antivirus indesirable [Réglé]

[galyfa]

Bonjour et alerte rouge, je viens de choper un truc. Un Antivirus c'est installé sur mon pc sans que je le demande !!... Je ne sais pas comment je me suis débtrouillé ! C'est "Antivirir XP 2008" Je ne peux pas m'en débarrasser, impossible de le désinstaller et il me met ce message lui aussi impossible à désinstaller :




Mon fond d'écran à disparu tout est blanc avec cette superbe pancarte au secours svp.

[Yuccaman]

Bonjour,

En tout premier lieu, un petit scan hijackthis serait un bon apport à la localisation du problème.
Va faire un tour dans la logitheque du site, telecharge le et poste le rapport ici.

[r@in | b0w]

Bonjour.

En tout premier lieu, un petit scan hijackthis serait un bon apport à la localisation du problème.
Va faire un tour dans la logitheque du site, telecharge le et poste le rapport ici.

Suggestion excellente.

Voilà le lien vers le mode d'emploi d'HiJackThis, histoire de savoir comment s'en servir.

[ZadYree]

Oh, toi, tu as cliqué sur une bannière malveillante ou téléchargé un fichier contenant un adware.
Si tu arrives à isoler l'entrée avec Hijack, tu devrais passer un bon petit Spybot S&D sur ta machine pour nettoyer ça.

La meilleure des défence pour ne pas être embêté par ces pseudo antivirus, c'est de ne jamais cliquer sur une bannière (surtout avec Vista)
D'ailleurs, j'y pense, tu devrais également passer AVG Anti-Rootkits si le problème persiste

[rsv700]

ZadYree,

AVG Anti-Rootkits n'est plus disponible, depuis approximativement,
la sortie de leur nouvelle version d'antivirus, soit AVG 8,
qui comme les autres antivirus vient avec un antispyware.

Pour ce qui est de l'infection "Antivirir XP 2008" qui initie le sujet.
Probablement que Malwarebytes supprimera cette infection,
sinon en y ajoutant un p'tit jet de ComboFix.

Mais préférable de laisser Yuccaman vérifier cela !

[Skynet]

Pour ce qui est de l'infection "Antivirir XP 2008" qui initie le sujet.
Probablement que Malwarebytes supprimera cette infection,

C'est même sûr à 100%.

edetfa n'aura besoin que de ce dernier pour cette infection.

[r@in | b0w]

Bonjour.

Sans entrer dans la polémique ni ne voulant en créer une, je teste actuellement Mbam et je me suis rendu compte que certains trojans passaient à l'as malheureusement.

Etant donné que Antivirus Xp 2008 est un trojan, je serai d'avis d'utiliser un anti-trojan comme SDFix par exemple, histoire de ne pas risquer quelques désagréments avec ComboFix.

Tout ceci étant dit, ce trojan n'est peut-être pas la seule infection. C'est pour cela que le log HiJackThis sera bénéfique.

Après, rien n'est obligatoire, edetfa jugera en son âme et conscience de ce qu'il convient de faire.

Ps: @ ZadYree, Spybot est disponible dans notre logithèque, cf ce lien.

Pour l'anti-rootkit, Sophos anti-rootkit, gratuit et complet, reste disponible aussi dans notre logithèque.

[Ask to Old Man]

Bonjour,

Curieux ce "Antivirus XP 2008"!! Il fait beaucoup parler de lui depuis début Août.
Le troyen porteur de ce "rogue" aurait-il été modifié?? Apparemment, selon Malekal,
MalwareBytes & Combofix sont les outils dédiés à cette infection bien pourrie qui
de plus, selon certaines sources, semble lui aussi savoir reconnaître l'utilisation de HiJackThis
& se répliquer à grande vitesse dans les machines infestées.

[Skynet]

Après, rien n'est obligatoire, edetfa jugera en son âme et conscience de ce qu'il convient de faire.

On se connaît bien avec edetfa . T'inquiètes pas .

[galyfa]

Bonjour et merci pour le suivi car les choses se gatent pour mon pc, voici pourquoi je réponds un peu à contre coup. En effet depuis hier soir je n'ai plus accès à internet, j'ai systématiquement : serveur introuvable" et c'est donc de chez un ami que je vous contact désormais. En attendant de pouvoir vour contacter j'ai fais 2 nettoyages successifs avec Malwarebytes qui a trouvé pas mal de choses. Depuis le message qui apparaissait sur mon pc à disparu. Par contre mon pare feu ne fonctionne plus et ce message apparait :




Voici le rapport Malwarebytes :

Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1053
Windows 5.1.2600 Service Pack 2

11:18:11 01/09/2008
mbam-log-9-1-2008 (11-18-11).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 111693
Temps écoulé: 55 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWARE dss (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:WINDOWSsystem32 dssadw.dll (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32 dssl.dll (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32 dssserf.dll (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32 dssmain.dll (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32 dssinit.dll (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32 dsslog.dll (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32 dssservers.dat (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32drivers dssserv.sys (Trojan.Agent) -> Delete on reboot.


Ensuite j'ai fais un nettoyage avec Spybot, puis un scanhijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:16, on 01/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesPC Tools Firewall PlusFWService.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesLavasoftAd-Awareaawservice.exe
C:WINDOWSExplorer.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe
C:WINDOWSsystem32driversCDAC11BA.EXE
C:WINDOWSsystem32
vsvc32.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32wuauclt.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesPC Tools Firewall PlusFirewallGUI.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://recherche.neuf.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://recherche.neuf.fr/
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program FilesWindows Live Toolbarmsntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program FilesWindows Live Toolbarmsntb.dll
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [00PCTFW] "C:Program FilesPC Tools Firewall PlusFirewallGUI.exe" -s
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O8 - Extra context menu item: &Windows Live Search - res://C:Program FilesWindows Live Toolbarmsntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:Program FilesWindows Live ToolbarComponentsfr-frmsntabres.dll.mui/229?295d3ba111af4d20be79e176c363a5b6
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:Program FilesWindows Live ToolbarComponentsfr-frmsntabres.dll.mui/230?295d3ba111af4d20be79e176c363a5b6
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Lavasoft Ad-aware Service (aawservice) - Lavasoft - C:Program FilesLavasoftAd-Awareaawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:WINDOWSsystem32driversCDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Imapi Helper - Alex Feinman - C:Program FilesAlex FeinmanISO RecorderImapiHelper.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:Program Filesma-config.commaconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:Program FilesPC Tools Firewall PlusFWService.exe

--
End of file - 6096 bytes

Y aurait il une astuce pour que je retrouve l'accès à internet de manière à pouvoir communiquer directement de chez moi avec vous pour poursuivre ces démarches. Merci d'avance pour votre compréhension.

[r@in | b0w]

Bonjour.

1_ Rien d'intéressant dans le log HiJackThis à part que tu devrais mettre à jour ta version d'Internet Explorer vers la version 7 pour plus de sécurité.

2_ Tu vas supprimer tous tes points de restauration système.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.

Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

3_ Tu télécharges Gmer en version .ZIP que tu décompresses ensuite sur le Bureau.

Tu double-cliques sur l'icône Gmer.exe pour le lancer.

Tu cliques ensuite sur l'onglet Rootkit puis sur Scan pour démarrer l'analyse.

Si Gmer trouve un rootkit, il affichera la ligne en rouge.
Tu cliques droit sur la ligne puis sur Kill the process si cette option est disponible puis dans tous les cas tu cliques droit sur Delete the service pour supprimer le rootkit.

Si tu hésites ou que tu veux une confirmation sur les suppressions, tu suis avec ces deux tutoriaux le guide pour faire une impression écran puis l'héberger sur internet.

Tiens-nous au courant.

Ps: mieux vaut que tu n'ailles pas sur Internet avec ta machine infectée, un trojan peut permettre à quelqu'un d'en prendre le contrôle et/ou de récupérer tes informations personnelles & mots de passe.

[Skynet]

Rien à signalé dans ton log Hijackthis comme j'avais dit.

Réinstalles PC Tools .

[r@in | b0w]

Je fais trop le paranoïaque, c'est ça?

J'aimerai autre chose cependant.

edetfa, tu parles de deux nettoyages successifs avec Mbam, tu pourrais nous mettre le rapport manquant?

Histoire de voir si ce sont les même éléments qui reviennent à chaque fois ou non.

[galyfa]

Hello dans un premier temps si j'ose dire voici le premier rapport Mbam :
J'ai retrouver l'accés à internet en désinstallant mon pare feu ! Merci Skynet

Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1053
Windows 5.1.2600 Service Pack 2

10:09:38 01/09/2008
mbam-log-9-1-2008 (10-09-38).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 112275
Temps écoulé: 29 minute(s), 51 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 12
Fichier(s) infecté(s): 31

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall hcas0j0e35c (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWARE hcas0j0e35c (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion dssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWARE dss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSoftware Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USERControl PanelDesktopwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERControl PanelDesktoporiginalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERControl PanelDesktopconvertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERControl PanelDesktopscrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemNoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemNoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:Program Files hcas0j0e35c (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceApplication Data hcas0j0e35c (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceApplication Data hcas0j0e35cQuarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceApplication Data hcas0j0e35cQuarantineAutorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceApplication Data hcas0j0e35cQuarantineAutorunHKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceApplication Data hcas0j0e35cQuarantineAutorunHKCURunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceApplication Data hcas0j0e35cQuarantineAutorunHKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceApplication Data hcas0j0e35cQuarantineAutorunHKLMRunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceApplication Data hcas0j0e35cQuarantineAutorunStartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceApplication Data hcas0j0e35cQuarantineAutorunStartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceApplication Data hcas0j0e35cQuarantineBrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceApplication Data hcas0j0e35cQuarantinePackages (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:Program Files hcas0j0e35cdatabase.dat (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Program Files hcas0j0e35clicense.txt (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Program Files hcas0j0e35cMFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Program Files hcas0j0e35cMFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Program Files hcas0j0e35cmsvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Program Files hcas0j0e35cmsvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Program Files hcas0j0e35c hcas0j0e35c.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Program Files hcas0j0e35c hcas0j0e35c.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Program Files hcas0j0e35cUninstall.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceApplication DataMicrosoftInternet ExplorerQuick LaunchAntivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:WINDOWSsystem32 dssadw.dll (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32 dssl.dll (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32 dssserf.dll (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32 dssmain.dll (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32 dssinit.dll (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32 dsslog.dll (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32 dssservers.dat (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32drivers dssserv.sys (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32lphces0j0e35c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:WINDOWSsystem32lphces0j0e35c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:WINDOWSsystem32phces0j0e35c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:WINDOWSsystem32pphces0j0e35c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:Documents and SettingsAll UsersBureauAntivirus XP 2008.lnk (Rogue.Antivirus) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceLocal SettingsTemp.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceLocal SettingsTemp.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceLocal SettingsTemp.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceLocal SettingsTemp.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceLocal SettingsTemp.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceLocal SettingsTemp.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceLocal SettingsTemp.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:Documents and SettingsFabriceLocal SettingsTemp.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

Ensuite j'hesite pour les manip avec gmer :
Dés que je double clic, il se lance tout de suite et j'ai ce message :





J'ai essayé de continuer mais quand je fais > clic droit >delete the service, j'ai un autre warning qui me dit que je risque de "crasher mon pc"

Merci encore pour le suivi...

[galyfa]

hello, voici ce que dit Sdfix :


SDFix: Version 1.220
Run by Fabrice on 01/09/2008 at 17:44

Microsoft Windows XP [version 5.1.2600]
Running From: C:SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:DOCUME~1FabriceLOCALS~1Temp.tt12.tmp - Deleted
C:DOCUME~1FabriceLOCALS~1Temp.tt20.tmp - Deleted
C:DOCUME~1FabriceLOCALS~1Temp.tt26.tmp - Deleted
C:DOCUME~1FabriceLOCALS~1Temp.tt1.tmp.vbs - Deleted
C:DOCUME~1FabriceLOCALS~1Temp.tt12.tmp.vbs - Deleted
C:DOCUME~1FabriceLOCALS~1Temp.tt2.tmp.vbs - Deleted
C:DOCUME~1FabriceLOCALS~1Temp.tt3.tmp.vbs - Deleted
C:DOCUME~1FabriceLOCALS~1Temp.tt4.tmp.vbs - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-01 17:55:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg]
"s1"=dword:edb80f68
"s2"=dword:d201862b
"h0"=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:42,e3,f2,ad,dd,5e,32,23,ec,cc,3e,23,0a,cb,01,b0,c5,d7,2f,0a,c3,..
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTDSSserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"systemrootsystem32driversTDSSserv.sys"
[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicessptdCfg19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:42,e3,f2,ad,dd,5e,32,23,ec,cc,3e,23,0a,cb,01,b0,c5,d7,2f,0a,c3,..
[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTDSSserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"systemrootsystem32driversTDSSserv.sys"

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"C:\Program Files\Azureus\Azureus.exe"="C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\TmNationsForever\TmForever.exe"="C:\Program Files\TmNationsForever\TmForever.exe:*:Disabled:TmForever"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\Mozilla Firefox\plugins\alhlp.exe"="C:\Program Files\Mozilla Firefox\plugins\alhlp.exe:*:Disabled:Anti-Leech plugin helper program"
"C:\Program Files\ma-config.com\maconfservice.exe"="C:\Program Files\ma-config.com\maconfservice.exe:LocalSubNet:Enabled:maconfservice"

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:SDFixackupsackups.zip

Files with Hidden Attributes :

Wed 13 Oct 2004 1,694,208 ..SH. --- "C:Program FilesMessengermsmsgs.exe"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:Program FilesSpybot - Search & DestroySDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:Program FilesSpybot - Search & DestroySpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:Program FilesSpybot - Search & DestroyTeaTimer.exe"
Sat 22 Mar 2008 23 A.SH. --- "C:WINDOWSsystem32eeecbefd_z.dll"
Tue 13 Feb 2007 4,348 A.SH. --- "C:Documents and SettingsAll UsersDRMDRMv1.bak"
Wed 16 Jul 2008 0 A.SH. --- "C:Documents and SettingsAll UsersDRMCacheIndiv01.tmp"
Wed 30 Apr 2008 611,840 ...H. --- "C:Documents and SettingsFabriceBureauAIDalaVIE~WRL0295.tmp"
Tue 29 Apr 2008 505,856 ...H. --- "C:Documents and SettingsFabriceBureauAIDalaVIE~WRL2671.tmp"
Wed 30 Apr 2008 549,376 ...H. --- "C:Documents and SettingsFabriceBureauAIDalaVIE~WRL3144.tmp"
Wed 30 Apr 2008 563,712 ...H. --- "C:Documents and SettingsFabriceBureauAIDalaVIE~WRL3492.tmp"
Tue 13 Feb 2007 4,348 ...H. --- "C:Documents and SettingsFabriceMes documentsMa musiqueSauvegarde de la licencedrmv1key.bak"
Fri 20 Jun 2008 20 A..H. --- "C:Documents and SettingsFabriceMes documentsMa musiqueSauvegarde de la licencedrmv1lic.bak"
Mon 7 Jan 2008 1,104 A.SH. --- "C:Documents and SettingsFabriceMes documentsMa musiqueSauvegarde de la licencedrmv2key.bak"
Tue 24 Jun 2008 188,416 A.SH. --- "C:Documents and SettingsFabriceBureauMes imagesPhotosCrSte3 crSte SamariaSIV79.tmp"
Tue 24 Jun 2008 188,416 A.SH. --- "C:Documents and SettingsFabriceBureauMes imagesPhotosCrSte3 crSte SamariaSIV7A.tmp"
Wed 25 Jun 2008 327,680 A.SH. --- "C:Documents and SettingsFabriceBureauMes imagesPhotosCrSte4 crSte KaniaSIV51.tmp"

Finished!


Merci encore;