Résolu: Restaurer panneau de configuration après "Windows Securit

[Thanos]

Re

 

L'infection se réinstalle, aussi j'aimerai stp que tu expédie un fichier à des fins d'analyse stp > c:\windows\system32\Lta06.sys ou c:\windows\Lta06.sys

 

1) Rend toi à la page suivante =>

• Sous le champs :"Veuillez sélectionner votre fichier:" clique sur le bouton "Parcourir" et recherche le fichier Lta06.sys qui se trouve dans C:\WINDOWS\system32
  
• Une fois le fichier pointé avec la souris, clique sur le bouton Ouvrir
  
• Dans le champs:"Veuillez indiquer ci-dessous le message destiné à notre équipe:" copie/colle la note suivante=>

  driver douteux

• Clique enfin sur le bouton Envoyer
  

Note: si tu ne vois pas le fichier, c'est parce qu'il est peut être caché, pour le voir fais ceci au préalable >

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

Je repasse après pour la suite ! courage on va y arriver

[Mchel BACHOZ]

Salut Charles,

C'est bon, j'ai fini par le trouver dans C\windows ce satané Lta06.sys

A plus

[Thanos]

re!

 

Est ce que tu peux l'expédier pour analyse chez MAD stp ? je le soupçonne d'être infectieux (on y touche pas pour le moment).

[Mchel BACHOZ]

Salut,

en fait j'avais 2 fichiers Lta06.sys, un dans c\system et un dans C\system32\drivers, j'ai envoyé les 2 chez MAD.

J'espère que ça ira, à bientôt

M.B.

[Thanos]

salut

 

je te prépare une petite manip ...

[Thanos]

Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/wnmzrm

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

ComboFix va créer 2 fichiers sur ton Bureau de la forme :

 

Un fichier zippé nommé Submit [Date Time].zip

 

Un second fichier nommé - CF-Submit.htm.

 

 

Il peut t'être demandé de redémarrer le PC pour que Combofix puisse compléter le travail, accepte.

 

 

Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.

 

 

Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique [OK]

 

 

Ton navigateur par défaut se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :

 

Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier Submit [Date Time].zip qui est sur ton Bureau >

 

Clique sur le fichier afin de le sélectionner, puis soumets le fichier en cliquant sur "OK"

 

Lorsque cette opération sera complétée, tu peux supprimer les deux fichiers qui se trouvent sur ton Bureau (ceux créés par Combofix)

 

Poste le rapport ComboFix.txt stp

[Mchel BACHOZ]

Salut Charles

 

J'ai suivi les instructions jusque là:

 

Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/wnmzrm

pour cela, clique sur le lien en bas de page > Download Link: CFScript

 

* Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

* Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

ComboFix va créer 2 fichiers sur ton Bureau de la forme :

 

Un fichier zippé nommé Submit [Date Time].zip

 

Et là, je n'ai qu'un fichier créé, le second n'est pas créé (Un second fichier nommé - CF-Submit.htm.)

et la fenêtre prévue n'apparait pas ("Submit Files for further analysis")

Voici tout de même le rapport comboFix:

 

ComboFix 07-12-31.4 - Bourrel Jean-Robert 2008-01-04 21:37:36.6 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.44 [GMT 1:00]

Running from: C:\Documents and Settings\Bourrel Jean-Robert\Bureau\ComboFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\0_exception.nls

.

---- Previous Run -------

.

C:\WINDOWS\system32\6_exception.nls

C:\WINDOWS\system32\7_exception.nls

C:\WINDOWS\system32\8_exception.nls

C:\WINDOWS\system32\drivers\smtpdrv.sys

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\poof

-------\smtpdrv

 

 

-------\LEGACY_SMTPDRV

-------\smtpdrv

 

 

-------\LEGACY_SMTPDRV

-------\smtpdrv

 

 

 

 

((((((((((((((((((((((((((((( Fichiers créés 2007-12-04 to 2008-01-04 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-04 21:37 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-02 02:48 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-01-01 23:12 . 2008-01-01 23:12 <REP> d-------- C:\Program Files\Nouveau dossier

2007-12-31 11:31 . 2007-12-31 11:31 24,885,409 --a------ C:\upload_moi_JREV.tar.gz

2007-12-30 01:58 . 2007-12-30 01:59 <REP> d-------- C:\WINDOWS\ERUNT

2007-12-29 02:58 . 2007-12-29 02:58 <REP> d-------- C:\Program Files\Windows Defender

2007-12-27 11:47 . 2007-12-27 11:47 <REP> d-------- C:\Program Files\Avira

2007-12-27 11:47 . 2007-12-27 11:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2007-12-27 00:04 . 2007-12-27 00:04 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2007-12-26 23:44 . 2007-12-26 23:44 <REP> d-------- C:\Documents and Settings\Bourrel Evelyne\Application Data\Grisoft

2007-12-26 18:59 . 2007-12-26 18:59 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft

2007-12-26 18:56 . 2004-08-20 11:30 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau

2007-12-26 18:56 . 2004-08-20 11:30 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2007-12-26 18:56 . 2004-08-20 11:30 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles

2007-12-26 18:56 . 2006-03-20 17:54 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents

2007-12-26 18:56 . 2004-08-20 11:30 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer

2007-12-26 18:56 . 2006-03-20 17:51 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris

2007-12-26 18:56 . 2006-03-20 17:51 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2007-12-26 18:56 . 2006-03-20 17:51 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\You've Got Pictures Screensaver

2007-12-26 18:56 . 2006-03-20 17:55 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Corel

2007-12-26 18:12 . 2007-12-26 18:12 <REP> d-------- C:\Documents and Settings\Bourrel Jean-Robert\Application Data\Sonic

2007-12-26 17:35 . 2007-12-26 22:16 4,816 --a------ C:\WINDOWS\system32\tmp.reg

2007-12-26 16:22 . 2007-12-26 16:22 <REP> d-------- C:\Program Files\Trend Micro

2007-12-26 15:59 . 2008-01-04 21:28 21,760 --a------ C:\WINDOWS\Lta06.sys

2007-12-26 14:30 . 2007-12-26 14:30 <REP> d-------- C:\Documents and Settings\Bourrel Jean-Robert\Application Data\Grisoft

2007-12-26 14:21 . 2007-12-26 14:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2007-12-26 14:21 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-12-26 12:38 . 2007-12-26 12:38 <REP> d-------- C:\Program Files\Wireless 802.11g Monitor

2007-12-26 12:38 . 2003-10-13 15:30 94,208 --a------ C:\WINDOWS\system32\GTW32N50.dll

2007-12-26 12:38 . 2004-05-07 13:47 79,616 --a------ C:\WINDOWS\system32\drivers\rt2571.sys

2007-12-26 12:38 . 2003-09-25 23:28 31,930 --a------ C:\WINDOWS\system32\GTNDIS3.VXD

2007-12-26 12:38 . 2003-09-25 22:15 15,872 --a------ C:\WINDOWS\system32\GTNDIS5.sys

2007-12-26 12:38 . 2007-12-26 12:38 15,781 --a------ C:\WINDOWS\system32\drivers\mdc8021x.sys

2007-12-21 13:07 . 2007-12-21 13:07 21,760 --a------ C:\WINDOWS\system32\drivers\Lta06.sys

2007-12-14 23:20 . 2007-12-27 17:25 <REP> d-ahs---- C:\Settings

2007-12-13 14:05 . 2007-12-13 14:07 1,393 --a------ C:\WINDOWS\imsins.BAK

2007-12-11 19:25 . 2007-12-11 19:25 <REP> d-------- C:\Documents and Settings\Bourrel Evelyne\Application Data\AdobeUM

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-02 01:48 --------- d-----w C:\Program Files\Java

2008-01-01 22:15 726 ----a-w C:\Program Files\RegSearch.txt

2008-01-01 22:12 916 ----a-w C:\Program Files\Options.txt

2008-01-01 22:12 352,768 ----a-w C:\Program Files\regsearch.exe

2008-01-01 22:12 2,560 ----a-w C:\Program Files\History.txt

2007-12-29 01:50 --------- d-----w C:\Program Files\Corel

2007-12-26 11:38 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-02 15:28 --------- d-----w C:\Program Files\CCleaner

2007-12-02 15:01 --------- d-----w C:\Documents and Settings\Bourrel Jean-Robert\Application Data\MSNInstaller

2007-11-17 13:06 --------- d-----w C:\Documents and Settings\Bourrel Evelyne\Application Data\MSNInstaller

2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2007-03-21 21:29 70,512 ----a-w C:\Documents and Settings\Bourrel Jean-Robert\Application Data\GDIPFONTCACHEV1.DAT

2005-05-11 22:36 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll

2006-04-03 20:55 56 --sh--r C:\WINDOWS\system32\615B526C2F.sys

.

 

((((((((((((((((((((((((((((( snapshot@2008-01-02_ 2.37.47.73 )))))))))))))))))))))))))))))))))))))))))

.

- 2003-11-19 16:36:26 24,681 ----a-w C:\WINDOWS\system32\java.exe

+ 2007-09-24 21:30:28 135,168 ----a-w C:\WINDOWS\system32\java.exe

- 2003-11-19 16:36:30 28,779 ----a-w C:\WINDOWS\system32\javaw.exe

+ 2007-09-24 21:30:30 135,168 ----a-w C:\WINDOWS\system32\javaw.exe

+ 2007-09-24 22:31:42 139,264 ----a-w C:\WINDOWS\system32\javaws.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

"ModemOnHold"="C:\Program Files\NetWaiting\netWaiting.exe" [2003-09-10 03:24 20480]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

"MoneyAgent"="C:\Program Files\Microsoft Money\System\mnyexpr.exe" [2002-07-17 10:00 204863]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-12 18:00 68856]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 15:45 313472]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Dell Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" [ ]

"ShowLOMControl"="1 (0x1)" []

"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-09-08 06:20 122940]

"BDSwitchAgent"="C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe" [ ]

"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344]

"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-03-20 17:51 98304]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Digital Line Detect.lnk - C:\Program Files\Digital Line Detect\DLG.exe [2006-03-20 17:47:46]

D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 00:49:24]

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lta06.sys]

@="Driver"

 

R0 Lta06;Lta06;C:\WINDOWS\system32\Drivers\Lta06.sys [2007-12-21 13:07]

R2 R54G Wireless Service;R54G Wireless Service;C:\Program Files\Wireless 802.11g Monitor\WLService.exe [2004-03-29 16:08]

R3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\rt2571.sys [2004-05-07 13:47]

S3 Lsy06;Lsy06;C:\WINDOWS\System32\drivers\Lsy06.sys []

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]

S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

S3 Vdj74;Vdj74;C:\WINDOWS\System32\drivers\Vdj74.sys []

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-01-04 20:32:54 C:\WINDOWS\Tasks\MP Scheduled Scan.job"

- C:\Program Files\Windows Defender\MpCmdRun.exe

"2006-03-25 22:15:00 C:\WINDOWS\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job"

- C:\WINDOWS\system32\OOBE\oobebaln.exe

.

**************************************************************************

 

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-04 21:50:26

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-01-04 21:54:26

C:\qoobox\ComboFix-quarantined-files.txt 2008-01-04 20:54:19

C:\qoobox\ComboFix2.txt 2007-12-30 11:03:24

C:\qoobox\ComboFix3.txt 2007-12-28 23:31:36

.

2007-12-26 16:55:01 --- E O F ---

[Thanos]

Ok c'est pas grave! on va tenter une dernière chose stp: je t'ai expédié un mp pour cela

 

Le dernier rapport que tu as posté est bon

 

J'aimerai juste que tu relances DiagHelp une fois et que tu postes le rapport pour voir si tout est clean.

 

@+ tard

[bozos]

Bonjour,

 

 

J'ai exactement le même problème c est a dire la même infection et je pensais bien avoir résolu le problème de virus sauf que j'ai toujours pas accès a mon panneau de config.

 

Je ne sais pas Charles si je peux suivre tous les conseils postés dans ce post ou pas ou bien alors s il faut que je récrée un post.

 

Merci de dire ce que je dois faire (recréé un post ou bien poster un rapport ou autre??)

 

Merci d'avance

Modifié le 4 janvier 2008 par bozos

[Zonk]

Bonjour,

J'ai exactement le même problème c est a dire la même infection et je pensais bien avoir résolu le problème de virus sauf que j'ai toujours pas accès a mon panneau de config.

 

Je ne sais pas Charles si je peux suivre tous les conseils postés dans ce post ou pas ou bien alors s il faut que je récrée un post.

 

Merci de dire ce que je dois faire (recréé un post ou bien poster un rapport ou autre??)

 

Merci d'avance

Salut Bozos et bienvenue sur le forum !

Normalement tu devrais partir ton propre post......tout les cas sont considérés unique ,et de plus, idéalement il y a des petites étapes de bases à faire avant de tomber dans les outils spécialisés...

@+

Modifié le 4 janvier 2008 par Zonk