 2228 Registry nodes deleted on reboot: 0

[Wootsee]

Bon ce n'est pas fini à priori, je ne sais pas si c'est lié !

Après la dernière MAJ de MAM voiçi le rapport , 13 infections trouvés ne peuvent pas être supprimé
MAM plante sur : C:\WINDOWS\Temp\H8SRT9507.tmp

Malwarebytes' Anti-Malware 1.43
Version de la base de données: 3467
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

01/01/2010 07:46:55
mbam-log-2010-01-01 (07-46-50).txt

Type de recherche: Examen rapide
Eléments examinés: 112605
Temps écoulé: 5 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\H8SRTmsarhfkbww.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTpxredvqaqy.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTvvdbsstidw.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTwuxdojdpju.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTckohiplvmb.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRT8623.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRT873c.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRT8911.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRT8e4.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRT9507.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRTaa4.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRTc0ee.tmp (Rootkit.TDSS) -> No action taken.
C:\Documents and Settings\Steph\Local Settings\Temp\H8SRT2c12.tmp (Rootkit.TDSS) -> No action taken.

[angelique]

Wootsee , faut pas poster dans la discussion de quelqu'un d'autre /!\ , crée ton propre sujet et met le rapport ComboFix , le RootKit H8SRT* devrait etre supprimé par ComboFix

[zicoeljarod]

me revoila et bonne année à tous, merci de vous pencher sur mon pb

si c'est de la detection Virut\Virtob.... autant formater direct

...c'est quoi la detection virut/virtob ? en attendant de savoir je vais tenter ...
moi aussi l'ordi bloque donc les manips prennent du temps

a tout'

[zicoeljarod]

TDSS rootkit removing tool, Kaspersky Lab 2009
version 2.1.1 Dec 20 2009 02:40:02

Scanning Registry ...
UnhookRegistry: NtEnumerateKey (Splicing) unhooked successfully

Hidden service detected: H8SRTd.sys
Type "delete" (without quotes) to delete it:



je tape delete ?

[zicoeljarod]

voila le resultat de tdsskill, apres avoir supprimé h8srt

21:12:49:046 2620 TDSSKiller 2.1.1 Dec 20 2009 02:40:02
21:12:49:046 2620 ================================================================================
21:12:49:046 2620 SystemInfo:

21:12:49:046 2620 OS Version: 5.1.2600 ServicePack: 3.0
21:12:49:046 2620 Product type: Workstation
21:12:49:109 2620 ComputerName: MIMI
21:12:49:109 2620 UserName: GAELLE AMIAUD
21:12:49:109 2620 Windows directory: C:\WINDOWS
21:12:49:109 2620 Processor architecture: Intel x86
21:12:49:109 2620 Number of processors: 1
21:12:49:109 2620 Page size: 0x1000
21:12:49:109 2620 Boot type: Normal boot
21:12:49:109 2620 ================================================================================
21:12:49:859 2620 ForceUnloadDriver: NtUnloadDriver error 2
21:12:50:031 2620 ForceUnloadDriver: NtUnloadDriver error 2
21:12:50:031 2620 ForceUnloadDriver: NtUnloadDriver error 2
21:12:50:156 2620 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\Drivers\KLMD.sys) returned status 0
21:12:50:156 2620 main: Driver KLMD successfully dropped
21:12:51:312 2620 main: Driver KLMD successfully loaded
21:12:51:312 2620
Scanning Registry ...
21:12:51:359 2620 ScanServices: Searching service UACd.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:51:359 2620 ScanServices: Searching service TDSSserv.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:51:359 2620 ScanServices: Searching service gaopdxserv.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:51:359 2620 ScanServices: Searching service gxvxcserv.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:51:359 2620 ScanServices: Searching service MSIVXserv.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:53:218 2620 UnhookRegistry: Kernel module file name: C:\windows\system32\ntoskrnl.exe, base addr: 804D7000
21:12:53:218 2620 UnhookRegistry: Kernel local addr: DC0000
21:12:53:343 2620 UnhookRegistry: KeServiceDescriptorTable addr: E43220
21:12:56:609 2620 UnhookRegistry: KiServiceTable addr: DCB6A8
21:12:56:671 2620 UnhookRegistry: NtEnumerateKey service number (local): 47
21:12:56:671 2620 UnhookRegistry: NtEnumerateKey local addr: E5C5A4
21:12:56:750 2620 KLMD_OpenDevice: Trying to open KLMD device
21:12:56:750 2620 KLMD_GetSystemRoutineAddressA: Trying to get system routine address ZwEnumerateKey
21:12:56:750 2620 KLMD_GetSystemRoutineAddressW: Trying to get system routine address ZwEnumerateKey
21:12:56:750 2620 KLMD_ReadMem: Trying to ReadMemory 0x804DCC49[0x4]
21:12:56:750 2620 UnhookRegistry: NtEnumerateKey service number (kernel): 47
21:12:56:750 2620 KLMD_ReadMem: Trying to ReadMemory 0x804E27C4[0x4]
21:12:56:750 2620 UnhookRegistry: NtEnumerateKey real addr: 805735A4
21:12:56:750 2620 UnhookRegistry: NtEnumerateKey calc addr: 805735A4
21:12:56:750 2620 UnhookRegistry: No SDT hooks found on NtEnumerateKey
21:12:56:750 2620 KLMD_ReadMem: Trying to ReadMemory 0x805735A4[0xA]
21:12:56:750 2620 UnhookRegistry: Splicing found on NtEnumerateKey
21:12:56:750 2620 KLMD_WriteMem: Trying to WriteMemory 0x805735A4[0xA]
21:12:56:750 2620 UnhookRegistry: NtEnumerateKey (Splicing) unhooked successfully
21:12:56:750 2620
Hidden service detected: H8SRTd.sys
Type "delete" (without quotes) to delete it:

euh, y'en a deux ? voila l'autre

21:12:49:046 2620 TDSSKiller 2.1.1 Dec 20 2009 02:40:02
21:12:49:046 2620 ================================================================================
21:12:49:046 2620 SystemInfo:

21:12:49:046 2620 OS Version: 5.1.2600 ServicePack: 3.0
21:12:49:046 2620 Product type: Workstation
21:12:49:109 2620 ComputerName: MIMI
21:12:49:109 2620 UserName: GAELLE AMIAUD
21:12:49:109 2620 Windows directory: C:\WINDOWS
21:12:49:109 2620 Processor architecture: Intel x86
21:12:49:109 2620 Number of processors: 1
21:12:49:109 2620 Page size: 0x1000
21:12:49:109 2620 Boot type: Normal boot
21:12:49:109 2620 ================================================================================
21:12:49:859 2620 ForceUnloadDriver: NtUnloadDriver error 2
21:12:50:031 2620 ForceUnloadDriver: NtUnloadDriver error 2
21:12:50:031 2620 ForceUnloadDriver: NtUnloadDriver error 2
21:12:50:156 2620 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\Drivers\KLMD.sys) returned status 0
21:12:50:156 2620 main: Driver KLMD successfully dropped
21:12:51:312 2620 main: Driver KLMD successfully loaded
21:12:51:312 2620
Scanning Registry ...
21:12:51:359 2620 ScanServices: Searching service UACd.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:51:359 2620 ScanServices: Searching service TDSSserv.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:51:359 2620 ScanServices: Searching service gaopdxserv.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:51:359 2620 ScanServices: Searching service gxvxcserv.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:51:359 2620 ScanServices: Searching service MSIVXserv.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:53:218 2620 UnhookRegistry: Kernel module file name: C:\windows\system32\ntoskrnl.exe, base addr: 804D7000
21:12:53:218 2620 UnhookRegistry: Kernel local addr: DC0000
21:12:53:343 2620 UnhookRegistry: KeServiceDescriptorTable addr: E43220
21:12:56:609 2620 UnhookRegistry: KiServiceTable addr: DCB6A8
21:12:56:671 2620 UnhookRegistry: NtEnumerateKey service number (local): 47
21:12:56:671 2620 UnhookRegistry: NtEnumerateKey local addr: E5C5A4
21:12:56:750 2620 KLMD_OpenDevice: Trying to open KLMD device
21:12:56:750 2620 KLMD_GetSystemRoutineAddressA: Trying to get system routine address ZwEnumerateKey
21:12:56:750 2620 KLMD_GetSystemRoutineAddressW: Trying to get system routine address ZwEnumerateKey
21:12:56:750 2620 KLMD_ReadMem: Trying to ReadMemory 0x804DCC49[0x4]
21:12:56:750 2620 UnhookRegistry: NtEnumerateKey service number (kernel): 47
21:12:56:750 2620 KLMD_ReadMem: Trying to ReadMemory 0x804E27C4[0x4]
21:12:56:750 2620 UnhookRegistry: NtEnumerateKey real addr: 805735A4
21:12:56:750 2620 UnhookRegistry: NtEnumerateKey calc addr: 805735A4
21:12:56:750 2620 UnhookRegistry: No SDT hooks found on NtEnumerateKey
21:12:56:750 2620 KLMD_ReadMem: Trying to ReadMemory 0x805735A4[0xA]
21:12:56:750 2620 UnhookRegistry: Splicing found on NtEnumerateKey
21:12:56:750 2620 KLMD_WriteMem: Trying to WriteMemory 0x805735A4[0xA]
21:12:56:750 2620 UnhookRegistry: NtEnumerateKey (Splicing) unhooked successfully
21:12:56:750 2620
Hidden service detected: H8SRTd.sys
Type "delete" (without quotes) to delete it:


en relançant l'ordi youpi avira démarre, mise à jour et scan dont voici le log


21:12:49:046 2620 TDSSKiller 2.1.1 Dec 20 2009 02:40:02
21:12:49:046 2620 ================================================================================
21:12:49:046 2620 SystemInfo:

21:12:49:046 2620 OS Version: 5.1.2600 ServicePack: 3.0
21:12:49:046 2620 Product type: Workstation
21:12:49:109 2620 ComputerName: MIMI
21:12:49:109 2620 UserName: GAELLE AMIAUD
21:12:49:109 2620 Windows directory: C:\WINDOWS
21:12:49:109 2620 Processor architecture: Intel x86
21:12:49:109 2620 Number of processors: 1
21:12:49:109 2620 Page size: 0x1000
21:12:49:109 2620 Boot type: Normal boot
21:12:49:109 2620 ================================================================================
21:12:49:859 2620 ForceUnloadDriver: NtUnloadDriver error 2
21:12:50:031 2620 ForceUnloadDriver: NtUnloadDriver error 2
21:12:50:031 2620 ForceUnloadDriver: NtUnloadDriver error 2
21:12:50:156 2620 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\Drivers\KLMD.sys) returned status 0
21:12:50:156 2620 main: Driver KLMD successfully dropped
21:12:51:312 2620 main: Driver KLMD successfully loaded
21:12:51:312 2620
Scanning Registry ...
21:12:51:359 2620 ScanServices: Searching service UACd.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:51:359 2620 ScanServices: Searching service TDSSserv.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:51:359 2620 ScanServices: Searching service gaopdxserv.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:51:359 2620 ScanServices: Searching service gxvxcserv.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:51:359 2620 ScanServices: Searching service MSIVXserv.sys
21:12:51:359 2620 ScanServices: Open/Create key error 2
21:12:53:218 2620 UnhookRegistry: Kernel module file name: C:\windows\system32\ntoskrnl.exe, base addr: 804D7000
21:12:53:218 2620 UnhookRegistry: Kernel local addr: DC0000
21:12:53:343 2620 UnhookRegistry: KeServiceDescriptorTable addr: E43220
21:12:56:609 2620 UnhookRegistry: KiServiceTable addr: DCB6A8
21:12:56:671 2620 UnhookRegistry: NtEnumerateKey service number (local): 47
21:12:56:671 2620 UnhookRegistry: NtEnumerateKey local addr: E5C5A4
21:12:56:750 2620 KLMD_OpenDevice: Trying to open KLMD device
21:12:56:750 2620 KLMD_GetSystemRoutineAddressA: Trying to get system routine address ZwEnumerateKey
21:12:56:750 2620 KLMD_GetSystemRoutineAddressW: Trying to get system routine address ZwEnumerateKey
21:12:56:750 2620 KLMD_ReadMem: Trying to ReadMemory 0x804DCC49[0x4]
21:12:56:750 2620 UnhookRegistry: NtEnumerateKey service number (kernel): 47
21:12:56:750 2620 KLMD_ReadMem: Trying to ReadMemory 0x804E27C4[0x4]
21:12:56:750 2620 UnhookRegistry: NtEnumerateKey real addr: 805735A4
21:12:56:750 2620 UnhookRegistry: NtEnumerateKey calc addr: 805735A4
21:12:56:750 2620 UnhookRegistry: No SDT hooks found on NtEnumerateKey
21:12:56:750 2620 KLMD_ReadMem: Trying to ReadMemory 0x805735A4[0xA]
21:12:56:750 2620 UnhookRegistry: Splicing found on NtEnumerateKey
21:12:56:750 2620 KLMD_WriteMem: Trying to WriteMemory 0x805735A4[0xA]
21:12:56:750 2620 UnhookRegistry: NtEnumerateKey (Splicing) unhooked successfully
21:12:56:750 2620
Hidden service detected: H8SRTd.sys
Type "delete" (without quotes) to delete it:



bon je continue a suivre tes instructions...

[zicoeljarod]

maintenant malwarebyte fonctionne, voici le log


Malwarebytes' Anti-Malware 1.43
Version de la base de données: 3471
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01/01/2010 23:47:36
mbam-log-2010-01-01 (23-47-36).txt

Type de recherche: Examen rapide
Eléments examinés: 121389
Temps écoulé: 13 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 5
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{639581d0-8376-4073-b73b-45993fa45156} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{66b0c472-a6b5-4e86-8330-f4875af90929} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{21de6877-97c0-4fc7-9c16-666b996db4a2} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{587dbf2d-9145-4c9e-92c2-1f953da73773} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{fd9bc004-8331-4457-b830-4759ff704c22} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{fd9bc004-8331-4457-b830-4759ff704c22} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{587dbf2d-9145-4c9e-92c2-1f953da73773} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{587dbf2d-9145-4c9e-92c2-1f953da73773} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/eglivecam_1029.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{fd9bc004-8331-4457-b830-4759ff704c22} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\eglivecam_1029.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\MailSkinner (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\bdir (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\bdir\ffmiu (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\msskinner (Adware.EGDAccess) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\H8SRTuskwvwqbrq.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\MailSkinner\anim_0.gif (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\MailSkinner\anim_help.gif (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\acknowledged.mc2 (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\CompManagerPersist.mc2 (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\NaviPersist.mc2 (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\NaviPromo.mc2 (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\OrderPersist.mc2 (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\TimePersist (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\msskinner\msbackup.dat (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xipnrvbkr_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xipnrvbkr_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eglivecam.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eglivecam_1029.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msegcompid.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTeyxvnriltp.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Documents and Settings\GAELLE AMIAUD\Local Settings\Temp\H8SRT281d.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Documents and Settings\GAELLE AMIAUD\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.


poursuite des opérations...

[angelique]

ok vide la quarantine de MBAM et poursuit....

[zicoeljarod]

j'ai le rapportcombofix mais votre site me prend pour un spam !

[SkyTech]

Poste le rapport sur un hébergeur et donne le lien ensuite : http://www.sendspace.com/

[zicoeljarod]

http://www.sendspace.com/file/h06lly

[zicoeljarod]

au fait combofix s'est bien enregistré sur le bureau mais j'ai pas pu le renommer car la fenetre pour choisir l'emplacement des téléchargements n'apparait plus
par ailleurs lorsque j'ai lancé combofix hier soir, il n'a pas pu créer son espèce de sauvegarde (avant de se lancer, boite de dialogue je sais plus comment ça s'appelle)
par contre ce matin il a pu la créer c'est le rapport que j'ai envoyé

mes posts sont un peu confus j'ai pas l'habitude des forums
merci

[angelique]

• desinstalle SweetIM via ajout\supp de programmes

• y'a des restes de symantec , telecharges , execute , suis les instructions :
ftp://ftp.sysmantec.com/public/english_ ... l_Tool.exe

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

File::
c:\windows\system32\drivers\joznyrb.sys
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\joznyrb]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"ALUAlert"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"SetCommand"=dword:00000001
"SecurityLevel"=dword:00000001

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
[*]Choisis "Enregistrer sous" et choisis "Bureau"
[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript
[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
[*]Quitte le Bloc Notes.
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture





* suis les instructions
* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

• creer un nouveau dossier en c:\ nommé HJT
telecharger HijackThis.exe dans ce nouveau dossier crée::
http://www.trendsecure.com/portal/en-US ... ckThis.exe

- Génère un rapport en suivant ces indications :
- Exécute le(clic droit | en tant qu'administrateur si ton OS est Vista) et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller