[virus] W32/Autorun aha ? [Résolu]

Bonjour,
Mon ordinateur ordi1 et ma clé USB sont infectés par un virus. Cette infection m'est venue par la clé USB d'un collègue dont l'ordinateur et la clé sont également infectés.
Configuration de ordi1 : Windows XP Pro SP2, utilisé avec un compte administrateur. Pas d'antivirus (je me sers d'un autre ordinateur, ordi2, pour aller sur Internet).
Configuration de ordi2 : Windows XP Pro SP2, utilisé avec un compte administrateur. Antivirus F-Secure Antivirus for Workstations, version inconnue, mise à jour automatique tous les matins depuis le serveur central.
Symptômes sur ordi1 : toutes les extensions de fichiers ont disparu. Impossible de les remettre. Chaque tentative (panneau de configuration et registre) se solde par un retour automatique à la configuration "Masquer les extensiosn de fichier dont le type est connu".
Symptômes sur ordi2 : aucun.
Symptômes sur ma clé USB branchée sur ordi2 : F-Secure détecte un antiprogramme dessus. Rapport d'analyse de la clé USB (elle s'appelle F) : :
//<RAPPORT D'ANALYSE F-SECURE DE LA CLE USB>
Rapport d'analyse
vendredi 14 mars 2008 09:35:25 - 09:36:37
Nom de l'ordinateur: ordi1
Type d'analyse: Analyse de la cible
Cible : F:\
--------------------------------------------------------------------------------
Résultat: 1 antiprogramme(s) détecté(s)
Worm.Win32.AutoRun.aha (virus)
F:\Recycled\INFO.EXE Action : renommé
--------------------------------------------------------------------------------
Statistiques
Analysés:
Fichiers: 728
Non analysés: 0
Résultat:
Virus: 1
Spyware: 0
Eléments suspects: 0
Programme à risque: 0
Actions:
Nettoyés: 0
Renommés: 1
Supprimés: 0
Quarantaine: 0
Echec: 0
Secteurs d'amorçage:
Analysés: 1
Infectés: 0
Eléments suspects: 0
Nettoyés: 0
--------------------------------------------------------------------------------
Options
Version des définitions:
Virus: 2008-03-14_02
Spyware: 2008-03-14_02
Moteurs d'analyse :
F-Secure AVP: 7.00.171, 2008-03-14
F-Secure Libra: 2.04.01, 2008-03-13
F-Secure Orion: 1.02.37, 2008-03-14
F-Secure Draco: 1.00.35, 2008-02-13
Options d'analyse :
Analyser les fichiers définis : COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
Analyser le contenu des archives
Exclus :
Spyware (exclus par l'administrateur): PSWTool.Win32.GetPass RemoteAdmin.Win32.RAdmin RemoteAdmin.Win32.WinVNC
Actions:
Virus: Nettoyer les fichiers infectés
Spyware: Interroger après analyse
//<FIN DU RAPPORT D'ANALYSE F-SECURE DE LA CLE USB>
Il n'y a pas de dossier Recycled sur ma clé, ou du moins n'est-il pas browsé.
J'ai téléchargé hier l'utilitaire de désinfection de W32/autorun Worm Removal 1.0 sur Internet depuis softpedia.com, , et je l'ai utilisé sur ordi1 et sur ma clé. De plus, j'ai trouvé sur viruslist.com une suite de symptômes et de manips à faire quand on est infecté par W32/autorun aha, mais je n'avais pas les symptômes que ce site décrivait (fichiers supplémentaires, clés registre modifiées, etc).
Je pense que je suis infectée par un virus que mon antivirus n'arrive pas à identifier. J'ai téléchargé HiJackThis et j'ai édité un rapport de ordi1 ce matin. Le voilà :
//<RAPPORT HIJACKTHIS 0011 DE ORDI1>
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:25:36, on 14/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\IBM\Updater\jre\bin\javaw.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\DrvMon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cherbourg:8080/mantis/login_page.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F3 - REG:win.ini: load=System
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,System
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [UC_Start] C:\Program Files\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WellPhone DirectSync - ScheduleSync] C:\PROGRA~1\WELLPH~1\SCHEDU~1.EXE
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (IBM) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = HomeLand
O17 - HKLM\Software\..\Telephony: DomainName = HomeLand
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = HomeLand
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = HomeLand
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe