Eri

Le problème peut être considéré comme résolu, je n'ai pas utilisé DrWeb mais simplement fait une restauration à une date antérieur. Cela m'a été conseillé sur un autre forum. C'est le fait d'avoir changé la clé de registre et écrasé l'ancienne sans avoir au préalable noté sa valeur qui rendait le boot impossible. Après la restauration, le système redémarrait à nouveau et pas de trace de zeroacess dans le registre (j'avais effacé consrv.dll depuis un cd live). Quelques scan d'antivirus et les résidus sont partis aussi. Quand à l'infection Maxss, après avoir relu les rapport RK, j'ai vu qu'en fait elle touchait une clé USB et non le système. Un simple formatage a suffit. Pour ceux qui lirait ce sujet à la recherche d'une solution, je leur conseillerai simplement de suivre le tutoriel de Malekaldepuis le début, sans changer la clé de registre à vif sous le système d'exploitation. En rappelant que cela concerne les version de Windows 64 bits! Quoiqu'il en soit, merci pear pour l'aide apportée.

Excusez-moi de me répéter, mais ne faudrait il pas restaurer avant tout la clé "Windows" avec une valeur de ce type: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems] "Windows"="%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16" Car j'ai cru comprendre que le fait de fusionner le fichier .reg précédent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems] "Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4" n'as pas modifié la valeur de la clé mais l'a remplacé par la nouvelle valeur. Mais ne fallait-il pas seulement modifier la partie "consrv" en winsrv"? (Excusez-moi si je me trompe, mais j'aurais simplement voulu une clarification)

Je tourne sur un système 64 bits Faut-il quand même que je fasse la procédure avec le Live Cd Dr.Web? EDIT: Je suis tombé sur ceci, qui dit que la valeur par défaut de "Windows" est: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 Peut-être que nous l'avions tout simplement écrasé lorsque j'ai fait fusionner le fichier .reg suivant: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems] "Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4" Peut être que l'incapacité du système à démarrer est due à cela?

J'ai rajouté "ServerDll=" de sorte à ce que la valeur dans "Windows" est: "basesrv,1 winsrv:UserServerDllInitialization,3 ServerDll=winsrv:Con..." puis j'ai cliqué sur "ok" et redémarrer l'ordinateur. Cependant, rien ne change, démarrage en mode sans échec et puis --> Chargement des fichiers systèmes --> puis le PC redémarre. De plus, j'ai supprimé le fichier consrv.dll dans C:\Windows\System32 Je ne sais pas trop d'où provient le problème, mais je tiens a signaler quelques différences entre le tuto de Malekal et ma procédure. Le screenshot de Malekal en ce qui concerne la valeur de windows est différente de la mienne. Je n'ai que "basesrv,1 winsrv:UserServerDllInitialization,3 ServerDll=winsrv:Con..." dedans alors que dans le tuto, la valeur est censée être longue et débutant par %Systemroot%\system32.... De plus, le type de fichier chez moi est REG_SZ alors quand dans le tuto c'est REG_EXPAND_SZ. Voici le fichier tel qu'il apparaît chez moi: ici

Ok merci, donc je rajoute le "ServerDll=" dans le "HKEY_LOCAL_MACHINE\SYSTEME AVEC VIRUS" (selon le tuto), mais est-ce que je le rajoute aussi dans le fichier original? C'est-à-dire dans HKEY_LOCAL_MACHINE\SYSTEM, puisqu'il me semble que c'est ici que nous avions modifié. Le PC, au boot, va lire lequel des deux registres?

J'ai booté sur le UBCD4Winbuild, j'aurais une question concernant le point (dans le tuto de Malekal) où on me demande de changer "ServerDll=consrv:ConServerDllInitialization" en "ServerDll=winsrv:ConServerDllInitialization" Cependant après avoir affiché le fichier Windows la valeur chez moi est la suivante: basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4 Il me manque cette partie: "ServerDll=" (c.f. illustration)et de plus, chez moi le "consrv" censé se trouver après "ServerDll=" est déjà "winsrv". Est-ce que cela est du au fait qu'on ait précédemment fait fusionner le fichier regis.reg avec dedans : "Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4" ? (Et éventuellenement le "ServerDll=" a été supprimé?) Le cas échéant, faut il que je réécrive le "ServerDll=" dans le fichier et laisse le reste intouché?

Merci, Je voulais cependant vous demander s'il était possible de booter le PC à partir d'un USB live? Et si oui, y a-t-il une manière spécifique d'installer l'image sur la clé usb?

J'ai crée le fichier regis.reg et je l'ai fusionner. Cependant, au redémarrage après avoir sélectionner le mode sans échec avec prise en charge réseau, directement après que Windows charge les fichier système un bref BSOD apparait et le PC redémarre. Cela a trois reprises et aussi en mode normal. (Je crois que le bsod était le même que celui-ci )

Ok mais: Est-ce que j'utilise le combofix que j'avais installé précédemment? Ou bien le désinstaller et installer une version éventuellement mise à jour? Est-ce qu'il vaudrait mieux que je sauvegarde tous les fichiers important avant de procéder à cette étapes ou bien elle ne devrait pas entraîner de problèmes majeur? Excusez-moi je ne pense pas bien avoir saisi cela

Voici le rapport de SEAF: 1. ========================= SEAF 1.0.1.0 - C_XX 2. 3. Commencé à: 10:22:17 le 03/02/2012 4. 5. Valeur(s) recherchée(s): 6. winsrv.dll 7. 8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès 9. 10. (!) --- Calcul du Hash "MD5" 11. (!) --- Informations supplémentaires 12. 13. ====== Fichier(s) ====== 14. 15. 16. "C:\Windows\SoftwareDistribution\Download\d15e0adcf011f7a00bde2023e8b74a00\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.18005_none_1488ab3251d4722d\winsrv.dll" [ ARCHIVE | 451 Ko ] 17. TC: 18/08/2009,21:40:07 | TM: 11/04/2009,08:11:28 | DA: 18/08/2009,21:40:07 18. 19. Hash MD5: 36F234FD1AA7BAE559BB1C483FC76286 20. 21. CompanyName: Microsoft Corporation 22. ProductName: Microsoft® Windows® Operating System 23. InternalName: winsrv 24. OriginalFileName: winsrv.dll 25. LegalCopyright: © Microsoft Corporation. All rights reserved. 26. ProductVersion: 6.0.6002.18005 27. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830) 28. 29. ========================= 30. 31. 32. "C:\Windows\System32\fr-FR\winsrv.dll.mui" [ ARCHIVE | 9 Ko ] 33. TC: 17/12/2008,01:08:28 | TM: 17/12/2008,01:08:28 | DA: 17/12/2008,01:08:28 34. 35. Hash MD5: ABB68EB9F20D35BE5EB78486A1597474 36. 37. CompanyName: Microsoft Corporation 38. ProductName: Système d'exploitation Microsoft® Windows® 39. InternalName: winsrv 40. OriginalFileName: winsrv.dll.mui 41. LegalCopyright: © Microsoft Corporation. Tous droits réservés. 42. ProductVersion: 6.0.6000.16386 43. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205) 44. 45. ========================= 46. 47. 48. "C:\Windows\system64\fr-FR\winsrv.dll.mui" [ ARCHIVE | 9 Ko ] 49. TC: 17/12/2008,01:08:22 | TM: 17/12/2008,01:08:22 | DA: 17/12/2008,01:08:22 50. 51. Hash MD5: D48E9E019D3FD58B44E1C57377D0E442 52. 53. CompanyName: Microsoft Corporation 54. ProductName: Système d'exploitation Microsoft® Windows® 55. InternalName: winsrv 56. OriginalFileName: winsrv.dll.mui 57. LegalCopyright: © Microsoft Corporation. Tous droits réservés. 58. ProductVersion: 6.0.6000.16386 59. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205) 60. 61. ========================= 62. 63. 64. "C:\Windows\system64\winsrv.dll" [ ARCHIVE | 451 Ko ] 65. TC: 11/01/2012,11:26:28 | TM: 25/11/2011,17:25:32 | DA: 11/01/2012,11:26:28 66. 67. Hash MD5: AA137104CDFC81818A309CDE32ABB74A 68. 69. CompanyName: Microsoft Corporation 70. ProductName: Système d'exploitation Microsoft® Windows® 71. InternalName: winsrv 72. OriginalFileName: winsrv.dll.mui 73. LegalCopyright: © Microsoft Corporation. Tous droits réservés. 74. ProductVersion: 6.0.6000.16386 75. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205) 76. 77. ========================= 78. 79. 80. "C:\Windows\SysWOW64\fr-FR\winsrv.dll.mui" [ ARCHIVE | 9 Ko ] 81. TC: 17/12/2008,01:08:28 | TM: 17/12/2008,01:08:28 | DA: 17/12/2008,01:08:28 82. 83. Hash MD5: ABB68EB9F20D35BE5EB78486A1597474 84. 85. CompanyName: Microsoft Corporation 86. ProductName: Système d'exploitation Microsoft® Windows® 87. InternalName: winsrv 88. OriginalFileName: winsrv.dll.mui 89. LegalCopyright: © Microsoft Corporation. Tous droits réservés. 90. ProductVersion: 6.0.6000.16386 91. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205) 92. 93. ========================= 94. 95. 96. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv.resources_31bf3856ad364e35_6.0.6000.16386_fr-fr_3a33ec2bb2d76115\winsrv.dll.mui" [ ARCHIVE | 9 Ko ] 97. TC: 17/12/2008,01:08:22 | TM: 17/12/2008,01:08:22 | DA: 17/12/2008,01:08:22 98. 99. Hash MD5: D48E9E019D3FD58B44E1C57377D0E442 100. 101. CompanyName: Microsoft Corporation 102. ProductName: Système d'exploitation Microsoft® Windows® 103. InternalName: winsrv 104. OriginalFileName: winsrv.dll.mui 105. LegalCopyright: © Microsoft Corporation. Tous droits réservés. 106. ProductVersion: 6.0.6000.16386 107. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205) 108. 109. ========================= 110. 111. 112. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6001.18000_none_129d322654b2a6e1\winsrv.dll" [ ARCHIVE | 450 Ko ] 113. TC: 21/01/2008,03:49:09 | TM: 21/01/2008,03:49:09 | DA: 21/01/2008,03:49:09 114. 115. Hash MD5: A9C654098A5CA39618DA9D022A6691B8 116. 117. CompanyName: Microsoft Corporation 118. ProductName: Microsoft® Windows® Operating System 119. InternalName: winsrv 120. OriginalFileName: winsrv.dll 121. LegalCopyright: © Microsoft Corporation. All rights reserved. 122. ProductVersion: 6.0.6001.18000 123. FileVersion: 6.0.6001.18000 (longhorn_rtm.080118-1840) 124. 125. ========================= 126. 127. 128. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6001.18638_none_1284d01654c3b456\winsrv.dll" [ ARCHIVE | 450 Ko ] 129. TC: 13/07/2011,13:10:16 | TM: 20/04/2011,16:16:49 | DA: 13/07/2011,13:10:16 130. 131. Hash MD5: 2D94E4CE322F12061D3FA7DBE65E9AC5 132. 133. CompanyName: Microsoft Corporation 134. ProductName: Microsoft® Windows® Operating System 135. InternalName: winsrv 136. OriginalFileName: winsrv.dll 137. LegalCopyright: © Microsoft Corporation. All rights reserved. 138. ProductVersion: 6.0.6001.18638 139. FileVersion: 6.0.6001.18638 (vistasp1_gdr.110420-0335) 140. 141. ========================= 142. 143. 144. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6001.22904_none_132adf496dcc953f\winsrv.dll" [ ARCHIVE | 450 Ko ] 145. TC: 13/07/2011,13:10:16 | TM: 20/04/2011,15:59:09 | DA: 13/07/2011,13:10:16 146. 147. Hash MD5: CCCFC223E76D14E622D8F2BB5E90B58D 148. 149. CompanyName: Microsoft Corporation 150. ProductName: Microsoft® Windows® Operating System 151. InternalName: winsrv 152. OriginalFileName: winsrv.dll 153. LegalCopyright: © Microsoft Corporation. All rights reserved. 154. ProductVersion: 6.0.6001.22904 155. FileVersion: 6.0.6001.22904 (vistasp1_ldr.110420-0335) 156. 157. ========================= 158. 159. 160. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.18005_none_1488ab3251d4722d\winsrv.dll" [ ARCHIVE | 451 Ko ] 161. TC: 19/02/2010,13:08:20 | TM: 11/04/2009,00:11:30 | DA: 19/02/2010,13:08:20 162. 163. Hash MD5: 36F234FD1AA7BAE559BB1C483FC76286 164. 165. CompanyName: Microsoft Corporation 166. ProductName: Microsoft® Windows® Operating System 167. InternalName: winsrv 168. OriginalFileName: winsrv.dll 169. LegalCopyright: © Microsoft Corporation. All rights reserved. 170. ProductVersion: 6.0.6002.18005 171. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830) 172. 173. ========================= 174. 175. 176. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.18456_none_1453a37851fc0bd5\winsrv.dll" [ ARCHIVE | 451 Ko ] 177. TC: 13/07/2011,13:10:16 | TM: 20/04/2011,17:03:39 | DA: 13/07/2011,13:10:16 178. 179. Hash MD5: E5E5E593D4850B0AA24CF58B552147F3 180. 181. CompanyName: Microsoft Corporation 182. ProductName: Microsoft® Windows® Operating System 183. InternalName: winsrv 184. OriginalFileName: winsrv.dll 185. LegalCopyright: © Microsoft Corporation. All rights reserved. 186. ProductVersion: 6.0.6002.18456 187. FileVersion: 6.0.6002.18456 (vistasp2_gdr.110420-0335) 188. 189. ========================= 190. 191. 192. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.18484_none_1431332052162cfa\winsrv.dll" [ ARCHIVE | 451 Ko ] 193. TC: 11/08/2011,13:42:12 | TM: 17/06/2011,17:16:33 | DA: 11/08/2011,13:42:12 194. 195. Hash MD5: 316FCE1F71320844790E83B1C5CDEA99 196. 197. CompanyName: Microsoft Corporation 198. ProductName: Microsoft® Windows® Operating System 199. InternalName: winsrv 200. OriginalFileName: winsrv.dll 201. LegalCopyright: © Microsoft Corporation. All rights reserved. 202. ProductVersion: 6.0.6002.18484 203. FileVersion: 6.0.6002.18484 (vistasp2_gdr.110617-0336) 204. 205. ========================= 206. 207. 208. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.18545_none_145d750051f4d3b4\winsrv.dll" [ ARCHIVE | 451 Ko ] 209. TC: 11/01/2012,11:26:28 | TM: 25/11/2011,17:25:32 | DA: 11/01/2012,11:26:28 210. 211. Hash MD5: AA137104CDFC81818A309CDE32ABB74A 212. 213. CompanyName: Microsoft Corporation 214. ProductName: Microsoft® Windows® Operating System 215. InternalName: winsrv 216. OriginalFileName: winsrv.dll 217. LegalCopyright: © Microsoft Corporation. All rights reserved. 218. ProductVersion: 6.0.6002.18545 219. FileVersion: 6.0.6002.18545 (vistasp2_gdr.111125-0238) 220. 221. ========================= 222. 223. 224. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.22628_none_14ffb2816aff87a1\winsrv.dll" [ ARCHIVE | 451 Ko ] 225. TC: 13/07/2011,13:10:16 | TM: 20/04/2011,16:38:31 | DA: 13/07/2011,13:10:16 226. 227. Hash MD5: 33353C4E98C0CCF7E2A817536EB58985 228. 229. CompanyName: Microsoft Corporation 230. ProductName: Microsoft® Windows® Operating System 231. InternalName: winsrv 232. OriginalFileName: winsrv.dll 233. LegalCopyright: © Microsoft Corporation. All rights reserved. 234. ProductVersion: 6.0.6002.22628 235. FileVersion: 6.0.6002.22628 (vistasp2_ldr.110420-0335) 236. 237. ========================= 238. 239. 240. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.22662_none_14ce71156b255f5b\winsrv.dll" [ ARCHIVE | 451 Ko ] 241. TC: 11/08/2011,13:42:12 | TM: 17/06/2011,16:31:54 | DA: 11/08/2011,13:42:12 242. 243. Hash MD5: 1963C9D71F401DA6E01741D0DBFD82CB 244. 245. CompanyName: Microsoft Corporation 246. ProductName: Microsoft® Windows® Operating System 247. InternalName: winsrv 248. OriginalFileName: winsrv.dll 249. LegalCopyright: © Microsoft Corporation. All rights reserved. 250. ProductVersion: 6.0.6002.22662 251. FileVersion: 6.0.6002.22662 (vistasp2_ldr.110617-0336) 252. 253. ========================= 254. 255. 256. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.22747_none_14e914456b10a353\winsrv.dll" [ ARCHIVE | 451 Ko ] 257. TC: 11/01/2012,11:26:28 | TM: 25/11/2011,16:23:59 | DA: 11/01/2012,11:26:28 258. 259. Hash MD5: 4748B07819F01FE47CF1FA4B30D9286F 260. 261. CompanyName: Microsoft Corporation 262. ProductName: Microsoft® Windows® Operating System 263. InternalName: winsrv 264. OriginalFileName: winsrv.dll 265. LegalCopyright: © Microsoft Corporation. All rights reserved. 266. ProductVersion: 6.0.6002.22747 267. FileVersion: 6.0.6002.22747 (vistasp2_ldr.111125-0238) 268. 269. ========================= 270. 271. 272. "C:\Windows\winsxs\x86_microsoft-windows-winsrv.resources_31bf3856ad364e35_6.0.6000.16386_fr-fr_de1550a7fa79efdf\winsrv.dll.mui" [ ARCHIVE | 9 Ko ] 273. TC: 17/12/2008,01:08:28 | TM: 17/12/2008,01:08:28 | DA: 17/12/2008,01:08:28 274. 275. Hash MD5: ABB68EB9F20D35BE5EB78486A1597474 276. 277. CompanyName: Microsoft Corporation 278. ProductName: Système d'exploitation Microsoft® Windows® 279. InternalName: winsrv 280. OriginalFileName: winsrv.dll.mui 281. LegalCopyright: © Microsoft Corporation. Tous droits réservés. 282. ProductVersion: 6.0.6000.16386 283. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205) 284. 285. ========================= 286. 287. 288. ========================= 289. 290. Fin à: 10:29:33 le 03/02/2012 291. 457942 Éléments analysés 292. 293. ========================= 294. E.O.F

Le lien renvoie un 404, y-a-t'il un autre endroit d'où je pourrais le prendre? edit: apparement le programme a été retiré

J'ai fait tourner le scan MBR pendant environ une heure, le ventilateur continuait graduellement à monter. J'ai donc sauvé le log en cours de scan et non pas à la fin. (Je pensais que la forte montée de l'UC était anormale, mais peut être que non et que cela était simplement à cause du scan). Si vous le voulez je peux essayer de refaire un scan. Ensuite, pour ce qui en est de la partie "changer la partition..." dois-je aussi le faire maintenant? (Si oui, "aswMBR.exe -ap1" doit être lancé à partir de cmd.exe?) [Edit:je tiens à noter une chose, à trois reprises pendant que je copiais des fichier vers une clé usb, l'écran du PC s'est éteint, ne me laissant pas d'autres choix que de redémarrer manuellement] voici le log de MBR: aswMBR version 0.9.9.1532 Copyright© 2011 AVAST Software Run date: 2012-02-02 13:33:15 ----------------------------- 13:33:15.942 OS Version: Windows x64 6.0.6002 Service Pack 2 13:33:15.942 Number of processors: 4 586 0x1707 13:33:15.942 ComputerName: PC-DE-PAVEL UserName: Pavel 13:33:18.391 Initialize success 13:33:19.920 AVAST engine defs: 11121800 13:34:01.244 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 13:34:01.244 Disk 0 Vendor: WDC_WD10 01.0 Size: 953869MB BusType: 8 13:34:01.276 Disk 0 MBR read successfully 13:34:01.276 Disk 0 MBR scan 13:34:01.510 Disk 0 unknown MBR code 13:34:01.510 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 937802 MB offset 63 13:34:01.759 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 16065 MB offset 1920618945 13:34:01.759 Service scanning 13:34:04.817 Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32 13:34:05.020 Service vdrv9000 C:\Windows\system32\DRIVERS\vdrv9000.sys **LOCKED** 13:34:05.690 Modules scanning 13:34:05.690 Disk 0 trace - called modules: 13:34:05.722 ntoskrnl.exe CLASSPNP.SYS disk.sys iastor.sys spgl.sys hal.dll 13:34:05.722 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004d60060] 13:34:05.737 3 CLASSPNP.SYS[fffffa6000fc6c33] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004a42050] 13:34:07.921 AVAST engine scan C:\Windows 13:34:15.706 AVAST engine scan C:\Windows\system32 13:34:29.761 File: C:\Windows\system32\consrv.dll **INFECTED** Win32:Sirefef-HO [Rtk] 13:36:01.052 File: C:\Windows\assembly\GAC_32\Desktop.ini **INFECTED** Win32:Sirefef-FQ [Drp] 13:36:04.578 File: C:\Windows\assembly\GAC_64\Desktop.ini **INFECTED** Win32:Sirefef-HO [Rtk] 13:37:09.380 File: C:\Windows\assembly\temp\U\80000032.@ **INFECTED** Win32:DNSChanger-VJ [Trj] 13:37:13.374 AVAST engine scan C:\Windows\system32\drivers 13:37:44.418 AVAST engine scan C:\Users\Pavel 14:26:13.693 Disk 0 MBR has been saved successfully to "C:\Users\Pavel\Desktop\MBR.dat" 14:26:13.709 The log file has been saved successfully to "C:\Users\Pavel\Desktop\aswMBR.txt"

J'ai coché "afficher les les dossier cachés", les deux autres étaient déjà décochés. Le scan sur virustotal donne cela: (J'ai trouvé le fichier dans system64, il n'était pas dans system32) SHA256: 2ea6362d7c1fb6aa00bb6849dbd006fb50b632e310cefa7ae49b35b1220af76d SHA1: 862732fbd4618eb9d0f636723e314a49b9aacfdd MD5: d19c241f7111bd3ac085f64155d2b9fb File size: 125.5 KB ( 128528 bytes ) File name: vdrv9000.sys File type: unknown Detection ratio: 0 / 42 Analysis date: 2012-02-01 19:03:01 UTC ( 0 minute ago ) 0 0 Antivirus Result Update AhnLab-V3 - 20120201 AntiVir - 20120201 Antiy-AVL - 20120131 Avast - 20120201 AVG - 20120201 BitDefender - 20120201 ByteHero - 20120126 CAT-QuickHeal - 20120131 ClamAV - 20120201 Commtouch - 20120201 Comodo - 20120201 DrWeb - 20120201 Emsisoft - 20120201 eSafe - 20120130 eTrust-Vet - 20120201 F-Prot - 20120201 F-Secure - 20120201 Fortinet - 20120201 GData - 20120201 Ikarus - 20120201 Jiangmin - 20120201 K7AntiVirus - 20120201 Kaspersky - 20120201 McAfee - 20120201 McAfee-GW-Edition - 20120201 Microsoft - 20120201 NOD32 - 20120201 Norman - 20120201 nProtect - 20120201 Panda - 20120201 PCTools - 20120201 Rising - 20120118 Sophos - 20120201 SUPERAntiSpyware - 20120201 Symantec - 20120201 TheHacker - 20120131 TrendMicro - 20120201 TrendMicro-HouseCall - 20120201 VBA32 - 20120131 VIPRE - 20120201 ViRobot - 20120201 VirusBuster - 20120201 Le scan de RogueKiller donne cela: ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : Root.MBR|ZeroAccess ¤¤¤ [ZeroAccess] sys32\consrv.dll present! ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost 93.115.241.28 www.google-analytics.com. 93.115.241.28 ad-emea.doubleclick.net. 93.115.241.28 www.statcounter.com. 69.72.252.254 www.google-analytics.com. 69.72.252.254 ad-emea.doubleclick.net. 69.72.252.254 www.statcounter.com. ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD10EADS-65L5B1 +++++ --- User --- [MBR] d15648c32ad1d0e68c993ebcbc67f1be [bSP] 309fdfd200901d3359dd1e035123a213 : HP tatooed MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 937802 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1920618945 | Size: 16065 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: Ut165 USB2FlashStorage USB Device +++++ --- User --- [MBR] 2607e7df016ae8bfdd9b7bf5a80e90f7 [bSP] e2256a6458f4b04ca5c97ccecad8e80e : MaxSS MBR Code! Partition table: 0 - [XXXXXX] QNX (0x4f) [VISIBLE] Offset (sectors): 1936269394 | Size: 896492 Mo 1 - [XXXXXX] UNKNOWN (0x73) [VISIBLE] Offset (sectors): 1917848077 | Size: 265838 Mo 2 - [XXXXXX] SYLSTOR (0x2b) [VISIBLE] Offset (sectors): 1818575915 | Size: 265710 Mo 3 - [XXXXXX] UNKNOWN (0x61) [VISIBLE] Offset (sectors): 2844524554 | Size: 26 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt

Le problème ne semble pas être résolu. J'ai allumé mon PC et au début cela semble aller bien, mais l'UC a un comportement bizarre: parfois cela tourne vers les 90-100 % sans raison apparente. J'ai refais un scan TDSS Killer (cette fois en mode normal) et rien de plus que la dernière fois. J'ai aussi fait un scan rapide avec MBAM et il a trouvé quatre menaces (d'ailleurs le ventilateur s'est mis à tourner plus pendant le scan, cela parait normal). Quelques minutes après la fin du scan, le PC a commencer à tourner plus fort et le ventilateur s'est beaucoup accéléré et toujours par à-coup. J'ai alors éteint l'ordi puis rallumé en mode sans échec. En mode sans échec, il a de nouveau eu un comportement anormal, mais qui s'est calmé lorsque j'ai coupé la connexion à internet. Je vous poste donc les log de Mbam, le premier correspond au tout premier scan que j'avais fait, dès l'infection initiale. Le deuxième est celui que je viens de réaliser aujourd'hui. 1ère Log MBAM du 14 janvier: Malwarebytes Anti-Malware 1.60.0.1800 www.malwarebytes.org Version de la base de données: v2012.01.14.02 Windows Vista Service Pack 2 x64 NTFS Internet Explorer 7.0.6002.18005 Pavel :: PC-DE-PAVEL [administrateur] 14.01.2012 14:41:09 mbam-log-2012-01-14 (14-41-09).txt Type d'examen: Examen rapide Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 194640 Temps écoulé: 10 minute(s), 36 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 22 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smad (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès. HKCR\AppID\{38061EDC-40BB-4618-A8DA-E56353347E6D} (Adware.EZlife) -> Mis en quarantaine et supprimé avec succès. HKCR\AppID\{A9722A0D-365F-47D2-B70B-37D046316D99} (Adware.EZlife) -> Mis en quarantaine et supprimé avec succès. HKCR\CLSID\{E0EC6FBA-F009-3535-95D6-B6390DB27DA1} (Adware.EZlife) -> Mis en quarantaine et supprimé avec succès. HKCR\CscrptXt.CscrptXt.1.0 (Adware.EZlife) -> Mis en quarantaine et supprimé avec succès. HKCR\CscrptXt.CscrptXt (Adware.EZlife) -> Mis en quarantaine et supprimé avec succès. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\7b6e7577-4509-a3a5-b5ba-654a3c96ccf8 (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\jbhzkglyuwehrj (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès. HKCR\adproClient.adHlpr (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès. HKCR\adproClient.adHlpr.1 (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès. HKCR\adshot.adShotHlpr (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès. HKCR\adshot.adShotHlpr.1 (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès. HKCU\SOFTWARE\ezLife (Adware.EZlife) -> Mis en quarantaine et supprimé avec succès. HKCU\SOFTWARE\NordBull (Malware.Trace) -> Mis en quarantaine et supprimé avec succès. HKCU\SOFTWARE\PopRock (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès. HKCU\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès. HKCU\SOFTWARE\XML (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès. HKLM\SOFTWARE\ezLife (Adware.EzLife) -> Mis en quarantaine et supprimé avec succès. HKLM\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ezLife (Adware.EzLife) -> Mis en quarantaine et supprimé avec succès. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart-Ads-Solutions (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès. HKLM\System\CurrentControlSet\Services\.norton2009Reset (Trojan.Hacktool) -> Mis en quarantaine et supprimé avec succès. Valeur(s) du Registre détectée(s): 4 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Smad (Trojan.Agent) -> Données: "C:\Users\Pavel\AppData\Local\SanctionedMedia\Smad\Smad.exe" -> Mis en quarantaine et supprimé avec succès. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|PopRock (Trojan.Downloader) -> Données: C:\Users\Pavel\AppData\Local\Temp\d.exe -> Mis en quarantaine et supprimé avec succès. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSSMSGS (Backdoor.Bot) -> Données: rundll32.exe winnig32.rom,jefEkORi -> Mis en quarantaine et supprimé avec succès. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|0E5ED27D-596D-9FCD-AC53-6AE579AD67EB (Trojan.FakeAlert) -> Données: "C:\Windows\system32\rundll32.exe" "C:\Windows\system32\0E5ED27D-596D-9FCD-AC53-6AE579AD67EB.avi", start minimized -> Mis en quarantaine et supprimé avec succès. Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 8 C:\Windows\System32\config\systemprofile\AppData\Roaming\SECURITY DEFENDER (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès. C:\Program Files (x86)\SECURITY DEFENDER (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès. C:\Program Files (x86)\ezLife (Adware.EzLife) -> Mis en quarantaine et supprimé avec succès. C:\Program Files (x86)\ezLife\ezLife (Adware.EzLife) -> Mis en quarantaine et supprimé avec succès. C:\Program Files (x86)\ezLife\ezLife\1.1.2.0 (Adware.EzLife) -> Mis en quarantaine et supprimé avec succès. C:\Program Files (x86)\Smart-Ads-Solutions (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès. C:\Program Files (x86)\Smart-Ads-Solutions\SmartAds (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès. C:\Program Files (x86)\Smart-Ads-Solutions\SmartAds\1.1.2.0 (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès. Fichier(s) détecté(s): 27 C:\Users\Pavel\AppData\Local\SANCTIONEDMEDIA\Smad\Smad.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès. C:\Windows\System32\7b6e7577-4509-a3a5-b5ba-654a3c96ccf8.exe (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès. C:\Windows\System32\hkpwmieygqeuizb.dll-uninst.exe (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès. C:\Windows\System32\jbhzkglyuwehrj.exe (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès. C:\Windows\SysWOW64\7b6e7577-4509-a3a5-b5ba-654a3c96ccf8.exe (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès. C:\Windows\SysWOW64\hkpwmieygqeuizb.dll-uninst.exe (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès. C:\Windows\SysWOW64\jbhzkglyuwehrj.exe (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès. C:\Users\Pavel\AppData\Local\Temp\roceamwxsn.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès. C:\Users\Pavel\AppData\Local\Temp\ICReinstall\cnet2_Arena106_exe.exe (PUP.CNET.Adware.Bundle) -> Mis en quarantaine et supprimé avec succès. C:\Windows\Temp\52F0.tmp (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès. C:\Windows\Temp\_ex-68.exe (Spyware.Passwords.XGen) -> Mis en quarantaine et supprimé avec succès. C:\Windows\Temp\_ex-89.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès. C:\Users\Pavel\Downloads\cnet2_Arena106_exe.exe (PUP.CNET.Adware.Bundle) -> Mis en quarantaine et supprimé avec succès. C:\Users\Pavel\Local Settings\utb.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès. C:\Users\Pavel\Local Settings\Application Data\utb.exe (Trojan.ExeShell.Gen) -> Mis en quarantaine et supprimé avec succès. C:\Windows\System32\config\systemprofile\AppData\Roaming\SECURITY DEFENDER\{200D54EE-FAE0-4EC1-559B-87793F833522}.PST (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès. C:\Windows\System32\config\systemprofile\AppData\Roaming\SECURITY DEFENDER\{E6F7D995-5850-4EF4-F3A5-AF6D3E9D47BA}.pst (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès. C:\Windows\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès. C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès. C:\Windows\System32\config\systemprofile\Desktop\SECURITY DEFENDER.LNK (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès. C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\INTERNET EXPLORER\QUICK LAUNCH\SECURITY DEFENDER.LNK (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès. C:\Users\Pavel\Local Settings\Application Data\SANCTIONEDMEDIA\Smad\Smad.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès. C:\Program Files (x86)\SECURITY DEFENDER\SECURITY DEFENDER.ICO (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès. C:\Program Files (x86)\SECURITY DEFENDER\Security Defender.dll (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès. C:\ProgramData\Norton\Norton2009Reset.exe (Trojan.Hacktool) -> Mis en quarantaine et supprimé avec succès. C:\Program Files (x86)\ezLife\ezLife\1.1.2.0\uninstall.exe (Adware.EzLife) -> Mis en quarantaine et supprimé avec succès. C:\Program Files (x86)\Smart-Ads-Solutions\SmartAds\1.1.2.0\uninstall.exe (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès. (fin) Voici le log MBAM d'aujourd'hui: Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Version de la base de données: v2012.02.01.03 Windows Vista Service Pack 2 x64 NTFS Internet Explorer 7.0.6002.18005 Pavel :: PC-DE-PAVEL [administrateur] 01.02.2012 14:45:16 mbam-log-2012-02-01 (14-45-16).txt Type d'examen: Examen rapide Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 187636 Temps écoulé: 3 minute(s), 36 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 1 HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dwhbyj (Trojan.CryptPro.Gen) -> Données: rundll32.exe "C:\Windows\System32\config\systemprofile\AppData\Local\App\dwhbyj.dll",wmain -> Mis en quarantaine et supprimé avec succès. Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 3 C:\Windows\System32\config\systemprofile\AppData\Local\App\dwhbyj.dll (Trojan.CryptPro.Gen) -> Mis en quarantaine et supprimé avec succès. C:\Windows\System32\config\systemprofile\AppData\Roaming\0E5ED27D-596D-9FCD-AC53-6AE579AD67EB.avi (Trojan.CryptPro.Gen) -> Mis en quarantaine et supprimé avec succès. C:\Windows\temp\axqrkg\setup.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès. (fin)

Rien à signaler d'anormal pendant les scans (mis à part une hausse de la rotation du ventilateur durant combofix et une extinction de l'écran pendant toute la durée du scan, mais cela parait légitime). Sinon, j'ai éteint le PC directement après les scans. Je ferai tourner la machine plus longtemps demain, notamment en accédant à Internet et simuler une utilisation normale et je vous tiens au courant. Est-ce que les scans laisser penser à une infection quelconque? Reste-il un danger potentiel (pour que j'évite toute interaction avec d'autres machines, comme par exemple envoyer des fichiers)? Merci du temps que vous me consacrez