profusion de virusRésolu/Fermé

Question

Bonjour, à vous tous


je viens vers vous en desespoir de cause...

depuis une semaine je suis confronté à des attaques virus, des erreurs windows et un multitudes de trojan.
pas plus tard qu'hier soir, j'ai lancé en mode sous echec spybot, malwarebytes, ccleaner et regclean.
tout ce quia été trouvé d'infectés je l'ai supprimé.

mais ca recommence...

concretement j'ai des erreurs windows du type genneric hosts for win32 a rencontré une erreur etc....
lorsque j'ouvre une page web via firefox, il arrive souvent que soit:
1 - la page qui s'ouvre n'a rien a voir avec celle voulu
2 - la page voulue s'ouvre mais un peu plus tard, un deuxieme onglet s'ouvre sur une autre page sans que j'ai demandé quoique ce soit

durant des années je n'ai jamais été attaqué comme cela par des virus.

j'ai meme fait une "reparation" avec le cd de windows mais rien n'y a changé

je poste ici le rapport hijack si ca peux vous aider.

si vous avez le temps de regarder ca serait vraiment cool

d'avance merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:30:27, on 18/01/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\userini.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\userini.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\agopian\Bureau\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

verni29 · Answer

Bonsoir, 

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur  OTL.exe  pour le lancer. 
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur. 
* Sélectionne l'option tous les utilisateurs.
* Dans la partie  Personnalisation, copie/colle la liste suivante.

 netsvcs 
Drivers32
msconfig  
activex
/md5start   
winlogon.exe 
explorer.exe
wininit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata%\*.exe /s 
%APPDATA%\*.  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme http://cijoint.fr pour les déposer. 
indique ensuite les deux liens crées.

A+

pasterma · Answer

bonsoir


voici les resultats

http://www.cijoint.fr/cjlink.php?file=cj201101/cijRd2JsCI.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijFRFnHC2.txt

juste a signaler que pendant le scan j'ai eu mon antivirus avira qui a bloque un aururun - C:\autorun.inf

..et juste avant de le lancer j'ai une nouvelle fois eu une erreur generic host for win 32 - ca me coupe le son de mes videos pour info



merci d'avance

georges

pasterma · Answer

Bonjour ce matin au reveil et apres avoir allumer le pc, j'ai deja eu une alerte de mon antivirus Dans le fichier 'C:\WINDOWS\system32\userini.exe' un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen2' [trojan] a été détecté. et Le fichier 'C:\WINDOWS\system32\userini.exe' contenait un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen2' [trojan]. Action(s) exécutée(s) : L'entrée de registre a été supprimée. L'entrée de registre a été supprimée. Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003. Impossible de supprimer le fichier ! Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK. Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '574ff19a.qua' ! Impossible de supprimer l'entrée de registre . Impossible de supprimer l'entrée de registre .

verni29 · Answer

Re,   

1/ Relance OTL.exe.     

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :     

:OTL   
O4 - HKLM..\Run: [userini] C:\WINDOWS\system32\userini.exe ()  
O4 - HKU\.DEFAULT..\Run: [userini] C:\WINDOWS\system32\userini.exe ()  
O4 - HKU\S-1-5-18..\Run: [userini] C:\WINDOWS\system32\userini.exe ()  
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: userini = C:\WINDOWS\system32\userini.exe ()  
[2011/01/18 02:02:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\agopian\Application Data\xssend2  
[2011/01/18 01:57:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\xssend2  
[2011/01/18 01:25:36 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\pdzp33eqvjb1mnynxabrmatpdwmwwuu2  
[2009/11/10 22:52:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP  

:reg  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]  
"C:\WINDOWS\TEMP\0.4739678682012026.exe"=-  
"C:\Documents and Settings\NetworkService\Application Data\xssend2\svcnost.exe"=-  
"C:\Documents and Settings\NetworkService\Application Data\pdzp33eqvjb1mnynxabrmatpdwmwwuu2\csrss.exe"=-  
"C:\Documents and Settings\agopian\Application Data\xssend2\svcnost.exe"=-  

:files  
C:\WINDOWS\TEMP\0.4739678682012026.exe  

:Commands   
[EMPTYTEMP]  
[EMPTYFLASH]

*  Puis clique sur le bouton Correction en haut de la fenêtre.     
 * Laisse le programme travailler, le PC va redémarrer.     

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).      
sauvegarde-le sur ton Bureau et poste-le après redémarrage.     

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles     
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log   

2/ Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )    
http://download.bleepingcomputer.com/sUBs/ComboFix.exe    

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )    
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.    

# Lance Combofix.exe et suis les invites.    
# Il te sera demandé d'installer la console de récupération.    
Important. Fais le absolument.    

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.     

# Une fois le scan fini, un rapport va apparaitre.    

Copie/colle ce rapport dans ta prochaine réponse.    

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.    

A+   
Allez jusqu'au bout de la procédure de désinfection.

pasterma · Answer

Bonjour verni ravi de vous revoir j'ai fait tout ce qui etait enoncé et voici les resultats. juste pour info au cas ou il y aurait une incidence j'avais desactivé mon antivirus avira mais comme l'ordi a du redamarrer durant combofix, celui ci a du se reactiver a ce moment et il a trouvé ceci: Dans le fichier 'C:\Documents and Settings\agopian\Local Settings\Temp\Av-test.txt' un virus ou un programme indésirable 'Eicar-Test-Signature' [virus] a été détecté. Action exécutée : Refuser l'accès faut il que je recommence en allant avnt dans msconfig pour annuler mon antivirus au demarrage? desolé mais je ne suis pas un super pro il faut avouer 1 OTL All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\userini not found. C:\WINDOWS\system32\userini.exe moved successfully. Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\userini not found. File C:\WINDOWS\system32\userini.exe not found. Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\userini not found. File C:\WINDOWS\system32\userini.exe not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\userini not found. File C:\WINDOWS\system32\userini.exe not found. C:\Documents and Settings\agopian\Application Data\xssend2 folder moved successfully. C:\Documents and Settings\NetworkService\Application Data\xssend2 folder moved successfully. C:\Documents and Settings\NetworkService\Application Data\pdzp33eqvjb1mnynxabrmatpdwmwwuu2 folder moved successfully. C:\Documents and Settings\All Users\Application Data\TEMP folder moved successfully. ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\TEMP\0.4739678682012026.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\NetworkService\Application Data\xssend2\svcnost.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\NetworkService\Application Data\pdzp33eqvjb1mnynxabrmatpdwmwwuu2\csrss.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\agopian\Application Data\xssend2\svcnost.exe deleted successfully. ========== FILES ========== File\Folder C:\WINDOWS\TEMP\0.4739678682012026.exe not found. ========== COMMANDS ========== [EMPTYTEMP] User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: All Users User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 9076294 bytes ->Java cache emptied: 12030 bytes User: LocalService ->Temp folder emptied: 16384 bytes ->Temporary Internet Files folder emptied: 7360423 bytes User: agopian ->Temp folder emptied: 72500734 bytes ->Temporary Internet Files folder emptied: 172316 bytes ->Java cache emptied: 21933 bytes ->FireFox cache emptied: 86068915 bytes ->Flash cache emptied: 11385 bytes User: Administrateur ->Temporary Internet Files folder emptied: 32768 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2134506 bytes %systemroot%\System32 .tmp files removed: 3072 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 933240 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 28953446 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 34465 bytes RecycleBin emptied: 123098 bytes Total Files Cleaned = 198,00 mb [EMPTYFLASH] User: Default User User: All Users User: NetworkService User: LocalService User: agopian ->Flash cache emptied: 0 bytes User: Administrateur Total Flash Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.20.2 log created on 01192011_151120 Files\Folders moved on Reboot... Registry entries deleted on Reboot... 2 - combofix ComboFix 11-01-18.04 - agopian 19/01/2011 15:42:10.1.1 - FAT32x86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.710 [GMT 1:00] Lancé depuis: c:\documents and settings\agopian\Bureau\ComboFix.exe AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} * Un antivirus résident est actif . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\agopian\Application Data\desktop.ini c:\documents and settings\agopian\Application Data\inst.exe c:\documents and settings\All Users.\documents\settings c:\documents and settings\All Users\Application Data\.wtav c:\documents and settings\NetworkService\Application Data\desktop.ini c:\windows\system32\ReadMe.txt c:\windows\system32\uninstall.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2010-12-19 au 2011-01-19 )))))))))))))))))))))))))))))))))))) . 2011-01-19 14:11 . 2011-01-19 14:11 -------- d-----w- C:\_OTL 2011-01-18 22:45 . 2011-01-18 22:45 -------- d-----w- C:\FOUND.000 2011-01-18 18:14 . 2011-01-18 18:14 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe 2011-01-17 23:55 . 2010-09-18 06:53 974848 ------w- c:\windows\system32\dllcache\mfc42.dll 2011-01-17 23:55 . 2010-09-18 06:53 953856 ------w- c:\windows\system32\dllcache\mfc40u.dll 2011-01-17 23:55 . 2010-08-23 16:12 617472 ------w- c:\windows\system32\dllcache\comctl32.dll 2011-01-17 23:54 . 2010-11-02 15:17 40960 ------w- c:\windows\system32\dllcache dproxy.sys 2011-01-17 09:42 . 2009-08-13 15:20 512000 ------w- c:\windows\system32\dllcache\jscript.dll 2011-01-17 09:41 . 2010-11-09 14:52 536576 ------w- c:\windows\system32\dllcache\msado15.dll 2011-01-17 09:41 . 2010-11-09 14:52 249856 ------w- c:\windows\system32\dllcache\odbc32.dll 2011-01-17 09:41 . 2010-11-09 14:52 200704 ------w- c:\windows\system32\dllcache\msadox.dll 2011-01-17 09:41 . 2010-11-09 14:52 180224 ------w- c:\windows\system32\dllcache\msadomd.dll 2011-01-17 09:41 . 2010-11-09 14:52 143360 ------w- c:\windows\system32\dllcache\msadco.dll 2011-01-17 09:41 . 2010-11-09 14:52 102400 ------w- c:\windows\system32\dllcache\msjro.dll 2011-01-17 09:41 . 2010-10-11 14:59 45568 ------w- c:\windows\system32\dllcache\wab.exe 2011-01-16 22:38 . 2008-06-14 17:33 272768 ------w- c:\windows\system32\dllcache\bthport.sys 2011-01-16 22:38 . 2010-08-26 13:39 357248 ------w- c:\windows\system32\dllcache\srv.sys 2011-01-16 22:38 . 2010-02-24 13:11 455680 ------w- c:\windows\system32\dllcache\mrxsmb.sys 2011-01-16 22:38 . 2009-11-21 15:58 471552 ------w- c:\windows\system32\dllcache\aclayers.dll 2011-01-16 22:37 . 2010-06-14 14:31 744448 ------w- c:\windows\system32\dllcache\helpsvc.exe 2011-01-16 22:36 . 2009-02-06 10:10 227840 ------w- c:\windows\system32\dllcache\wmiprvse.exe 2011-01-16 22:36 . 2009-03-06 14:20 286720 ------w- c:\windows\system32\dllcache\pdh.dll 2011-01-16 22:36 . 2009-02-09 11:23 111104 ------w- c:\windows\system32\dllcache\services.exe 2011-01-16 22:36 . 2009-02-09 10:53 401408 ------w- c:\windows\system32\dllcache pcss.dll 2011-01-16 22:36 . 2009-02-09 10:53 473600 ------w- c:\windows\system32\dllcache\fastprox.dll 2011-01-16 22:36 . 2009-02-09 10:53 685568 ------w- c:\windows\system32\dllcache\advapi32.dll 2011-01-16 22:36 . 2009-02-09 10:53 453120 ------w- c:\windows\system32\dllcache\wmiprvsd.dll 2011-01-16 22:36 . 2009-02-09 10:53 739840 ------w- c:\windows\system32\dllcache tdll.dll 2011-01-16 22:36 . 2009-06-21 21:47 153088 ------w- c:\windows\system32\dllcache riedit.dll 2011-01-16 22:35 . 2010-06-18 13:36 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe 2011-01-16 22:35 . 2008-05-08 14:02 203136 ------w- c:\windows\system32\dllcache mcast.sys 2011-01-16 22:34 . 2008-05-01 14:36 331776 ------w- c:\windows\system32\dllcache\msadce.dll 2011-01-16 22:34 . 2009-08-25 09:18 354816 ------w- c:\windows\system32\dllcache\winhttp.dll 2011-01-15 22:49 . 2010-07-16 12:04 221696 ------w- c:\windows\system32\dllcache\wordpad.exe 2011-01-15 22:42 . 2010-06-14 07:42 1172480 ------w- c:\windows\system32\dllcache\msxml3.dll 2011-01-15 22:40 . 2010-04-28 05:43 2148352 ------w- c:\windows\system32\dllcache tkrnlmp.exe 2011-01-15 22:40 . 2010-04-28 05:43 2026496 ------w- c:\windows\system32\dllcache tkrpamp.exe 2011-01-15 22:40 . 2010-04-28 05:43 2068864 ------w- c:\windows\system32\dllcache tkrnlpa.exe 2011-01-15 22:40 . 2010-08-27 08:02 119808 ------w- c:\windows\system32\dllcache 2embed.dll 2011-01-15 22:40 . 2009-10-15 16:32 81920 ------w- c:\windows\system32\dllcache\fontsub.dll 2011-01-15 22:38 . 2008-10-15 16:35 337408 ------w- c:\windows\system32\dllcache etapi32.dll 2011-01-15 22:28 . 2009-07-31 09:03 1372672 ------w- c:\windows\system32\dllcache\msxml6.dll 2011-01-15 22:28 . 2008-04-13 18:04 93184 ------w- c:\windows\system32\dllcache\msxml6r.dll 2011-01-15 22:27 . 2008-04-13 18:32 103424 ------w- c:\windows\system32\dllcache\dpcdll.dll 2011-01-15 22:22 . 2008-04-13 18:34 294912 ------w- c:\windows\system32\dllcache\dlimport.exe 2011-01-15 21:42 . 2001-08-23 16:47 26112 ----a-w- c:\windows\system32\dllcache\EXCH_seos.dll 2011-01-15 21:41 . 2002-09-07 00:00 8704 ----a-w- c:\windows\system32\dllcache\infoctrs.dll 2011-01-15 21:40 . 2002-09-07 00:00 45568 ----a-w- c:\windows\system32\dllcache\browscap.dll 2011-01-15 21:37 . 2002-09-07 00:00 16384 ----a-w- c:\windows\system32\dllcache\isignup.exe 2011-01-15 21:37 . 2002-09-07 00:00 16384 ----a-w- c:\program files\Internet Explorer\Connection Wizard\isignup.exe 2011-01-15 21:26 . 2002-09-07 00:00 24661 ----a-w- c:\windows\system32\spxcoins.dll 2011-01-15 21:26 . 2002-09-07 00:00 24661 ----a-w- c:\windows\system32\dllcache\spxcoins.dll 2011-01-15 21:26 . 2002-09-07 00:00 13312 ----a-w- c:\windows\system32\irclass.dll 2011-01-15 21:26 . 2002-09-07 00:00 13312 ----a-w- c:\windows\system32\dllcache\irclass.dll 2011-01-06 21:40 . 2011-01-06 21:40 -------- d-----w- c:\documents and settings\agopian\.sears 2010-12-30 23:20 . 2010-12-30 23:20 -------- d-----w- c:\program files\ConvertHelper 2010-12-30 14:27 . 2010-12-30 14:27 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-12-20 17:09 . 2009-09-09 23:16 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-12-20 17:08 . 2009-09-09 23:16 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-12-13 14:45 . 2009-09-09 22:56 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-12-13 14:45 . 2009-09-09 22:56 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-11-18 18:12 . 2009-09-08 23:19 86016 ----a-w- c:\windows\system32\isign32.dll 2010-11-09 14:52 . 2004-08-04 03:54 249856 ----a-w- c:\windows\system32\odbc32.dll 2010-11-05 05:05 . 2004-08-04 03:54 671232 ----a-w- c:\windows\system32\wininet.dll 2010-11-05 05:05 . 2004-08-04 03:54 81920 ----a-w- c:\windows\system32\ieencode.dll 2010-11-05 05:05 . 2004-08-04 01:59 61952 ----a-w- c:\windows\system32 dc.ocx 2010-11-05 05:02 . 2004-08-04 03:41 371200 ----a-w- c:\windows\system32\html.iec 2010-11-02 15:17 . 2002-09-06 23:00 40960 ----a-w- c:\windows\system32\drivers dproxy.sys 2010-10-28 13:14 . 2004-08-04 03:52 290048 ----a-w- c:\windows\system32\atmfd.dll 2010-10-26 14:07 . 2004-08-04 03:45 1853440 ----a-w- c:\windows\system32\win32k.sys 2006-05-03 10:06 163328 --sha-r- c:\windows\system32\flvDX.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoRun "= 1 (0x1) [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-09-20 22:07 932288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-09-23 03:47 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader eader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] 2008-04-13 18:34 15360 ----a-w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware] 2010-12-20 17:08 443728 ----a-w- c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MRT] 2011-01-13 02:00 37403080 ----a-w- c:\windows\system32\MRT.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ] 2005-01-04 13:17 1937408 ------w- c:\progra~1\Ahead\NEROBA~1\NBJ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] 2006-10-22 11:22 7700480 ----a-w- c:\windows\system32 vcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] 2006-10-22 11:22 86016 ----a-w- c:\windows\system32 vmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] 2006-10-22 11:22 1622016 ----a-w- c:\windows\system32 wiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent] 2010-12-17 00:14 395640 ----a-w- c:\program files\uTorrent\uTorrent.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\VideoLAN\VLC\vlc.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= "c:\WINDOWS\system32\sessmgr.exe"= "%windir%\system32\sessmgr.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "36950:UDP"= 36950:UDP:µTorrent "36950:TCP"= 36950:TCP:µTorrent R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [09/09/2009 23:56 135336] S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30/01/2010 00:06 691696] S1 MpKslc3478327;MpKslc3478327;\??\c:\windows\system32\MpEngineStore\MpKslc3478327.sys --> c:\windows\system32\MpEngineStore\MpKslc3478327.sys [?] S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [20/10/2004 14:23 21344] . Contenu du dossier 'Tâches planifiées' 2011-01-13 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] . . ------- Examen supplémentaire ------- . FF - ProfilePath - c:\documents and settings\agopian\Application Data\Mozilla\Firefox\Profiles\ufa4esgd.default\ FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: UnPlug: unplug@compunach - %profile%\extensions\unplug@compunach FF - Ext: URL Flipper: urlflipper@mozilla.ktechcomputing.com - %profile%\extensions\urlflipper@mozilla.ktechcomputing.com FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b} FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension . - - - - ORPHELINS SUPPRIMES - - - - MSConfigStartUp-FlashPlayerUpdate - c:\windows\system32\Macromed\Flash\FlashUtil10k_Plugin.exe MSConfigStartUp-MSMSGS - c:\program files\Messenger\msmsgs.exe MSConfigStartUp-userini - c:\windows\system32\userini.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-01-19 15:51 Windows 5.1.2600 Service Pack 3 FAT NTAPI Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 5.1.2600 Disk: ST340810A rev.3.93 -> Harddisk0\DR0 -> \Device\Ide\IdePort0 P0T0L0-3 device: opened successfully user: MBR read successfully Disk trace: called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8671A555]<< c:\docume~1\agopian\LOCALS~1\Temp\catchme.sys _asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x867207b0]; MOV EAX, [0x8672082c]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; } 1 nt!IofCallDriver[0x804E37D5] -> \Device\Harddisk0\DR0[0x86750AB8] 3 CLASSPNP[0xF786FFD7] -> nt!IofCallDriver[0x804E37D5] -> \Device\00000060[0x8678FF18] 5 ACPI[0xF77E5620] -> nt!IofCallDriver[0x804E37D5] -> [0x86777D98] \Driver\atapi[0x867882A8] -> IRP_MJ_CREATE -> 0x8671A555 kernel: MBR read successfully _asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [BP+0x0], CH; JL 0x2e; JNZ 0x3a; } detected disk devices: \Device\Ide\IdeDeviceP0T0L0-3 -> \??\IDE#DiskST340810A_______________________________3.93____#4635384236415431202020202020202020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found detected hooks: \Driver\atapi DriverStartIo -> 0x8671A39B user & kernel MBR OK Warning: possible TDL3 rootkit infection ! ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\S-1-5-21-1645522239-606747145-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . Heure de fin: 2011-01-19 15:54:18 ComboFix-quarantined-files.txt 2011-01-19 14:54 Avant-CF: 5 887 025 152 octets libres Après-CF: 5 857 419 264 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4 - - End Of File - - A520B3A0F306E4E0DA0549C2C6A7BDF7

verni29 · Answer

Re, 

Pour antivir, cela me semble normal.
Les fichiers autorun.inf sont détectés et bloqués depuis la version 10.

Les deux fichiers C:\autorun.inf et D:\autorun.inf me semblent être des vaccins crées par USBFix ou Panda.
Cela te dit quelque chose ?
On le vérifiera.

--------------------------------------------------------------

Il y a sans doute une infection plus sévère sur le PC.

Télécharge  TDSSKiller sur ton Bureau.    

# Décompresse le (clic droit sur le fichier et extraire) sur le bureau.   
# dans le dossier crée, déplacer le fichier TDSSKiller.exe pour le mettre sur le Bureau   
# Faire un double clic sur TDSSKiller.exe pour le lancer.   
# Cliquer sur Start scan pour lancer l'analyse,   

# Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option Cure est sélectionnée,   
# Si des objects suspects "Suspicious objects" ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),   
# Puis cliquer sur le bouton Continue.   
# Attendre l'affichage du fichier rapport.   
# Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton  Reboot computer.   

Envoyer en réponse le rapport de TDSSKiller   

Note : Il se trouve aussi en C:\TDSSKiller.Version_Date_Heure_log.txt   

A+

pasterma · Answer

Re

Les deux fichiers C:\autorun.inf et D:\autorun.inf me semblent être des vaccins crées par USBFix ou Panda.
Cela te dit quelque chose ?
On le vérifiera.


Excuse moi mais là je ne sais vraiment pas ce que ca veut dire

voici le rapport

juste pour info une nouvelle fois, alors que je lisais ton dernier message, et sans que je ne touche a rien, un nouvel onglet s'est ouvert comme ca arrive souvent en ce moment et je l'ai refermé aussitot - j'ai beaucoup de redirection en ce moment...

2011/01/19 16:27:12.0562	TDSS rootkit removing tool 2.4.14.0 Jan 18 2011 09:33:51
2011/01/19 16:27:12.0562	================================================================================
2011/01/19 16:27:12.0562	SystemInfo:
2011/01/19 16:27:12.0562	
2011/01/19 16:27:12.0562	OS Version: 5.1.2600 ServicePack: 3.0
2011/01/19 16:27:12.0562	Product type: Workstation
2011/01/19 16:27:12.0562	ComputerName: GEORGES
2011/01/19 16:27:12.0562	UserName: agopian
2011/01/19 16:27:12.0562	Windows directory: C:\WINDOWS
2011/01/19 16:27:12.0562	System windows directory: C:\WINDOWS
2011/01/19 16:27:12.0562	Processor architecture: Intel x86
2011/01/19 16:27:12.0562	Number of processors: 1
2011/01/19 16:27:12.0562	Page size: 0x1000
2011/01/19 16:27:12.0562	Boot type: Normal boot
2011/01/19 16:27:12.0562	================================================================================
2011/01/19 16:27:13.0062	Initialize success
2011/01/19 16:27:22.0984	================================================================================
2011/01/19 16:27:22.0984	Scan started
2011/01/19 16:27:22.0984	Mode: Manual; 
2011/01/19 16:27:22.0984	================================================================================
2011/01/19 16:27:24.0078	ACPI            (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/01/19 16:27:24.0203	ACPIEC          (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/01/19 16:27:24.0562	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/01/19 16:27:24.0781	AFD             (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/01/19 16:27:25.0765	AmdK7           (d3dabc57be6d456dfd4bc026cfa582ff) C:\WINDOWS\system32\DRIVERS\AMDK7.SYS
2011/01/19 16:27:26.0765	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/01/19 16:27:26.0906	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/01/19 16:27:27.0250	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/01/19 16:27:27.0500	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/01/19 16:27:27.0671	avgio           (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Program Files\Avira\AntiVir Desktop\avgio.sys
2011/01/19 16:27:27.0890	avgntflt        (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/01/19 16:27:28.0093	avipbb          (c306f96b5eac2d58774780ec4af5467b) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/01/19 16:27:28.0234	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/01/19 16:27:28.0562	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/01/19 16:27:28.0890	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/01/19 16:27:29.0015	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/01/19 16:27:29.0171	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/01/19 16:27:30.0390	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/01/19 16:27:30.0625	dmboot          (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/01/19 16:27:31.0265	dmio            (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\DRIVERS\dmio.sys
2011/01/19 16:27:31.0500	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/01/19 16:27:32.0328	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/01/19 16:27:33.0812	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/01/19 16:27:34.0812	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/01/19 16:27:35.0265	fbxusb          (504e93682655a7b3af1fb5bff3f44322) C:\WINDOWS\system32\DRIVERS\fbxusb32.sys
2011/01/19 16:27:35.0531	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/01/19 16:27:36.0078	Fips            (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/01/19 16:27:36.0218	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/01/19 16:27:36.0421	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/01/19 16:27:36.0578	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/01/19 16:27:36.0734	Ftdisk          (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/01/19 16:27:37.0765	gameenum        (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/01/19 16:27:37.0968	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/01/19 16:27:38.0171	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/01/19 16:27:38.0578	HSFHWBS2        (970178e8e003eb1481293830069624b9) C:\WINDOWS\system32\DRIVERS\HSFBS2S2.sys
2011/01/19 16:27:38.0906	HSF_DP          (ebb354438a4c5a3327fb97306260714a) C:\WINDOWS\system32\DRIVERS\HSFDPSP2.sys
2011/01/19 16:27:39.0203	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/01/19 16:27:39.0796	i8042prt        (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/01/19 16:27:40.0000	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/01/19 16:27:40.0578	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/01/19 16:27:41.0328	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/01/19 16:27:41.0781	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/01/19 16:27:41.0921	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/01/19 16:27:42.0046	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/01/19 16:27:42.0187	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/01/19 16:27:42.0312	isapnp          (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/01/19 16:27:42.0468	Kbdclass        (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/01/19 16:27:42.0671	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/01/19 16:27:42.0890	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/01/19 16:27:43.0328	mdmxsdk         (195741aee20369980796b557358cd774) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
2011/01/19 16:27:43.0500	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/01/19 16:27:43.0656	Modem           (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/01/19 16:27:43.0843	Mouclass        (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/01/19 16:27:43.0984	mouhid          (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/01/19 16:27:44.0140	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/01/19 16:27:45.0343	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/01/19 16:27:45.0578	MRxSmb          (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/01/19 16:27:45.0859	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/01/19 16:27:46.0031	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/01/19 16:27:46.0234	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/01/19 16:27:46.0375	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/01/19 16:27:46.0546	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/01/19 16:27:46.0765	ms_mpu401       (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys
2011/01/19 16:27:48.0500	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/01/19 16:27:48.0671	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/01/19 16:27:49.0375	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS
distapi.sys
2011/01/19 16:27:49.0531	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS
disuio.sys
2011/01/19 16:27:49.0640	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS
diswan.sys
2011/01/19 16:27:50.0062	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/01/19 16:27:50.0250	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS
etbios.sys
2011/01/19 16:27:50.0453	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS
etbt.sys
2011/01/19 16:27:50.0671	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/01/19 16:27:51.0578	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/01/19 16:27:52.0078	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/01/19 16:27:53.0312	nv              (ba1b732c1a70cfea0c1b64f2850bf44f) C:\WINDOWS\system32\DRIVERS
v4_mini.sys
2011/01/19 16:27:54.0265	nvax            (163cd7728440a1901e72e7207fa5877a) C:\WINDOWS\system32\drivers
vax.sys
2011/01/19 16:27:54.0453	NVENET          (c8400ca70bf8a30156487bf887886432) C:\WINDOWS\system32\DRIVERS\NVENET.sys
2011/01/19 16:27:54.0671	nvnforce        (f573f587abed7c750b66ab96143ca1e9) C:\WINDOWS\system32\drivers
vapu.sys
2011/01/19 16:27:54.0984	nv_agp          (db36442c20793c53b4128eb85f9a3d32) C:\WINDOWS\system32\DRIVERS
v_agp.sys
2011/01/19 16:27:55.0109	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS
wlnkflt.sys
2011/01/19 16:27:55.0265	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS
wlnkfwd.sys
2011/01/19 16:27:55.0375	Parport         (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/01/19 16:27:55.0562	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/01/19 16:27:55.0734	ParVdm          (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/01/19 16:27:56.0000	PCI             (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/01/19 16:27:56.0328	PCIIde          (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/01/19 16:27:56.0484	Pcmcia          (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/01/19 16:27:56.0687	pcouffin        (5b6c11de7e839c05248ced8825470fef) C:\WINDOWS\system32\Drivers\pcouffin.sys
2011/01/19 16:27:58.0531	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERSaspptp.sys
2011/01/19 16:27:58.0671	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/01/19 16:27:59.0062	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/01/19 16:28:00.0406	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERSasacd.sys
2011/01/19 16:28:00.0531	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERSasl2tp.sys
2011/01/19 16:28:00.0718	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERSaspppoe.sys
2011/01/19 16:28:00.0968	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERSaspti.sys
2011/01/19 16:28:01.0171	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERSdbss.sys
2011/01/19 16:28:01.0343	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/01/19 16:28:01.0515	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERSdpdr.sys
2011/01/19 16:28:01.0906	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/01/19 16:28:02.0140	redbook         (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERSedbook.sys
2011/01/19 16:28:02.0406	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/01/19 16:28:02.0546	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/01/19 16:28:02.0843	Serial          (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/01/19 16:28:03.0109	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/01/19 16:28:03.0703	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/01/19 16:28:04.0093	sptd            (cdddec541bc3c96f91ecb48759673505) C:\WINDOWS\system32\Drivers\sptd.sys
2011/01/19 16:28:04.0359	sr              (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/01/19 16:28:04.0609	Srv             (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/01/19 16:28:04.0937	ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/01/19 16:28:05.0078	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/01/19 16:28:05.0281	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/01/19 16:28:06.0265	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/01/19 16:28:06.0515	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS	cpip.sys
2011/01/19 16:28:06.0765	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/01/19 16:28:06.0968	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/01/19 16:28:07.0171	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS	ermdd.sys
2011/01/19 16:28:07.0625	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/01/19 16:28:08.0062	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/01/19 16:28:08.0296	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/01/19 16:28:08.0500	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/01/19 16:28:08.0671	usbohci         (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/01/19 16:28:08.0890	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/01/19 16:28:09.0140	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/01/19 16:28:09.0312	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/01/19 16:28:09.0484	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/01/19 16:28:09.0828	VolSnap         (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/01/19 16:28:10.0281	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/01/19 16:28:10.0656	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/01/19 16:28:10.0890	winachsf        (1225ebea76aac3c84df6c54fe5e5d8be) C:\WINDOWS\system32\DRIVERS\HSFCXTS2.sys
2011/01/19 16:28:11.0250	\HardDisk0 - detected Rootkit.Win32.TDSS.tdl4 (0)
2011/01/19 16:28:11.0265	================================================================================
2011/01/19 16:28:11.0265	Scan finished
2011/01/19 16:28:11.0265	================================================================================
2011/01/19 16:28:11.0312	Detected object count: 1
2011/01/19 16:28:32.0687	\HardDisk0 - will be cured after reboot
2011/01/19 16:28:32.0687	Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Cure 
2011/01/19 16:28:46.0796	Deinitialize success

verni29 · Answer

pasterma, 

1/ Pour les fichiers autorun.inf et Antivir :
https://support.avira.com/hc/en-us/community/topics

Un vaccin est un fichier autorun.inf crée pour empêcher des infections de se propager via des supports amovibles comme les clés USB.

On va vérifier pour ces fichiers autorun.inf présents sur ton PC.

Télécharge  USBFix  ( par El Desaparecido ) sur ton bureau.   

* Double clique sur UsbFix.exe présent sur ton bureau .   
* clique sur Recherche .    
* Un message t'avertira de brancher les supports amovibles.    
 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir   
FAIS-LE.   
* Laisse travailler l'outil.   
* Ensuite post le rapport UsbFix.txt qui apparaitra.   
   
 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )   

2/ Pour vérifier que le rootkit a bien été éliminé.

Télécharge gmer  sur ton bureau ( IMPORTANT ) 
http://www.gmer.net/#files 

Précautions d'usage : 
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT. 
- Ferme également toutes les applications actives dont ton navigateur. 

# Double-clique sur l'exécutable téléchargé . 
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.  
# Le scan va se lancer de lui-même. 
 
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien. 

# A la fin de l'analyse, clique sur save pour enregistrer le rapport 
# Enregistre-le sur le bureau ( fichier .log ) 

Édite ce rapport dans ta prochaine réponse. 

A+

pasterma · Answer

Voila le resultat... pas terrible on dirait hein...


USBFIX

############################## | UsbFix 7.038 | [Recherche]

Utilisateur: agopian (Administrateur) # GEORGES [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 16:49:33 | 19/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: AMD Athlon(tm) XP 1700+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.56 [(!) Disabled | Updated]
RAM -> 1023 Mo 
C:\ (%systemdrive%) -> Disque fixe # 15 Go (5 Go libre(s) - 37%) [] # FAT32
D:\ -> Disque fixe # 21 Go (13 Go libre(s) - 65%) [] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
H:\ -> Disque amovible # 7 Go (7 Go libre(s) - 99%) [] # FAT32

################## | Éléments infectieux |



################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Vaccin |

C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)
D:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)

################## | E.O.F |


GMER a trouve ca
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2011-01-19 16:57:09
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST340810A rev.3.93
Running: 79603m0b.exe; Driver: C:\DOCUME~1\agopian\LOCALS~1\Temp\fwldqpob.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

et voici le scan

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-19 17:03:36
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST340810A rev.3.93
Running: 79603m0b.exe; Driver: C:\DOCUME~1\agopian\LOCALS~1\Temp\fwldqpob.sys


---- System - GMER 1.0.15 ----

SSDT            F7F3369E                                                                                              ZwCreateKey
SSDT            F7F33694                                                                                              ZwCreateThread
SSDT            F7F336A3                                                                                              ZwDeleteKey
SSDT            F7F336AD                                                                                              ZwDeleteValueKey
SSDT            F7F336B2                                                                                              ZwLoadKey
SSDT            F7F33680                                                                                              ZwOpenProcess
SSDT            F7F33685                                                                                              ZwOpenThread
SSDT            F7F336BC                                                                                              ZwReplaceKey
SSDT            F7F336B7                                                                                              ZwRestoreKey
SSDT            F7F336A8                                                                                              ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers
vax.sys                                                                  entry point in "init" section [0xF7CC1392]
.text           C:\WINDOWS\system32\DRIVERS
v4_mini.sys                                                              section is writeable [0xF6F62360, 0x24BB1D, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                   0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                   0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                0x01 0x39 0x1A 0xBB ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                       0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                       0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                    0x01 0x39 0x1A 0xBB ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                       0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                       0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                    0x01 0x39 0x1A 0xBB ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                       0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                       0
Reg             HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                    0x01 0x39 0x1A 0xBB ...

---- EOF - GMER 1.0.15 ----

verni29 · Answer

pasterma, 

Voila le resultat... pas terrible on dirait hein... 
Non. USBfix a trouvé quelques clés avec des valeurs changées.
pas toujours le signe d'une infection.

Et pour les fichiers autorun.inf :

C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)
D:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs) 
C'est bien ce que je te disais. Les lecteurs sont vaccinés et protégés contre des infections.
Tout à fait normal que Antivir les bloque.

----------------------------------------------------

1/ relance USBFix et choisis suppression.

2/ des restes d'adware ( ou publiciels ) à supprimer.

Télécharge AD-Remover de C_XX sur ton bureau : 
http://www.teamxscript.org/too/AD-R.exe 

Tu te déconnectes du net et ferme toutes les applications en cours. 

Sous Vista, il faut nécessairement désactiver l'UAC ou contrôle de compte utilisateur. 
Tuto : https://www.pcastuces.com/pratique/windows/vista/astuces/desactiver_uac.htm 

    * Double-clique sur AD-R.exe . 
    * Au menu principal, choisis l'option "nettoyer" pour effectuer le nettoyage . 
    * Suis les invites. 
    * Le PC va te demander de redémarrer pour procéder au nettoyage. Accepte 

Après redémarrage, un rapport va apparaitre. Poste le contenu dans ton prochain message. 

Note : Il se trouve en C:\AD-Report-Clean.log

A+

pasterma · Answer

Salut

voici les rapports

############################## | UsbFix 7.038 | [Suppression]

Utilisateur: agopian (Administrateur) # GEORGES [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 18:44:13 | 19/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: AMD Athlon(tm) XP 1700+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.56 [(!) Disabled | Updated]
RAM -> 1023 Mo 
C:\ (%systemdrive%) -> Disque fixe # 15 Go (5 Go libre(s) - 37%) [] # FAT32
D:\ -> Disque fixe # 21 Go (13 Go libre(s) - 65%) [] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
H:\ -> Disque amovible # 7 Go (7 Go libre(s) - 99%) [] # FAT32

################## | Éléments infectieux |


Supprimé! D:\Recycler\S-1-5-21-1645522239-606747145-725345543-1003
Supprimé! D:\Recycler\S-1-5-21-1935655697-1972579041-1801674531-1003

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[19/01/2011 - 16:29:58 | ASH | 1610612736] 	C:\PAGEFILE.SYS
[09/09/2009 - 00:01:50 | D ] 	C:\WINDOWS
[19/01/2011 - 16:30:00 | ASH | 1073254400] 	C:\hiberfil.sys
[07/09/2002 - 00:00:00 | N | 4952] 	C:\Bootfont.bin
[11/09/2009 - 01:18:44 | N | 252240] 	C:\ntldr
[04/08/2004 - 02:38:34 | N | 47564] 	C:\NTDETECT.COM
[18/01/2011 - 23:45:04 | D ] 	C:\FOUND.000
[09/09/2009 - 00:07:08 | D ] 	C:\Documents and Settings
[15/01/2011 - 22:38:28 | D ] 	C:\Program Files
[09/09/2009 - 00:23:38 | N | 0] 	C:\CONFIG.SYS
[09/09/2009 - 00:23:38 | N | 0] 	C:\AUTOEXEC.BAT
[09/09/2009 - 00:23:38 | N | 0] 	C:\IO.SYS
[09/09/2009 - 00:23:38 | N | 0] 	C:\MSDOS.SYS
[09/09/2009 - 00:31:48 | SHD ] 	C:\System Volume Information
[19/01/2011 - 15:33:30 | N | 328] 	C:\boot.ini
[19/01/2011 - 15:11:22 | D ] 	C:\_OTL
[24/03/2010 - 11:49:52 | RAD ] 	C:\autorun.inf
[19/01/2011 - 15:33:24 | D ] 	C:\cmdcons
[03/08/2004 - 23:00:08 | N | 263488] 	C:\cmldr
[19/01/2011 - 15:30:46 | D ] 	C:\Qoobox
[19/01/2011 - 16:40:20 | SHD ] 	C:\Recycled
[18/01/2011 - 16:44:34 | N | 212] 	C:\Boot.bak
[19/01/2011 - 15:54:22 | N | 16035] 	C:\ComboFix.txt
[19/01/2011 - 16:28:48 | N | 33582] 	C:\TDSSKiller.2.4.14.0_19.01.2011_16.27.12_log.txt
[19/01/2011 - 16:47:48 | D ] 	C:\UsbFix
[19/01/2011 - 18:42:30 | N | 1247] 	C:\UsbFix.txt
[10/09/2009 - 01:00:52 | D ] 	C:\NVIDIA
[10/09/2009 - 22:39:30 | D ] 	C:\PNP
[28/11/2009 - 11:32:22 | D ] 	C:\[Download]
[18/01/2011 - 19:28:14 | D ] 	D:\20111801_192256_agopian
[24/03/2010 - 11:49:52 | RAD ] 	D:\autorun.inf
[06/12/2010 - 00:34:01 | D ] 	D:\Casino.Jack.2010.DVDRip.XviD.AC3-ViSiON
[14/12/2010 - 00:52:03 | D ] 	D:\fringe
[19/01/2011 - 18:44:25 | SHD ] 	D:\RECYCLER
[14/01/2011 - 18:40:42 | D ] 	D:\Red 2010 BRRip 720p H264 AAC - MXMG
[15/01/2011 - 12:19:17 | D ] 	D:\Red.Hill.LIMITED.BDRip .XviD.NeDiVx-
[19/01/2011 - 06:22:37 | SHD ] 	D:\System Volume Information
[13/12/2009 - 01:45:19 | ASH | 533634] 	D:\Thumbs.db

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_GEORGES.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |



et ADR

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 19/01/11 à 17:30
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:52:07 le 19/01/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
agopian@GEORGES ( ) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\agopian\Application Data\Mozilla\FireFox\Profiles\ufa4esgd.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.order.1", "Ask.com"); 
Ligne supprimée: user_pref("extensions.snipit.askTbInstalled", true); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Documents and Settings\agopian\Application Data\Mozilla\FireFox\Profiles\ufa4esgd.default\Prefs.js --
browser.download.dir, C:\Documents and Settings\agopian\Bureau
browser.download.lastDir, C:\Documents and Settings\agopian\Bureau
browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

** Internet Explorer Version [6.0.2900.5512] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 19/01/2011 (922 Octet(s)) 

Fin à: 18:52:49, 19/01/2011 
 
============== E.O.F ============== 



Merci

verni29 · Answer

OK, 

Relance OTL et choisis Analyse.
Poste le rapport en utilisant le site http://cijoint.fr

A+

pasterma · Answer

est ce que je dois cocher tous les utilisateurs ???

verni29 · Answer

Oui, tu peux.

pasterma · Answer

voici le rapport

a noter que pendant le scan, antivir a bloqué  à 2 reprises autorun.inf

http://www.cijoint.fr/cjlink.php?file=cj201101/cijy6p6ra3.txt


A +

georges

verni29 · Answer

Re, 

1/ Relance OTL.exe.  

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL
[2010/10/07 10:34:12 | 000,000,020 | ---- | C] () -- C:\Documents and Settings\LocalService\Application Data\cnmkat.dat 

*  Puis clique sur le bouton Correction en haut de la fenêtre.  
 * Laisse le programme travailler.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).   Poste le.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles  
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log  

2/ fais un scan en ligne avec ESET : 
Tuto : https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32 

Poste le rapport si infections. 

A+

pasterma · Answer

milles excuses mais il a fallu que je m'absente 2 heures.
je vais faire de suite ce que tu m'as dit

pasterma · Answer

voici les resultats




========== OTL ==========
C:\Documents and Settings\LocalService\Application Data\cnmkat.dat moved successfully.
 
OTL by OldTimer - Version 3.2.20.2 log created on 01192011_222337


ESET a trouve ca


C:\_OTL\MovedFiles\01192011_151120\C_Documents and Settings\NetworkService\Application Data\pdzp33eqvjb1mnynxabrmatpdwmwwuu2\csrss.exe	une variante de Win32/Kryptik.JUX cheval de troie	nettoyé par suppression - mis en quarantaine


dois je supprimer le fichier mis en quarantain...

merci

verni29 · Answer

patersma, 

les fichiers en quarantaine seront supprimés lorsqu'on enlevera les outils.

---------------------------------

mets à jour le PC.

1/ Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

    * Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    *  Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    * Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

    * clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
    * Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    * Si oui, clique sur Installer puis suis les invites.

Note : Si  tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun  ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp

- Suppression des anciennes versions :

    * Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    * Suis les invites.
    * Il te sera précisé de la suppression les versions trouvées et supprimées

2/ mets à jour adobe reader ( et désinstalle ensuite la version 9.4 ): 
https://get2.adobe.com/fr/reader/otherversions/

3/ Va sur le site de secunia et mets à jour les plugins du PC :
https://www.flexera.com/products/operations/software-vulnerability-management.html

On termine ensuite.

A+

pasterma · Answer

voila tout est fait...

verni29 · Answer

pasterma, 

On termine.

On va enlever les outils utilisés, à l'exception de Malwarebytes que tu garderas. C'est un bon complément à un antivirus.

    * Lance OTL et clique sur purge outils.
      Le PC va redémarrer pour supprimer l'outil et sa quarantaine.
    * lance Ad-Remover et USBFixet choisis leur option de désinstallation.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.


Maintenant que le PC est propre, il te faut créer un point de restauration propre pour pouvoir l'utiliser en cas de problème sur ton PC.

- Désactivation de la restauration système :

Panneau de configuration --> Système --> Restauration du système
cocher " Désactiver la restauration .... " ( si elle est cochée, la décocher -- > valider -- > cocher )

Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.

Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Création d'un nouveau point de restauration :

Pour recréer un point de restauration :

Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système

Choisis "Créer un point de restauration". Suis les invites.

Si tu as des questions sur ces manips , n'hésite pas à les poser.

------------------------------------------------------------------------------------

/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...

projet antimalwares

-------------------------------------------------------------------------------------

Si tu juges que le problème est résolu, note le ( en haut de page , Marquer comme résolu )

Bonne continuation, bon surf, bonne lecture.

@+

pasterma · Answer

bonjour

tu es bien matinal !

comme je bosse toute la journee aujourd'hui, je procederai a toutes ces manips ce soir...
des que c'est fait je reviens vers toi


encore merci

georges

pasterma · Answer

Cher Verni

voila tout est fait...

je ne sais comment te remercier pour toutes ces heures passées à faire en sorte que mon systeme puisse a nouveau etre operationnel.
merci pour toutes ces explications tres clair et ton professionalisme.

si jamais je devais etre encore infecté - j'espere que non - j'espere pouvoir te retrouver ici...

Sincèrement votre.

Georges

Profusion de virus

23 réponses

Discussions similaires

Newsletters