grosse infection[résolu]

[loukass]

Salut ,

Bon ben c'est pas la surchauffe.

Je n'est accès à aucunes options du menu avancé,

Seulement le BIOS et Console de récupération Windows

[loukass]

Plutot J'ai accès au options menu avancés,mais à chacunes d'elles le PC reboot.

[bruce lee]

Re,

 

Essaye ceci: http://www.informatruc.com/reparer_2.php

[loukass]

OK,

Merci j'essaie ça en rentrant.Te contacte dans la soirée si ça marche.

[loukass]

Salut Bruce Lee,

Bon,la situation a évolué:

J'ai pu réparer Windows (merci à Laurent pour le tuto) mais le système reste instable en mode normal-redemarre tt les 20mn à peu près- ça va mieux en mode sans échec.

J'en ai profité pour faire un Scan Kaspersky mais à la suite du scan je n'ai plus accès à Internet:

parametres réseaux dans connexions de l'options internet vide

et IE:

version,niv.cryptage et product ID sont non définis.

j'espère ne pas les avoir effacés avec le scan!

Comment les remettre en action?

Comme d'hab et par obligation je te joins du taff,jusqu'à 18h.

je vais essayé de t'envoyer le rapport kav mais ne suis pas sur d'avoir les droits de ce poste.

 

@+

[loukass]

Suite:

Effectivement je ne peus pas te l'envoyer!!!

J'ai fait des impressions des proc. pour pouvoir reprendre ou on en était avant le reboot mais sans internet à la maison te renvoyer les rapport va etre Xtrement compliqué.

[bruce lee]

Salut loukass,

 

J'ai pu réparer Windows (merci à Laurent pour le tuto) mais le système reste instable en mode normal-redemarre tt les 20mn à peu près- ça va mieux en mode sans échec.

 

Essaye de faire la manip avec CFScript:

 

http://forum.zebulon.fr/index.php?s=&s...t&p=1227699

 

En esperant que cela fonctionnera.

 

@+

[loukass]

Salut loukass,

 

 

 

Essaye de faire la manip avec CFScript:

 

http://forum.zebulon.fr/index.php?s=&s...t&p=1227699

 

En esperant que cela fonctionnera.

 

@+

 

Salut,

j'ai été contraint à formater,mais tu n'as pas passé du temps pour rien sur mon cas.

Bien entendue la vermine est toujours là,la seul différence avant formatage c'est que j'ai une connection.

[loukass]

Encore de nombreeeuuuuux soucis:

-"impossible de trouver iexplorer.exe"

-le bureau disparé de temps en temps(bien sur je dois redémarrer)

-le bloc note dans "démarrage" n'est pas accessible(mm pas un mess. d'erreur)

-les rapport qui sont sur le bureau(combo etc...)ne sont pas des appl. win32 valide. il me faut les glisser/deposer sur un raccourci du bloc note trouvé dans c:windows.

-je ne peus toujours pas installer Antivir

Enfin un vrai plaisir ce PC .

je te joins un hijack:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:48:58, on 23/05/2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\iexplore.exe

C:\WINDOWS\System32\Isass.exe

C:\WINDOWS\System32\mezziam.exe

C:\WINDOWS\mrofinu1001186.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\cptoig.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\lucas\Bureau\virus\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\cptoig.exe

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [fcd41e31] rundll32.exe "C:\WINDOWS\System32\anuuopsq.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

 

--

End of file - 2689 bytes

 

 

 

et un combo(CFScript) -poursuite de ta procédure-

 

 

 

ComboFix 08-05-21.3 - lucas 2008-05-23 2:23:17.1 - NTFSx86 NETWORK

Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.400 [GMT 2:00]

Endroit: C:\Documents and Settings\lucas\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\lucas\Bureau\CFScript.txt

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\mrofinu1001186.exe

C:\WINDOWS\system32\.exe

C:\WINDOWS\system32\ftpupd.exe

C:\WINDOWS\system32\isass.exe

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\qspouuna.ini

C:\WINDOWS\system32\wvUonKDu.dll

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-23 to 2008-05-23 ))))))))))))))))))))))))))))))))))))

.

 

Pas de nouveau fichier cr‚‚ dans cet espace de temps

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

 

------- Sigcheck -------

 

 

 

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00 90624 C:\WINDOWS\system32\ctfmon.exe]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14 1089565 C:\Program Files\Messenger\msmsgs.exe]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Local Security Authority Service"="C:\WINDOWS\System32\Isass.exe" []

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 262184 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe]

"fcd41e31"="C:\WINDOWS\System32\anuuopsq.dll" [2008-05-23 01:16 115200 C:\WINDOWS\system32\anuuopsq.dll]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 90624 C:\WINDOWS\system32\ctfmon.exe]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXRiGaB]

byXRiGaB.dll 2008-05-23 01:05 57344 C:\WINDOWS\system32\byXRiGaB.dll

 

*Newly Created Service* - ALG

*Newly Created Service* - IPNAT

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-23 02:26:36

Windows 5.1.2600 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

 

C:\WINDOWS\system32\qspouuna.ini 294 bytes

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 1

 

**************************************************************************

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\byXRiGaB.dll

 

PROCESS: C:\WINDOWS\explorer.exe

-> C:\WINDOWS\System32\anuuopsq.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\rundll32.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-05-23 2:27:34 - machine was rebooted

ComboFix-quarantined-files.txt 2008-05-23 00:27:26

 

Pre-Run: 28,810,043,392 octets libres

Post-Run: 28,770,541,568 octets libres

 

74

[loukass]

Encore de nombreeeuuuuux soucis:

-"impossible de trouver iexplorer.exe"

-le bureau disparé de temps en temps(bien sur je dois redémarrer)

-le bloc note dans "démarrage" n'est pas accessible(mm pas un mess. d'erreur)

-les rapport qui sont sur le bureau(combo etc...)ne sont pas des appl. win32 valide. il me faut les glisser/deposer sur un raccourci du bloc note trouvé dans c:windows.

-je ne peus toujours pas installer Antivir

Enfin un vrai plaisir ce PC .

je te joins un hijack:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:48:58, on 23/05/2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\iexplore.exe

C:\WINDOWS\System32\Isass.exe

C:\WINDOWS\System32\mezziam.exe

C:\WINDOWS\mrofinu1001186.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\cptoig.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\lucas\Bureau\virus\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\cptoig.exe

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [fcd41e31] rundll32.exe "C:\WINDOWS\System32\anuuopsq.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

 

--

End of file - 2689 bytes

 

 

 

et un combo(CFScript) -poursuite de ta procédure-

 

 

 

ComboFix 08-05-21.3 - lucas 2008-05-23 2:23:17.1 - NTFSx86 NETWORK

Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.400 [GMT 2:00]

Endroit: C:\Documents and Settings\lucas\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\lucas\Bureau\CFScript.txt

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\mrofinu1001186.exe

C:\WINDOWS\system32\.exe

C:\WINDOWS\system32\ftpupd.exe

C:\WINDOWS\system32\isass.exe

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\qspouuna.ini

C:\WINDOWS\system32\wvUonKDu.dll

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-23 to 2008-05-23 ))))))))))))))))))))))))))))))))))))

.

 

Pas de nouveau fichier cr‚‚ dans cet espace de temps

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

 

------- Sigcheck -------

 

 

 

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00 90624 C:\WINDOWS\system32\ctfmon.exe]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14 1089565 C:\Program Files\Messenger\msmsgs.exe]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Local Security Authority Service"="C:\WINDOWS\System32\Isass.exe" []

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 262184 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe]

"fcd41e31"="C:\WINDOWS\System32\anuuopsq.dll" [2008-05-23 01:16 115200 C:\WINDOWS\system32\anuuopsq.dll]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 90624 C:\WINDOWS\system32\ctfmon.exe]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXRiGaB]

byXRiGaB.dll 2008-05-23 01:05 57344 C:\WINDOWS\system32\byXRiGaB.dll

 

*Newly Created Service* - ALG

*Newly Created Service* - IPNAT

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-23 02:26:36

Windows 5.1.2600 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

 

C:\WINDOWS\system32\qspouuna.ini 294 bytes

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 1

 

**************************************************************************

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\byXRiGaB.dll

 

PROCESS: C:\WINDOWS\explorer.exe

-> C:\WINDOWS\System32\anuuopsq.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\rundll32.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-05-23 2:27:34 - machine was rebooted

ComboFix-quarantined-files.txt 2008-05-23 00:27:26

 

Pre-Run: 28,810,043,392 octets libres

Post-Run: 28,770,541,568 octets libres

 

74

 

 

Desolé pour le double envoi.