MSDSOD.pif, quelqu'un connait??

[GussoneR]

Bonjour à tous,

 

Voila, je viens ici car j'ai choppé une grosse, mais alors une très grosse merde. J'ai donc un virus qui m'empêche de faire beaucoup de chose, mettre à jour mon XP, afficher les dossiers cachés, accéder au RegEdit, j'en passe et des meilleurs. J'ai fait des scans en lignes qui le détectent mais qui n'arrivent pas à l'effacer. J'ai mis avast qui le détecte, mais qui n'arrive pas à l'effacer. J'ai formater mon disque, mais ca ne me l'a pas effacé.

 

J'en suis à penser effectuer un formatage de bas niveau, mais j'ai jamais fait, et j'ai pas envie de faire ca. Quelqu'un a-t-il déjà eu à faire à cette Mer***?

 

J'ai posté le sujet sur commentcamarche, mais je n'ai pas rencontré beaucoup de succès..

 

 

Voici le rapport hijackthis

voici le rapport de Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:05:54, on 23/07/2002
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\lclock.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\gussoner\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://6781.com/?k
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Fichiers communs\CPUSH\cpush0.dll (file missing)
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools_2002722_7866.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O9 - Extra button: ֪ʶ¿â - {06926B30-424E-4f1c-8EE3-543CD96573DC} - http://blank.la/?h (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
End of file - 4263 bytes

 

En farfouillant un peu sur le net, les seuls liens que j'ai trouvé sont des forums chinois ou japonais qui en parlent et ils font allusion à Worm.Win32.Downloader.ama

 

Peut être que ca parle à quelqu'un

 

Merci pour votre aide

[pear]

Bonjour,

 

%systemroot%\LSD ?????

 

Téléchargez Malwarebytes' Anti-Malware (MBAM)

 

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[angelique]

'jour pear

 

juste pour info c'est une infection se propageant par support USB , il aura beau formater mais des qu'il insere son support usb , execution automatique ou double clic dessus , paf!! réinfecté ;o)

 

autorun.inf文件内容如下：

[autorun]

shell\open=打开(&O)

shell\open\Command=MSDSOD.PIF

shell\open\Default=1

shell\explore=资源管理器(&X)

shell\explore\command=MSDSOD.PIF

 

Juste pour info , je te laisse continuer Pear ;o)

[pear]

Merci du coup de main Angélique

 

Téléchargez Flashdisinfector de sUBs

Sauvegardez le sur le bureau.

 

Connecter tous les disques amovibles (disque dur externe, clé USB…).

 

SURTOUT ne pas double-cliquer sur le disque dans le poste de travail

 

-Ouvrez le poste de travail

-Clic sur le menu outils en haut à droite puis options des dossiers

-Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-Cocher dans la liste "Afficher les fichiers cachés"

-Décocher "masquer les fichier protégés du système d’exploitation (recommandée)"

-Un message dit que cela peut endommager le système, ne pas en tenir compte.

-Pour chaque disque dans le poste de travail : Faire un clic droit sur le disque dur

surtout ne pas double-cliquer pas dessus!!!

-Choisir ouvrir dans le menu déroulant.

-Chercher un fichier autorun.inf et des fichiers : Adober.exe ou RavMonE.exe ou MS32DLL.DLL.VBS ou autorun.vbs

-Si présents, supprimez-les en faisant un clic droit puis supprimer.

- Répèter l'opération sur tous les disques se trouvant dans le poste de travail.

* Double-cliquez sur Flash_Disinfector.exe.

* Cela sera très rapide, un message informera de la fin du fix.

Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prendre soin de ne pas laisser de documents (word, excel) ouverts à ce moment la.

* S'il y a plusieurs supports fixes ou amovibles , renouveler l'opération en les branchant l'un après l'autre.

 

Alire et appliquer pour vous protéger

Modifié le 24 juillet 2008 par pear

[GussoneR]

Salut,

 

Effectivement ca se propage par port USB, voila ce que c'est que de rendre service à des personnes qui veulent échanger des photos sur votre ordi!! Et du coup toutes mes partitions sont infectés, mon DDE, ma clé, bref tout! Bon dès que je rentre chez moi j'essaie ca et je vous tiens au courant.

 

Merci pour la rapidité de vos réponses

[GussoneR]

Bonjour,

 

alors j'ai procédé comme vous me l'avez dit. J'ai Téléchargé Flashdisinfector et suivi la manip. Le problème étant que je ne pouvais pas visualiser les fichiers/dossiers cachés (lorsque je cliquais sur le bouton radio puis appliquer/ok, rien ne se passait, et lorsque je revenais dans le menu outils, le bouton radio était revenu à sa place), je l'ai donc contourné en installant NEro! Oui, l'explorateur de Nero affiche systématiquement les fichiers/dossiers cachés, j'ai donc supprimer manuellement les fichiers responsables. Mais ceux-ci revenaient "tout seul", même si je faisait pas de doubles clics sur C ou D ... J'avais déjà eu adober, je connais un peu ce système de propagation.

 

Bref, je me dis que ce n'est pas suffisant, alors je télécharge Malwarebytes' Anti-Malware (MBAM) et je lance le scan. Il me trouve 43 fichiers infectés (!) et me demande de redémarrer, ce que je fais. La l'ordi repart, et j'arrive à afficher mes fichiers cachés, hourra!

 

Mais ce n'est pas gagné pour autant, puisque je vois toujours mes fichiers MSDSOD.pif, l'autorun qui appelle MSDSOD.pif etc.. Je les supprime manuellement, mais de nouveau ils reviennent automatiquement. Je relance un scan avec MBAM qui retrouve encore je ne sais plus combien de fichiers infectés. J'enregistre les logs pour les poster. Il me demande de redémarrer et la, à ma grande surprise, l'ordi ne démarre plus!!!

 

Il se lance, lance le test mémoire, puis fait un reset etc etc etc... Je décide de refaire un format de C, (pas rapide cette fois, normal), et réinstalle windows. Une fois WinLSD réinstallé, j'analyse mes disque C et D, je vois que sur C, MSDSOD.pif a disparu . J'ouvre D avec l'explorateur, et supprime manuellement les fichiers MSDSOD.pif et associés. Et voila, il était 2h du mat, j'ai éteint mon ordi, et j'attends avec impatience ce soir pour voir ce qu'il en est!

 

Du coup au passage j'ai perdu mes logs.

 

J'espère en être arrivé à bout.

[GussoneR]

Salut,

 

bon voila apparement le deuxième formatage + MBAM + Flashdisinfector est arrivé à bout de cette merde. Voici mon rapport hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:17, on 25/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\Winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\DOCUME~1\GussoneR\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winlsd.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')

--
End of file - 2212 bytes

 

Je suis en train d'installer Antivir

 

Merci pour vos réponses