Assiste.Forums

[waloo]

Bonjour à tous,

Suite au post de nickW et Pierre, pouvez-vous me donner un coup de main pour l'analyse de log.
J'ai depuis quelques temps, des attaques incessantes qui sont bloquées, un ordinateur qui a du mal à se fermer, des blocage de page web....
Matériel : Win XP PRO SP3, AMD Athlon 64 X2 Dual, Core Processor 6000+, 3.01 GHz, 3.00 Go de RAM
Antivirus NOD32, Ad-Aware, ....

Ci-joint les rapports demandés, merci par avance de votre aide.
Cordialement,
Waloo

Rapport Malwarebytes' :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6552

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/05/2011 09:37:28
mbam-log-2011-05-11 (09-37-28).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 175266
Temps écoulé: 2 minute(s), 33 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

[waloo]

Bonjour, Souci pour mettre la suite des rapports, lors de l'envoi, c'est refusé....
Impossible d'envoyer les rapports, même découpés, ils ne partent pas.....

Que faut-il faire SVP ?

Merci

[nickW]

Bonsoir,

Peux-tu mettre les deux rapports d'analyse de OTL dans un fichier archive que tu déposeras sur un serveur externe.

Par exemple:

*- Aller sur http://senduit.com/ (Javascript doit être activé)
*- Cliquer sur le bouton Parcourir, naviguer jusqu'au fichier "archive.zip" et le sélectionner
*- de retour dans le navigateur, Derrière Expire in: via la liste déroulante, choisir 5 Days
*- cliquer sur le bouton Upload
*- Attendre la fin du transfert du fichier
*- Envoyer en réponse sur le forum le lien qui est affiché en dessous de "This is your download URL. It expires in 5 Days.".

Salut,

[waloo]

Bonjour nickW,

Merci pour l'info et les conseils, je le fais tout de suite....

Cordialement,

Waloo

[waloo]

Bonjour nickW,

Toujours dispo, merci....

Voici les liens (senduit.com n'a pas fonctionné, je les aient mis sur dl.free.fr)

Fichier OTL : http://dl.free.fr/leNdTgtS1 Mot de passe : 1234

Fichier Extra : http://dl.free.fr/njfxiYPC1 Mot de passe : 1234

Par avance merci nickW

Cordialement,

Waloo

[nickW]

Bonsoir,

Qui t'a conseillé d'utiliser ComboFix?
Quel a été son résultat?


Quelques remarques/questions:

Pas d'infection visible de façon évidente.

L'Observateur d'événements signale plusieurs messages d'erreur à propos de WindowsUpdate (ce qui pourrait expliquer certains problèmes à l'arrêt).

La partition K ne contient plus que 8% d'espace libre.

Pourquoi le fichier hosts est-il absent?

Il y a plusieurs fichiers temporaires: il faudrait les supprimer régulièrement.

A suivre,

[waloo]

Bonjour nickW,

Combofix a été passé suite à infection trouvé par NOD32.

Windows update n'arrive pas à se mettre à jour, je ne sais pas pourquoi.....

Partition K est un disque dur externe pour les sauvegardes.

Pourquoi le fichier host est-il absent ? Ben, heu, à vrai dire,.... ????

Les fichiers temporaires.... J'ai essayé de les effacer, mais ils ne s'effacent pas...

A suivre

Merci nickW

[nickW]

Bonsoir,

1/ As-tu essayé de lancer manuellement WindowsUpdate?
Y a-t-il des messages d'erreur?


2/ Rétablissement d'un fichier hosts par défaut.

Télécharger le fichier hosts par défaut de Windows XP via un clic droit sur le lien ci-dessous, et placer le fichier hosts ainsi téléchargé dans le dossier C:\Windows\System32\Drivers\etc\
http://download.bleepingcomputer.com/mi ... s-xp/hosts


3/ Nettoyage des fichiers temporaires.

TFC - Temp File Cleaner (de OldTimer)
Télécharger TFC depuis l'un des deux liens ci-dessous:
http://oldtimer.geekstogo.com/TFC.exe
http://www.itxassociates.com/OT-Tools/TFC.exe
Enregistrer le fichier sur le Bureau.

L'outil va faire redémarrer le système: il est indispensable d'enregistrer tous les travaux en cours.

Faire un double clic sur TFC. exe pour lancer l'outil.

L'écran principal de TFC s'affiche:


Cliquer sur le bouton Start.

L'outil va supprimer les fichiers temporaires de tous les utilisateurs, ce qui prend au maximum trois minutes.

En fin d'exécution, le programme affichera la liste des dossiers vidés, ainsi que la taille de l'espace disque ainsi libéré.

Noter le nombre affiché en rouge tout en bas: Total Files Cleaned = **,** mb pour l'envoyer en réponse.

Si nécessaire, le programme proposera le redémarrage du système ("The system requires a reboot to finish removing files"). Il faut cliquer sur Oui/Yes.

A suivre,

[waloo]

Bonjour nickW,

1/ Pour Windows Update, rien à faire pour afficher la page web.
Réponse : Internet Explorer ne peut pas afficher cette page Web
Grrrrrr..........

2/ Fichier host : fait

3/ Nettoyage des Temp faits. 83.00 MB nettoyés.

4/ Redémarré l'ordinateur, essayé windows update à nouveau, toujours même message et rien à faire.

A suivre,

Merci nickW

[nickW]

Bonsoir,

Pour WindowsUpdate, plusieurs pistes (tester après chaque étape):


Étape 1/ Toutes les conditions ci-dessous sont-elles remplies:

Se connecter avec les droits Administrateur

Service Mises à jour automatiques
Démarré
et en Démarrage automatique

Service Appel de procédure distante (RPC)
Démarré
et en Démarrage automatique

Service de Transfert intelligent
Démarré

Service Windows Installer
Démarré
et en Démarrage manuel/automatique

Services de cryptographie
Démarré
et en Démarrage automatique

Journal des événements
Démarré
et en Démarrage automatique

Arrêter tous les logiciels de blocage de popups

Arrêter tous les logiciels de surveillance du Registre
TeaTimer de Spybot-S&D par exemple.

IE
Ne pas passer par DropMyRights / StripMyRights

IE
Accepter le chargement des contrôles ActiveX et les exécutions de scripts qui en découlent

Dans le dossier C:\WINDOWS\system32 ou WINNT\system32
Renommer le fichier wuweb.dll en wuweb.dll.non


Étape 2/ Dans Internet Explorer, vider l'historique de navigation.

Outils ---- Options Internet ----> Onglet Général

Dans le paragraphe Historique de navigation, cliquer sur le bouton Supprimer... (cocher Fichiers Internet temporaires, cookies, historique)


Étape 3/ Mettre le site http://windowsupdate.microsoft.com/ dans les sites de confiance.


Étape 4/ Si tout ceci n'a pas donné de résultat positif, Affichage du rapport de WindowsUpdate:

Démarrer---->Exécuter, taper %windir%\windowsupdate.log puis cliquer sur OK

Une fenêtre du Bloc-notes va s'ouvrir.

Attention!
Ce fichier est cumulatif.
Il ne faut copier en réponse que les lignes de la fin du fichier, à partir de la veille des essais ci-dessus (si tu fais les essais le 18/05/2011, il faut envoyer les lignes concernant les 17 et 18/05/2011).

A suivre,

[waloo]

Bonjour nickW,

Étape 1/ Toutes les conditions ci-dessous sont-elles remplies:

A - Se connecter avec les droits Administrateur : OK

B - Service Mises à jour automatiques Démarré et en Démarrage automatique : OK

C - Service Appel de procédure distante (RPC) Démarré et en Démarrage automatique : OK

D - Service de Transfert intelligent Démarré : OK

E - Service Windows Installer Démarré et en Démarrage manuel/automatique : NON démarré, mais en mode "manuel", j'ai donc démarré le service.

F - Services de cryptographie Démarré et en Démarrage automatique : OK

G - Journal des événements Démarré et en Démarrage automatique : OK

H - Arrêter tous les logiciels de blocage de popups : Arrêt d'Ad-Aware

I - Arrêter tous les logiciels de surveillance du Registre TeaTimer de Spybot-S&D par exemple : Déjà arrêté

J - IE Ne pas passer par DropMyRights / StripMyRights : Je n'utilise pas

[waloo]

nickW voici la suite, impossible d'envoyer de messages plus longs... comprends pas !!!
...
K - IE Accepter le chargement des contrôles ActiveX et les exécutions de scripts qui en découlent : activés OK

L - Dans le dossier C:\WINDOWS\system32 ou WINNT\system32 Renommer le fichier wuweb.dll en wuweb.dll.non : OK Fait, fichier re-créé par IE.

[waloo]

nickW voici la suite, impossible d'envoyer de messages plus longs... comprends pas !!!
...

Étape 2/ Dans Internet Explorer, vider l'historique de navigation.

Outils ---- Options Internet ----> Onglet Général

Dans le paragraphe Historique de navigation, cliquer sur le bouton Supprimer... (cocher Fichiers Internet temporaires, cookies, historique) : OK Fait

[waloo]

nickW, au secours, peux plus envoyer messages.....

[waloo]

nickW, ci-joint lien avec texte explicatif, suis bloqué.... merci Waloo - http://dl.free.fr/mqGbt5sx6 Mot de passe : 1234

[nickW]

Bonsoir,

Utilisation d'un outil de nettoyage:

Étape 1: TDSSKiller (de Kaspersky), installation
Télécharger tdsskiller.zip depuis le lien ci-dessous:
http://support.kaspersky.com/downloads/ ... killer.zip

Extraire de l'archive téléchargée le fichier TDSSKiller.exe et le placer sur le Bureau.


Étape 2: TDSSKiller (de Kaspersky), exécution
Faire un double clic sur TDSSKiller.exe pour le lancer.

L'écran de TDSSKiller s'affiche:


Cliquer sur Start scan pour lancer l'analyse.

Lorsque l'outil a terminé son travail d'inspection,

Si des nuisibles ("Malicious objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer:
*- soit Cure
*- soit Skip. Dans ce cas, cliquer sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, mais il ne faut pas choisir Delete ni Quarantine


Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip).

Puis cliquer sur le bouton (Continue),

Attendre l'affichage du fichier rapport.

Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton (Reboot computer)

Dans tous les cas, faire redémarrer le PC.


Étape 3: Résultats
Envoyer en réponse:
*- le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
[%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:]

A suivre,

[waloo]

Bonjour nickW,

Ci-joint le rapport de Kaspersky :

2011/05/23 09:47:17.0359 3556 TDSS rootkit removing tool 2.5.1.0 May 13 2011 13:20:29
2011/05/23 09:47:17.0546 3556 ================================================================================
2011/05/23 09:47:17.0546 3556 SystemInfo:
2011/05/23 09:47:17.0546 3556
2011/05/23 09:47:17.0546 3556 OS Version: 5.1.2600 ServicePack: 3.0
2011/05/23 09:47:17.0546 3556 Product type: Workstation
2011/05/23 09:47:17.0546 3556 ComputerName: DOMINIQUE
2011/05/23 09:47:17.0546 3556 UserName: Dom
2011/05/23 09:47:17.0546 3556 Windows directory: C:\WINDOWS
2011/05/23 09:47:17.0546 3556 System windows directory: C:\WINDOWS
2011/05/23 09:47:17.0546 3556 Processor architecture: Intel x86
2011/05/23 09:47:17.0546 3556 Number of processors: 2
2011/05/23 09:47:17.0546 3556 Page size: 0x1000
2011/05/23 09:47:17.0546 3556 Boot type: Normal boot
2011/05/23 09:47:17.0546 3556 ================================================================================
2011/05/23 09:47:18.0156 3556 Initialize success
2011/05/23 09:47:22.0125 0936 ================================================================================
2011/05/23 09:47:22.0125 0936 Scan started
2011/05/23 09:47:22.0125 0936 Mode: Manual;
2011/05/23 09:47:22.0125 0936 ================================================================================
2011/05/23 09:47:22.0640 0936 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/05/23 09:47:22.0687 0936 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/05/23 09:47:22.0718 0936 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/05/23 09:47:22.0765 0936 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/05/23 09:47:22.0875 0936 AmdK8 (31ffde1be912d7cbd3f189feb61f86b6) C:\WINDOWS\system32\DRIVERS\AmdK8.sys
2011/05/23 09:47:23.0000 0936 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/05/23 09:47:23.0015 0936 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/05/23 09:47:23.0031 0936 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/05/23 09:47:23.0093 0936 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/05/23 09:47:23.0140 0936 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/05/23 09:47:23.0250 0936 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/05/23 09:47:23.0265 0936 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/05/23 09:47:23.0296 0936 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/05/23 09:47:23.0328 0936 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/05/23 09:47:23.0453 0936 DgiVecp (770471de2550820feeb7e5d24bf2e273) C:\WINDOWS\system32\Drivers\DgiVecp.sys
2011/05/23 09:47:23.0484 0936 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/05/23 09:47:23.0531 0936 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/05/23 09:47:23.0546 0936 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2011/05/23 09:47:23.0546 0936 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/05/23 09:47:23.0593 0936 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/05/23 09:47:23.0640 0936 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/05/23 09:47:23.0656 0936 DUNTLW (f51f1737839e30dc3c31d08b7e5e0790) C:\WINDOWS\System32\drivers\duntlw.sys
2011/05/23 09:47:23.0687 0936 eamon (1b5ca1caffc594bd37dcc8d7ef849e0b) C:\WINDOWS\system32\DRIVERS\eamon.sys
2011/05/23 09:47:23.0718 0936 ehdrv (a4241545ecff3ee97041847d83936e1f) C:\WINDOWS\system32\DRIVERS\ehdrv.sys
2011/05/23 09:47:23.0734 0936 epfwtdir (367a97a632ec5e8521f68ffa2c700610) C:\WINDOWS\system32\DRIVERS\epfwtdir.sys
2011/05/23 09:47:23.0765 0936 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/05/23 09:47:23.0796 0936 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/05/23 09:47:23.0796 0936 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/05/23 09:47:23.0812 0936 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/05/23 09:47:23.0843 0936 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/05/23 09:47:23.0859 0936 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/05/23 09:47:23.0875 0936 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/05/23 09:47:23.0921 0936 gdrv (c6e3105b8c68c35cc1eb26a00fd1a8c6) C:\WINDOWS\gdrv.sys
2011/05/23 09:47:24.0203 0936 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/05/23 09:47:24.0250 0936 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/05/23 09:47:24.0312 0936 HPZid412 (5faba4775d4c61e55ec669d643ffc71f) C:\WINDOWS\system32\DRIVERS\HPZid412.sys
2011/05/23 09:47:24.0312 0936 HPZipr12 (a3c43980ee1f1beac778b44ea65dbdd4) C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
2011/05/23 09:47:24.0343 0936 HPZius12 (2906949bd4e206f2bb0dd1896ce9f66f) C:\WINDOWS\system32\DRIVERS\HPZius12.sys
2011/05/23 09:47:24.0375 0936 HTCAND32 (cbd09ed9cf6822177ee85aea4d8816a2) C:\WINDOWS\system32\Drivers\ANDROIDUSB.sys
2011/05/23 09:47:24.0406 0936 htcnprot (04e3b3554076b8192a668efe88a682a1) C:\WINDOWS\system32\DRIVERS\htcnprot.sys
2011/05/23 09:47:24.0421 0936 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/05/23 09:47:24.0500 0936 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/05/23 09:47:24.0515 0936 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/05/23 09:47:24.0656 0936 IntcAzAudAddService (1508153784633e16dc3dfce3cd7a9b18) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/05/23 09:47:24.0734 0936 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/05/23 09:47:24.0750 0936 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/05/23 09:47:24.0781 0936 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/05/23 09:47:24.0796 0936 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/05/23 09:47:24.0828 0936 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/05/23 09:47:24.0859 0936 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/05/23 09:47:24.0875 0936 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/05/23 09:47:24.0921 0936 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/05/23 09:47:24.0937 0936 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/05/23 09:47:24.0968 0936 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/05/23 09:47:25.0031 0936 Lavasoft Kernexplorer (6c4a3804510ad8e0f0c07b5be3d44ddb) C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys
2011/05/23 09:47:25.0062 0936 Lbd (336abe8721cbc3110f1c6426da633417) C:\WINDOWS\system32\DRIVERS\Lbd.sys
2011/05/23 09:47:25.0109 0936 LMIInfo (4f69faaabb7db0d43e327c0b6aab40fc) C:\Program Files\LogMeIn\x86\RaInfo.sys
2011/05/23 09:47:25.0140 0936 lmimirr (4477689e2d8ae6b78ba34c9af4cc1ed1) C:\WINDOWS\system32\DRIVERS\lmimirr.sys
2011/05/23 09:47:25.0156 0936 LMIRfsDriver (3faa563ddf853320f90259d455a01d79) C:\WINDOWS\system32\drivers\LMIRfsDriver.sys
2011/05/23 09:47:25.0203 0936 MarkFun_NT (34ca6d7580aef0fa2cb58adbbe542f29) C:\Program Files\markfun.w32
2011/05/23 09:47:25.0250 0936 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/05/23 09:47:25.0281 0936 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/05/23 09:47:25.0312 0936 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/05/23 09:47:25.0328 0936 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/05/23 09:47:25.0343 0936 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/05/23 09:47:25.0390 0936 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/05/23 09:47:25.0421 0936 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/05/23 09:47:25.0453 0936 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/05/23 09:47:25.0468 0936 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/05/23 09:47:25.0484 0936 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/05/23 09:47:25.0515 0936 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/05/23 09:47:25.0531 0936 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/05/23 09:47:25.0578 0936 MXOPSWD (216ac775320f64de28cfeb7c179c4ff9) C:\WINDOWS\system32\DRIVERS\mxopswd.sys
2011/05/23 09:47:25.0625 0936 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/05/23 09:47:25.0656 0936 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/05/23 09:47:25.0671 0936 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/05/23 09:47:25.0687 0936 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/05/23 09:47:25.0687 0936 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/05/23 09:47:25.0703 0936 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/05/23 09:47:25.0734 0936 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/05/23 09:47:25.0765 0936 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/05/23 09:47:25.0796 0936 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/05/23 09:47:25.0828 0936 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/05/23 09:47:26.0046 0936 nv (18281a647f8d2a0afd00f4a9f52c59f4) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/05/23 09:47:26.0125 0936 nvata (ef9941593b2e9b436f64a87ddb570d1a) C:\WINDOWS\system32\DRIVERS\nvata.sys
2011/05/23 09:47:26.0156 0936 NVENETFD (0ae6258709d58fb53638e8d28f4480d4) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
2011/05/23 09:47:26.0171 0936 nvnetbus (1296b33c223a58485d5eaa779752216a) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
2011/05/23 09:47:26.0218 0936 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/05/23 09:47:26.0234 0936 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/05/23 09:47:26.0281 0936 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/05/23 09:47:26.0296 0936 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/05/23 09:47:26.0312 0936 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/05/23 09:47:26.0343 0936 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/05/23 09:47:26.0375 0936 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/05/23 09:47:26.0390 0936 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/05/23 09:47:26.0515 0936 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/05/23 09:47:26.0531 0936 Processor (e19c9632ac828f6f214391e2bdda11cb) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/05/23 09:47:26.0546 0936 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/05/23 09:47:26.0562 0936 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/05/23 09:47:26.0656 0936 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/05/23 09:47:26.0671 0936 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/05/23 09:47:26.0687 0936 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/05/23 09:47:26.0687 0936 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/05/23 09:47:26.0718 0936 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/05/23 09:47:26.0734 0936 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/05/23 09:47:26.0750 0936 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/05/23 09:47:26.0765 0936 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/05/23 09:47:26.0812 0936 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/05/23 09:47:26.0875 0936 s0016bus (59509ad6cbc28f2c73056268985b3e48) C:\WINDOWS\system32\DRIVERS\s0016bus.sys
2011/05/23 09:47:26.0906 0936 s0016mdfl (b98c3a6f91f4fba285af9606a240c6b4) C:\WINDOWS\system32\DRIVERS\s0016mdfl.sys
2011/05/23 09:47:26.0921 0936 s0016mdm (8a83426f4fb7b5212825d9de76368b1a) C:\WINDOWS\system32\DRIVERS\s0016mdm.sys
2011/05/23 09:47:26.0937 0936 s0016mgmt (7a78bba97feb5e6d24c49e93a3bf7287) C:\WINDOWS\system32\DRIVERS\s0016mgmt.sys
2011/05/23 09:47:26.0953 0936 s0016nd5 (34ef7b5f611957b73e7219dd5a222ad1) C:\WINDOWS\system32\DRIVERS\s0016nd5.sys
2011/05/23 09:47:26.0968 0936 s0016obex (36792935847143e4a3cda0dc87248487) C:\WINDOWS\system32\DRIVERS\s0016obex.sys
2011/05/23 09:47:26.0984 0936 s0016unic (927208754fb27fc3e7a659e77500c5d1) C:\WINDOWS\system32\DRIVERS\s0016unic.sys
2011/05/23 09:47:27.0015 0936 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/05/23 09:47:27.0078 0936 seehcri (e5b56569a9f79b70314fede6c953641e) C:\WINDOWS\system32\DRIVERS\seehcri.sys
2011/05/23 09:47:27.0093 0936 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/05/23 09:47:27.0109 0936 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/05/23 09:47:27.0140 0936 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/05/23 09:47:27.0203 0936 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/05/23 09:47:27.0218 0936 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/05/23 09:47:27.0250 0936 Srv (89220b427890aa1dffd1a02648ae51c3) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/05/23 09:47:27.0281 0936 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/05/23 09:47:27.0296 0936 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/05/23 09:47:27.0359 0936 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/05/23 09:47:27.0421 0936 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/05/23 09:47:27.0468 0936 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/05/23 09:47:27.0500 0936 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/05/23 09:47:27.0500 0936 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/05/23 09:47:27.0562 0936 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/05/23 09:47:27.0625 0936 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/05/23 09:47:27.0656 0936 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/05/23 09:47:27.0687 0936 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/05/23 09:47:27.0718 0936 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/05/23 09:47:27.0750 0936 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/05/23 09:47:27.0781 0936 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/05/23 09:47:27.0812 0936 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/05/23 09:47:27.0859 0936 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/05/23 09:47:27.0906 0936 usb_rndisx (b6cc50279d6cd28e090a5d33244adc9a) C:\WINDOWS\system32\DRIVERS\usb8023x.sys
2011/05/23 09:47:27.0921 0936 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/05/23 09:47:27.0968 0936 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/05/23 09:47:28.0000 0936 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/05/23 09:47:28.0062 0936 Wdf01000 (4769596d7cc0f5fa447d2babc239672a) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/05/23 09:47:28.0140 0936 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/05/23 09:47:28.0250 0936 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/05/23 09:47:28.0265 0936 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/05/23 09:47:28.0312 0936 \HardDisk1 - detected Rootkit.Win32.TDSS.tdl4 (0)
2011/05/23 09:47:28.0375 0936 ================================================================================
2011/05/23 09:47:28.0375 0936 Scan finished
2011/05/23 09:47:28.0375 0936 ================================================================================
2011/05/23 09:47:28.0390 2564 Detected object count: 1
2011/05/23 09:59:06.0875 2564 \HardDisk1 - copied to quarantine
2011/05/23 09:59:06.0921 2564 \HardDisk1\TDLFS\cfg.ini - copied to quarantine
2011/05/23 09:59:06.0921 2564 \HardDisk1\TDLFS\mbr - copied to quarantine
2011/05/23 09:59:06.0937 2564 \HardDisk1\TDLFS\bckfg.tmp - copied to quarantine
2011/05/23 09:59:06.0953 2564 \HardDisk1\TDLFS\cmd.dll - copied to quarantine
2011/05/23 09:59:12.0718 2564 \HardDisk1\TDLFS\ldr16 - copied to quarantine
2011/05/23 09:59:12.0718 2564 \HardDisk1\TDLFS\ldr32 - copied to quarantine
2011/05/23 09:59:13.0468 2564 \HardDisk1\TDLFS\ldr64 - copied to quarantine
2011/05/23 09:59:14.0296 2564 \HardDisk1\TDLFS\drv64 - copied to quarantine
2011/05/23 09:59:15.0078 2564 \HardDisk1\TDLFS\cmd64.dll - copied to quarantine
2011/05/23 09:59:15.0937 2564 \HardDisk1\TDLFS\drv32 - copied to quarantine
2011/05/23 09:59:16.0781 2564 Rootkit.Win32.TDSS.tdl4(\HardDisk1) - User select action: Quarantine

A suivre....
Merci
Waloo

[nickW]

Bonsoir,

TDSSKiller a bien détecté un nuisible.


.... et tu as oublié de me dire (de façon détaillée) comment se comporte le PC.
(apparemment, tu peux de nouveau envoyer des messages sur le forum )

A suivre,

[waloo]

Bonjour nickW,

Pour le PC, ouverture assez rapide, rien de plus dramatique qu'avant.
En fonctionnement, blocage par moments, de l'ordre de 2 à 5 secondes. Impossible d'écrire, ou faire bouger les fenêtres. Seule la souris fonctionne.
Le PC repart tout seul. Test sur IE ou FIREFOX idem.
Arrêt par deux ou trois fois de l'ordinateur au démarrage, plantage, écran bleu, redémarrage et OK.
Attaques incessantes, bloquées par NOD32.
Accès à certaines pages Web difficile, voire impossible (Ex. Windows Update).
Fermeture très longue de l'ordinateur. (là, plus long qu'avant...)
NOD32 me trouve des infiltrations, mais à priori ne les efface pas.
Voilà, pour faire simple...

Pourquoi j'ai pu renvoyer le message via le forum, ça, je n'en sais rien.... J'ai essayé, c'est passé.... C'est à ne rien y comprendre...

Merci nickW,

A suivre...

Waloo

[nickW]

Bonsoir,

1/ Quel est le message exact affiché sur le fameux "écran bleu"?

Si tu n'as pas le temps de le noter, il faudrait désactiver le redémarrage automatique du PC en cas de plantage système de façon à obtenir le message d'erreur au complet:

Démarrer---->Paramètres---->Panneau de configuration---->Système
Cliquer sur l'onglet Avancé, puis dans le paragraphe Démarrage et récupération sur le bouton Paramètres
Dans la fenêtre Démarrage et récupération, décocher la case située devant Redémarrer automatiquement.
Valider par OK (deux fois).

Au prochain problème de BSOD (écran bleu de la mort), tu pourras voir des informations.
Il faut recopier sur le forum la totalité de ces informations.



2/ Quels sont exactement les messages de NOD32?



3/ Utilisation d'un outil pour lister les messages d'erreur de l'Observateur d'événements:

Étape 1: VEW - Vino's Event Viewer (de Vino Rosso), téléchargement
Télécharger VEW depuis:
http://images.malwareremoval.com/vino/VEW.exe

Enregistrer le fichier sur le Bureau.


Étape 2: VEW - Vino's Event Viewer (de Vino Rosso), exécution
Faire un double clic sur VEW.exe pour lancer l'outil.

Sous "Select log to query" (sur la gauche), cocher les cases
Application
System

Sous "Select type to list" (sur la droite), cocher les cases
Error
Warning

Sous "Number or date of events",

Cocher le bouton-radio situé devant "Number of events" et saisir 20 dans la case située juste à droite sur la même ligne

Cliquer sur le bouton RUN.

Laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log).
Fermer le Bloc-notes.
Si nécessaire, fermer VEW en cliquant sur le bouton Exit.


Étape 3: Résultats
Envoyer en réponse:
*- le rapport de VEW (contenu du fichier %SystemDrive%\VEW.txt)
[%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:]

A suivre,