[Réglé] Malware TDSS\TDL4

[tusmaster]

Bonjour à tous,

J'ai depuis près d'une semaine des problèmes avec mon PC de boulot.
Au départ, Internet Explorer ne fonctionnait pas, mais j'ai opté pour Firefox, comme à la maison.
Ensuite, des fenêtres se sont mises à apparaître, ainsi que les processus suivants
hki154.exe, hki887.exe, hki952.exe, ainsi que uF0djNql.exe.
Spybot, Malwarebyte et Symntec Antivirus ont tourné, même en mode sans échec. Seul Spybot trouve des trucs, mais apparemment pas détruits...
Souvent des erreurs, des plantages et des ralentissements, pas accès à Windows Update, ni à la restauration du système...
Je joins un fichier de rapport HiJackthis pour ceux qui auraient la gentillesse de me venir en aide.
Merci d'avance, et n'hésitez pas à me demander des infos supplémentaires ! Je suis prêt à tout, sauf à tenter des choses risquées (PC de boulot oblige..).

Hijackthis report

Code: Tout sélectionner

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 125152, on 10012011
Platform Windows XP SP3 (WinNT 5.01.2600)
MSIE Internet Explorer v8.00 (8.00.6001.18702)
Boot mode Normal

Running processes
CWINDOWSSystem32smss.exe
CWINDOWSsystem32winlogon.exe
CWINDOWSsystem32services.exe
CWINDOWSsystem32lsass.exe
CWINDOWSsystem32nvsvc32.exe
CWINDOWSsystem32svchost.exe
CWINDOWSSystem32svchost.exe
CProgram FilesWTouchWTouchService.exe
CProgram FilesSymantecSymantec Endpoint ProtectionSmc.exe
CProgram FilesFichiers communsSymantec SharedccSvcHst.exe
CWINDOWSsystem32spoolsv.exe
CProgram FilesBonjourmDNSResponder.exe
CProgram FilesFichiers communsInterVideoRegMgriviRegMgr.exe
CProgram FilesJavajre6binjqs.exe
CProgram FilesLogMeInx86LMIGuardianSvc.exe
CProgram FilesMicrosoftSearch Enhancement PackSeaPortSeaPort.exe
CWINDOWSsystem32svchost.exe
CProgram FilesSymantecSymantec Endpoint ProtectionRtvscan.exe
CWINDOWSsystem32Pen_Tablet.exe
cProgram FilesFichiers communsLenovotvt_reg_monitor_svc.exe
CProgram FilesLenovoRescue and Recoveryrrpservice.exe
CProgram FilesLenovoRescue and Recoveryrrservice.exe
cProgram FilesFichiers communsLenovoSchedulertvtsched.exe
CProgram FilesLenovoRescue and RecoveryUpdateMonitor.exe
cprogram fileslenovosystem updatesuservice.exe
CWINDOWSsystem32wuauclt.exe
CProgram FilesWTouchWTouchUser.exe
CWINDOWSsystem32WTabletPen_TabletUser.exe
CWINDOWSsystem32Pen_Tablet.exe
CWINDOWSExplorer.EXE
CProgram FilesLenovoFanSpeedControlLenovoFSC.exe
CWINDOWSsystem32RUNDLL32.EXE
CWINDOWSsystem32ctfmon.exe
CProgram FilesMicrosoft ActiveSyncwcescomm.exe
CPROGRA~1MI3AA1~1rapimgr.exe
CProgram FilesLenovoFanSpeedControlLenovoFSC .exe
CProgram FilesFichiers communsSymantec SharedccApp .exe
CProgram FilesSymantecSymantec Endpoint ProtectionSmcGui.exe
CWINDOWSsystem32wbemwmiapsrv.exe
CProgram FilesMicrosoft OfficeOffice12OUTLOOK.EXE
CDocuments and SettingsUTILISATEURBureauHiJackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = httpgo.microsoft.comfwlinklinkid=54896
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = httpwww.google.fr
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = httpgo.microsoft.comfwlinkLinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = httpfr.msn.com
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = httpwindowsupdate.microsoft.com
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = .local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - CProgram FilesFichiers communsAdobeAcrobatActiveXAcroIEHelperShim.dll
O2 - BHO Password Manager Browser Helper Object - {BF468356-BB7E-42D7-9F15-4F3B9BCFCED2} - CProgram FilesLenovoClient Security Solutiontvtpwm_ie_com.dll
O2 - BHO Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - CProgram FilesJavajre6binjp2ssv.dll
O2 - BHO JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - CProgram FilesJavajre6libdeployjqsiejqs_plugin.dll
O4 - HKLM..Run [LenovoFSC] CProgram FilesLenovoFanSpeedControlLenovoFSC.exe
O4 - HKLM..Run [ccApp] CProgram FilesFichiers communsSymantec SharedccApp.exe
O4 - HKLM..Run [LogMeIn GUI] CProgram FilesLogMeInx86LogMeInSystray.exe
O4 - HKLM..Run [nwiz] CProgram FilesNVIDIA CorporationnViewnwiz.exe installquiet
O4 - HKLM..Run [NvCplDaemon] RUNDLL32.EXE CWINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run [NvMediaCenter] RUNDLL32.EXE CWINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKCU..Run [ctfmon.exe] CWINDOWSsystem32ctfmon.exe
O4 - HKCU..Run [HPC Connection Agent] CProgram FilesMicrosoft ActiveSyncwcescomm.exe
O4 - HKUSS-1-5-19..Run [CTFMON.EXE] CWINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run [CTFMON.EXE] CWINDOWSsystem32CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUSS-1-5-18..Run [CTFMON.EXE] CWINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run [CTFMON.EXE] CWINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Startup MD5 Checksum.lnk = CProgrammesMD5 ChecksumMD5Checksum.exe
O4 - Startup Raccourci vers TAF.lnk = CDocuments and SettingsUTILISATEURBureauTAF.txt
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item E&xporter vers Microsoft Excel - resCPROGRA~1MI1933~1Office12EXCEL.EXE3000
O8 - Extra context menu item Google Sidewiki... - resCProgram FilesGoogleGoogle ToolbarComponentGoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dllcmsidewiki.html
O9 - Extra button Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - CProgram FilesWindows LiveWriterWriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - CProgram FilesWindows LiveWriterWriterBrowserExtension.dll
O9 - Extra button Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - CPROGRA~1MI3AA1~1INetRepl.dll
O9 - Extra button (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - CPROGRA~1MI3AA1~1INetRepl.dll
O9 - Extra 'Tools' menuitem Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - CPROGRA~1MI3AA1~1INetRepl.dll
O9 - Extra button Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - CPROGRA~1MI1933~1Office12REFIEBAR.DLL
O9 - Extra button (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - CWINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - CWINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button (no name) - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - CProgram FilesLenovoClient Security Solutiontvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem Lenovo Password Manager... - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - CProgram FilesLenovoClient Security Solutiontvtpwm_ie_com.dll
O9 - Extra button Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - CProgram FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - CProgram FilesMessengermsmsgs.exe
O16 - DPF {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http3dlifeplayer.dl.3dvia.complayerinstall3DVIA_player_installer.exe
O23 - Service AMService - Unknown owner - CWINDOWSTEMPmdwfsetup.exe (file missing)
O23 - Service ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - CProgram FilesBonjourmDNSResponder.exe
O23 - Service Symantec Event Manager (ccEvtMgr) - Symantec Corporation - CProgram FilesFichiers communsSymantec SharedccSvcHst.exe
O23 - Service Symantec Settings Manager (ccSetMgr) - Symantec Corporation - CProgram FilesFichiers communsSymantec SharedccSvcHst.exe
O23 - Service FLEXnet Licensing Service - Macrovision Europe Ltd. - CProgram FilesFichiers communsMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 - Service Service Google Update (gupdate) (gupdate) - Google Inc. - CProgram FilesGoogleUpdateGoogleUpdate.exe
O23 - Service IviRegMgr - InterVideo - CProgram FilesFichiers communsInterVideoRegMgriviRegMgr.exe
O23 - Service Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - CProgram FilesJavajre6binjqs.exe
O23 - Service LiveUpdate - Symantec Corporation - CPROGRA~1SymantecLIVEUP~1LUCOMS~1.EXE
O23 - Service LMIGuardianSvc - LogMeIn, Inc. - CProgram FilesLogMeInx86LMIGuardianSvc.exe
O23 - Service NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - CWINDOWSsystem32nvsvc32.exe
O23 - Service Roxio UPnP Renderer 10 - Sonic Solutions - CProgram FilesRoxioDigital Home 10RoxioUPnPRenderer10.exe
O23 - Service Roxio Upnp Server 10 - Sonic Solutions - CProgram FilesRoxioDigital Home 10RoxioUpnpService10.exe
O23 - Service LiveShare P2P Server 10 (RoxLiveShare10) - Sonic Solutions - CProgram FilesFichiers communsRoxio Shared10.0SharedCOMRoxLiveShare10.exe
O23 - Service RoxMediaDB10 - Sonic Solutions - CProgram FilesFichiers communsRoxio Shared10.0SharedCOMRoxMediaDB10.exe
O23 - Service Roxio Hard Drive Watcher 10 (RoxWatch10) - Sonic Solutions - CProgram FilesFichiers communsRoxio Shared10.0SharedCOMRoxWatch10.exe
O23 - Service Client de gestion Symantec  (SmcService) - Symantec Corporation - CProgram FilesSymantecSymantec Endpoint ProtectionSmc.exe
O23 - Service Symantec Network Access Control (SNAC) - Symantec Corporation - CProgram FilesSymantecSymantec Endpoint ProtectionSNAC.EXE
O23 - Service stllssvr - MicroVision Development, Inc. - CProgram FilesFichiers communsSureThing Sharedstllssvr.exe
O23 - Service System Update (SUService) - Lenovo Group Limited - cprogram fileslenovosystem updatesuservice.exe
O23 - Service Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - CProgram FilesSymantecSymantec Endpoint ProtectionRtvscan.exe
O23 - Service TabletServicePen - Wacom Technology, Corp. - CWINDOWSsystem32Pen_Tablet.exe
O23 - Service ThinkVantage Registry Monitor Service - Lenovo Group Limited - cProgram FilesFichiers communsLenovotvt_reg_monitor_svc.exe
O23 - Service TVT Backup Protection Service - Unknown owner - CProgram FilesLenovoRescue and Recoveryrrpservice.exe
O23 - Service TVT Backup Service - Lenovo Group Limited - CProgram FilesLenovoRescue and Recoveryrrservice.exe
O23 - Service TVT Scheduler - Lenovo Group Limited - cProgram FilesFichiers communsLenovoSchedulertvtsched.exe
O23 - Service TVT Windows Update Monitor (TVT_UpdateMonitor) - Lenovo Group Limited - CProgram FilesLenovoRescue and RecoveryUpdateMonitor.exe
O23 - Service WTouch Service (WTouchService) - Wacom Technology, Corp. - CProgram FilesWTouchWTouchService.exe
--
End of file - 10577 bytes

[danakil]

Salut tusmaster!

Je suis prêt à tout, sauf à tenter des choses risquées (PC de boulot oblige..).

Ici c'est pas le genre, dans cette section du Forum on ne plaisante pas avec l'intégrité des PC.

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :
Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
(En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage du PC par exemple).

Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans m'en faire part avant !
N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.

Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum de tes documents auparavant !

1/ On a déjà un souci avec ton rapport HijackThis qui n'est pas lisible, je prends un exemple :

CWINDOWSSystem32smss.exe

Voici ce qu'on aurait du voir :

C:\WINDOWS\System32\smss.exe

On ne peut voir d'infection sur ce PC avec ce genre de présentation de rapport ...

2/ Applique cette procédure à la place :
preparer-demande-aide-desinfection-vt-54149.html
Aucun risque ce n'est qu'un scan qui nous donnera le ou les infections du PC.

[tusmaster]

Merci danakil pour ces précisions !
Voici donc mon rapport OTL:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijIjnU7TH.txt

Mon rapport Extras:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijtHKa5U3.txt

Quant aux symptômes:
Internet Explorer ne marchait plus (et ne marche toujours pas, mais je me sers de Firefox, qui fonctionne à peu-près correctement).
Des processus se lançaient (des dizaines), de type "hki887.exe" et "uF0djNql.exe" sans fin, jusqu'au plantage.

Cela me demandait sans cesse si je voulais que IE soit mon explorateur par défaut, et des processus iexplorer.exe apparaissaient, sans qu'il y ait de fenêtre pour autant.
Au démarrage, des fenêtres "Blank" se lançaient subrepticement.

J'ai déjà fait quelques bêtises afin de pouvoir continuer à travailler.
Tout d'abord, j'ai fait tourner Spybot, Malwarebyte et Symantec (à la fois en mode sans échec et en mode normal).
Comme rien n'a été trouvé, j'ai recherché et supprimé manuellement "hki*.*" et "uF0djNql.*" dans le dossier prefetch.

Redémarrage et re-Symantec, qui me trouve cette nuit des m*rdes dans ce dossier prefetch toujours, à chaque fois...

Les cadres de mes fenêtres (croix de fermeture etc.) sont d'apparence Win98, et parfois ma barre des tâches redevient comme cela, en quittant son apparence WinXP bleue, après parfois un message d'erreur Rundll32.exe.

Je ne peux pas aller dans Restauration du système (cela me dit que cela ne protègera pas mon PC), ni lancer Windows Update.
De plus, j'ai du mal à être redirigé sur des liens quand je clique sur les mails que l'on m'envoie, et il met 5 bonnes minutes pour ouvrir un fichier Excel en PJ d'outlook (obligé d'enregistrer sous). Rundll32 ?
La liste des symptômes n'est pas exhaustive, et si vous avez des questions, je suis prêt à y répondre.

Il s'agit de mon poste du boulot, et à part mes documents et Outlook qui sont sauvegardés de façon hebdomadaire, je n'ai pas de console de récupération.
Et puis la dernière version de notre logiciel de gestion a été installée récemment, je ne peux me permettre de revenir en arrière avec l'ancienne version.

Je vous remercie d'avance !

[tusmaster]

Pour vous tenir informés de l'évolution...

Suite à une coupure de courant, le PC a redémarré, avec les messages suivants:




Et toujours ce uF0djNql.exe dans les processus, des iexplorer.exe, et des fenêtres de pub dans firefox.
Les wuauclt.exe sont également en grand nombre, et certains sont dans le fameux dossier prefetch, où Symantec trouve plein de trucs...

[tusmaster]

Juste comme ça... ça revient, au bout d'un moment...


Et le dernier pour la route, en revenant de la pause déjeuner, même si l'on ne voit pas les wuauclt.exe:

[tusmaster]

je suis vraiment un boulet, mais je pense que ce message sera sans doute le dernier, car je me mets à envoyer des e-mails involontairement maintenant que je ne touche plus à rien pour ne pas faire de bêtises ! Nouveau symptôme !


Ces messages se montent à une bonne vingtaine de niveaux de barre des tâches !!!
Je vais couper le câble réseau, à très bientôt (j'espère) !

[danakil]

Salut!

Ce PC est trés infecté ... Tu t'en doutais.
Trois grosses infections sont visibles :

Lop
NaviPromo
WareOut

La combinaison de ce cocktail fait que ton PC une fois connecté au Web part dans tous les sens ...

Voici ce que tu vas faire :

1/ Tu as Ccleaner sur le PC > Lance un nettoyage des fichiers temporaires ainsi qu'un nettoyage du Registre.
Aide en Images > tutoriel-ccleaner-vt-48501.html

2/ Tu as également MalWareBytes sur le PC.
> Lance le > Effectue une mise à jour du logiciel <-- Trés important.
> Lance un scan rapide
> Poste le rapport de Suppression
Aide en images > tutoriel-malwarebytes-anti-malware-vt-46564.html

3/ Effectue un nouveau scan du PC avec ZHPDiag :
• Télécharge ZHPDiag de Nicolas coolman sur ton Bureau.
• Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut (Coche "Créer une icône sur le bureau")
• Lance ZHPDiag en double cliquant sur l'icône présente sur ton Bureau [Clique droit -> Exécuter en tant qu'Administrateur ( Vista/seven )]
• Clique sur la loupe en haut à gauche, puis laisse l'outil scanner le PC.
• Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton Bureau.
• Poste le contenu du rapport dans ta prochaine réponse en utilisant ce site : http://www.cijoint.fr/

> ... sur le site de cijoint :
• Clique sur Parcourir pour rechercher le rapport puis sur Cliquez ici pour déposer le fichier
• Copie et colle ici le lien web qui te sera donné.
• Il est de type : http://www.cijoint.fr/cjlink.php?file=c ... 8MD0zB.txt

... Ensuite on attaquera les suppressions de ces Adwares en prenant toutes les sauvegardes évidemment!

[tusmaster]

Bonjour, et merci.
J'ai donc précisément suivi tes instructions et les tutoriels (bien faits, soit dit en passant).

Ccleaner: OK, nettoyage Temp puis Reg après MàJ.
Malwarebytes: mise à jour puis lancement examen rapide.
Au bout de 2 minutes, message d'erreur: doit fermer. Bon, relance, et là ça va, mais aucun élément nuisible détecté:

Code: Tout sélectionner

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5510

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/01/2011 09:25:02
mbam-log-2011-01-13 (09-25-02).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 185804
Temps écoulé: 2 minute(s), 47 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


ZHPDiag terminé en 23 sec.:
https://www.yousendit.com/download/bFlHQ3Q2V3IxUUJjR0E9PQ
Pas moyen d'uploader sur cijoint.fr aujourd'hui, désolé.

Merci beaucoup d'avance !

[danakil]

Salut!

Il est fort possible que ton PC soit intrusé par un RootKit assez méchant se nommant TDSS\TDL3.
Définition d'un RootKit :

Extrait ...
Les rootkits sont une variété de malwares (disons pour simplifier, virus) apparue d'abord dans le monde Unix/Linux puis, plus récemment, dans celui de Windows.
Les rootkits sont des malwares qui peuvent être très difficiles à démasquer et parfois, à éradiquer. En effet ils possèdent deux caractéristiques originales :
- d'une part ils modifient en profondeur le fonctionnement du système d'exploitation (éventuellement son noyau) ;
- d'autre part ils se rendent invisibles à ce système d'exploitation.
Ils peuvent même rendre invisibles divers autres parasites qu'ils auront installés : spyware, portes dérobée, cheval de Troie... et c'est ce qui constitue en général la raison majeure de leur existence.

Si sa présence est bien confirmé alors cela expliquerait la quantité d'infection relevées.

> Sur ton Bureau tu as un fichier se nommant MBRCheck > Ouvre le, copie et colle moi ici en réponse son contenu.

[tusmaster]

Ça sent vraiment pas bon...

[danakil]

Il faut que tu me fasses un contrôle sur un fichier présent sur ton PC.

Procédure :
Connecte toi ici --> VirusTotal
> Clique sur la fenêtre Parcourir et recherche dans la fenêtre de ton Windows ce dossier en gras :

C:\Program Files\Microsoft ActiveSync\wcescomm .exe

(il se situe sur ta partition C:\Program Files et tu le trouveras dans la fenêtre de droite)
> Sélectionne-le et clique ensuite sur Ouvrir dans la même fenêtre.
(Automatiquement cette ligne apparaîtra dans la fenêtre Parcourir)
> Clique enfin sur le bouton Send file et laisse le scan en ligne s'effectuer.
> En fin de scan (qui peut prendre plusieurs minutes) tu obtiendras un rapport.
> Copie ce rapport sur ton Bureau > connecte toi ici et poste le moi.

***

Consulte également ta MP (Messagerie Personnelle) du Forum.

[tusmaster]

Eh ben... pas mal de trucs trouvés apparemment !
Pour info, il y avait 2 fichiers similaires: wcescomm .exe et wcescomm.exe (sans espace avant le point), mais sans doute le savais-tu !
J'ai utilisé la fonction imprimer du site (via Pdf Creator) pour éviter les pertes par copier/coller, et le rapport est là:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijc6TJbOx.pdf

[danakil]

Pour info, il y avait 2 fichiers similaires: wcescomm .exe et wcescomm.exe (sans espace avant le point), mais sans doute le savais-tu !

Je te prépare une procédure que je te posterai demain.
Actuellement CiJoint.fr est saturé - Cijoint.com peut faire office également ou comme tu l'as déjà fait YouSendIt ... C'est pas grave, ta réflexion pertinente sur l'espace confirme mes doutes.
J'attends l'accès au serveur pour connaître le nom du "Méchant"

[tusmaster]

Merci beaucoup, pour l'heure, je vais rentrer à la maison, et ce soir, je fais un point de restauration sur mon PC perso, et une console de récupération...
Pour info, Active Sync ne me sert pas (à moi, après, au système...), il a du s'installer quand j'ai branché mon téléphone dessus (HTC Windows Mobile), ce que je ne fais plus car j'ai installé un programme pour le reconnaître comme simple clé USB.

Merci, bonne nuit et à demain !

[tusmaster]

Tu vois juste à mon avis, j'ai eu ceci au démarrage ce matin:


J'ai vu lorsque j'ai cliqué sur "Annuler" (car ça n'avançait pas) qu'il s'agissait de Microsoft ActivSync 4.5.