Hervé49

Bonsoir, En fait, ça été résolu un peu à l'insu de mon plein gré. Je testais divers utilitaires, et je suis tombé sur Combofix, que j'ai lancé. Mais j'ai pensé que ça me sortirait un log. Et non, il a scanné le PC et corrigé les problèmes trouvés. Au reboot, plus de ping.exe qui se lance tout seul. Mais, il a fait le ménage. Du coup, plus d'accès réseau. Impossible de lancer les services IPSEC, DHCP, DNS, Pare-feu...erreur 1068 etc... Au gré d'infos trouvées sur les forums, je commençait à faire des copies de BDR et fichiers SYS à partir d'un autre Pc. Et puis, j'ai lu l'info (que j'avais oubliée) : sfc /scannow, avec le cd qui va bien. Il m'a remis tous les fichiers au propre, et tout marche bien maintenant. Merci à Pear pour avoir commencé à faire le ménage dans le PC. PS: combofix semble puissant, à utiliser avec précaution ...

Vous voulez dire : choix 2 - suppression ? voici le rapport RogueKiller V6.2.2 [31/12/2011] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/42) Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: X [Droits d'admin] Mode: Suppression -- Date : 05/01/2012 16:29:28 ¤¤¤ Processus malicieux: 1 ¤¤¤ [sUSP PATH] StartupMonitor.exe -- C:\WINDOWS\StartupMonitor.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 1 ¤¤¤ [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ SSDT[241] : NtSetSystemPowerState @ 0x8066848B -> HOOKED (a347bus.sys @ 0xF7388390) SSDT[177] : NtQueryValueKey @ 0x8056A419 -> HOOKED (a347bus.sys @ 0xF7388B46) SSDT[160] : NtQueryKey @ 0x80573B86 -> HOOKED (a347bus.sys @ 0xF737D3A8) SSDT[119] : NtOpenKey @ 0x80568F68 -> HOOKED (a347bus.sys @ 0xF7388A74) SSDT[73] : NtEnumerateValueKey @ 0x8057FB2B -> HOOKED (a347bus.sys @ 0xF7388BF0) SSDT[71] : NtEnumerateKey @ 0x80573E7D -> HOOKED (a347bus.sys @ 0xF737D388) SSDT[45] : NtCreatePagingFile @ 0x805C45FB -> HOOKED (a347bus.sys @ 0xF737CB00) SSDT[41] : NtCreateKey @ 0x8057376F -> HOOKED (a347bus.sys @ 0xF7388AB0) SSDT[25] : NtClose @ 0x80567AED -> HOOKED (a347bus.sys @ 0xF7388AF8) ¤¤¤ Infection : ZeroAccess ¤¤¤ [ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present! ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1001namen.com 127.0.0.1 1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 0d8ba1c5110d7997ede9d189274f6a38 [bSP] 207620030fd2b5a0aa084f37fafb4feb : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 92279 Mo 1 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 180233235 | Size: 67759 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Voici les résultats : adwcleaner[R1] Google Documents adwcleaner[s1] : il n'a pas été généré. Le soft demande de redémarrer pour avoir le rapport : or j'ai eu 4 reboot avant d'arriver sur le bureau (petite frayeur ...) RKreport 1: (sans ping.exe en memoire) RogueKiller V6.2.2 [31/12/2011] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/42) Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Recherche -- Date : 04/01/2012 23:00:06 ¤¤¤ Processus malicieux: 1 ¤¤¤ [sUSP PATH] StartupMonitor.exe -- C:\WINDOWS\StartupMonitor.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 1 ¤¤¤ [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ SSDT[241] : NtSetSystemPowerState @ 0x8066848B -> HOOKED (a347bus.sys @ 0xF7388390) SSDT[177] : NtQueryValueKey @ 0x8056A419 -> HOOKED (a347bus.sys @ 0xF7388B46) SSDT[160] : NtQueryKey @ 0x80573B86 -> HOOKED (a347bus.sys @ 0xF737D3A8) SSDT[119] : NtOpenKey @ 0x80568F68 -> HOOKED (a347bus.sys @ 0xF7388A74) SSDT[73] : NtEnumerateValueKey @ 0x8057FB2B -> HOOKED (a347bus.sys @ 0xF7388BF0) SSDT[71] : NtEnumerateKey @ 0x80573E7D -> HOOKED (a347bus.sys @ 0xF737D388) SSDT[45] : NtCreatePagingFile @ 0x805C45FB -> HOOKED (a347bus.sys @ 0xF737CB00) SSDT[41] : NtCreateKey @ 0x8057376F -> HOOKED (a347bus.sys @ 0xF7388AB0) SSDT[25] : NtClose @ 0x80567AED -> HOOKED (a347bus.sys @ 0xF7388AF8) ¤¤¤ Infection : ZeroAccess ¤¤¤ [ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present! ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1001namen.com 127.0.0.1 1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 0d8ba1c5110d7997ede9d189274f6a38 [bSP] 207620030fd2b5a0aa084f37fafb4feb : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 92279 Mo 1 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 180233235 | Size: 67759 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: +++++ --- User --- [MBR] 13893e6f736a2055d64a6d4b0152a995 [bSP] 3cbff429ae39ce5a6dfaf4f2b6fdccce : Windows XP MBR Code Partition table: 0 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 63 | Size: 66 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt RKreport 2: (avec ping.exe en memoire) RogueKiller V6.2.2 [31/12/2011] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/42) Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: X [Droits d'admin] Mode: Recherche -- Date : 04/01/2012 23:01:52 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 1 ¤¤¤ [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ SSDT[241] : NtSetSystemPowerState @ 0x8066848B -> HOOKED (a347bus.sys @ 0xF7388390) SSDT[177] : NtQueryValueKey @ 0x8056A419 -> HOOKED (a347bus.sys @ 0xF7388B46) SSDT[160] : NtQueryKey @ 0x80573B86 -> HOOKED (a347bus.sys @ 0xF737D3A8) SSDT[119] : NtOpenKey @ 0x80568F68 -> HOOKED (a347bus.sys @ 0xF7388A74) SSDT[73] : NtEnumerateValueKey @ 0x8057FB2B -> HOOKED (a347bus.sys @ 0xF7388BF0) SSDT[71] : NtEnumerateKey @ 0x80573E7D -> HOOKED (a347bus.sys @ 0xF737D388) SSDT[45] : NtCreatePagingFile @ 0x805C45FB -> HOOKED (a347bus.sys @ 0xF737CB00) SSDT[41] : NtCreateKey @ 0x8057376F -> HOOKED (a347bus.sys @ 0xF7388AB0) SSDT[25] : NtClose @ 0x80567AED -> HOOKED (a347bus.sys @ 0xF7388AF8) ¤¤¤ Infection : ZeroAccess ¤¤¤ [ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present! ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1001namen.com 127.0.0.1 1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 0d8ba1c5110d7997ede9d189274f6a38 [bSP] 207620030fd2b5a0aa084f37fafb4feb : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 92279 Mo 1 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 180233235 | Size: 67759 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: +++++ --- User --- [MBR] 13893e6f736a2055d64a6d4b0152a995 [bSP] 3cbff429ae39ce5a6dfaf4f2b6fdccce : Windows XP MBR Code Partition table: 0 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 63 | Size: 66 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt 2 remarques : 1 - startup monitor n'est pas malicieux. il évite toute modif ds msconfig/demarrage 2 - pour info, le disque dur a des secteurs cachés (tatouage), peut-être est-ce la cause de l'alerte du MBR ? Merci

Bonjour, Mmoui, pas très glorieux. Voici le nouveau rapport (cjoint.com ne veut toujours pas) Google Documents Merci

Bonjour à toutes et tous, Tout d'abord, bonne année et bonne santé pour 2012. Courant décembre (et depuis ce temps là), j'ai eu une fenêtre du débogueur juste-à-temps de Visual studio, indiquant une erreur dans ping.exe . En effet, dans process explorer (très pratique) ping.exe était apparu dans un svchost.exe. J'ai 'killé' tout ça dans un premier temps, mais c'est revenu. J'ai lancé un scan microsoft security essentials qui a détecté les 2 intrus cités en sujet. J'ai cliqué pour supprimer. Mais le problème du ping est resté. (il y avait un autre exe qui se lançait en changeant de nom, mais lui a disparu) J'ai visité quelques forums et bidouillé un peu...mais sans grand résultat. J'ai besoin de votre aide, car outre le fait que ce ping plombe ma connexion, ça ne me plait pas des masses. Voici les dernières manips effectuées : En mode sans échec : - Désactivation du hibernfile.sys et pagefile.sys (et suppression) - ccleaner pour supprimer les temporary et cookies internet, nettoyage base de registre et fichiers temp - Re scan avec microsoft SE : ne trouve plus rien... - Scan avec TDSkiller : rien - Scan avec Stinger : rien - ZHP diag, donc le log est donné ci-dessous (je n'ai pas pu le mettre sur cjoint.com ce matin) Google Documents Voilà. Merci de me donner la marche à suivre pour corriger cela. Hervé