[résolu] Infection trojan et virus

sniperzep · le 21 octobre 2008

Bonjour tout le monde,

Voici mon problème :

Après avoir extrait une archive .rar j'ai libéré un virus. J ai g data internet security 2008 + counterspy.

Counterspy a detecté un changement de fichier système mais g data na rien vu et s'est même desactivé (impossible de lancer le gardien).

Je n 'ai plus accès aux fichiers cachés (impossible de les faire apparaitre avec les options des dossiers).

Impossible de demarrer en mode sans echec (écran bleu de plantage windows) donc impossible de scanner en sans echec.

Après un scan de g data il a été trouvé :

win32 Small MIH et Win32 trojan-gen {other] et Win32 Kapucen-B

Counterspy ma bloqué des processus tel que 12546841.exe et d autres numeros

Le pc rame bien et je l'ai deconnecté du net car j'ai un 2eme pc disponible pour vous parler.

A mon avis je dois avoir un fichier autorun.inf qui est caché mais je ne peux pas le voir a cause de la desactivation de la visibilité des fichiers cachés.

Voila en espérant que vous puissiez me conseiller un bon logiciel en ligne !

PS: ya til un risque de se connecter au net (jeux videos)?

y a t il un risque de transferer des fichiers par clé usb avec mon pc sain ?

PS 2 : Est ce que si je mets mon disque dur C dans un boitier externe et que je le connecte sur mon 2nd pc pour supprimer les fichiers vérolés il a un risque de contaminer mon 2nd pc ?

Merci a tous

Modifié le 6 novembre 2008 par sniperzep

Thanos · le 21 octobre 2008

salut

PS: ya til un risque de se connecter au net (jeux videos)?
y a t il un risque de transferer des fichiers par clé usb avec mon pc sain ?

Est ce que tu as encore accès à internet via le pc infecté?

Tu veux dire télécharger des programmes/fichiers depuis ton pc sain et les transférer sur ton pc infecté via clé usb? ca ne pose pas de problème...sauf si le pc infecté l'est aussi par une infection qui s'attaque aux supports amovibles!

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit

@+

PS 2 : Est ce que si je mets mon disque dur C dans un boitier externe et que je le connecte sur mon 2nd pc pour supprimer les fichiers vérolés il a un risque de contaminer mon 2nd pc ?

c'est une autre option possible mais plus compliquée. Dis moi ce que tu comptes faire

EDIT: je te répondrais après le boulot (après 20h30)

Modifié le 21 octobre 2008 par Thanos

sniperzep · le 22 octobre 2008

Salut,

bon, c'est pas tres bon signe tout ça :

- impossible de se connecter au net avec le pc infecté

- RSIT.exe ne fonctionne pas sur mon pc infecté, il se lance puis se ferme direct (alors qu'il fonctionne bien sur le pc sain), et il y a pas mal de logiciel qui font ça tel que ccleaner qui se lance puis se coupe

De plus mon firewall est aussi desactivé (outpost firewall)

J'ai acronis true image qui permet de faire une restauration au demarrage de windows, est ce que cela pourrait servir?

Voila que dire de plus, a part que j'ai vraiment pas envi de formater le disque !

merci pour ton aide

EDIT 3h52 :

par hasard je suis tombé sur un dossier inconnu : C:\windows\ime dans lequel il y a :

dossier chsime, CHTIME, imejp, imejp98, imejp8_1, imkr6_1,

et les fichiers mscandui.dll, softkbd.dll,spgrmr.dll, sptip.dll

c'est quoi ce dossier?

J'ai pu vérifier le contenu de C:\ avec l'invite de commande (fichiers cachés deviennent visibles ! ) et il n'y a aucun fichier autorun donc logiquement il ne devrait pas y avoir de problemes à connecter une clé usb et de l'infectée n'est ce pas?

En dernier recourt je vais peut etre tenter de mettre le disque dur infecté dans un support externe et le scanné en ligne via le pc sain, pourrais tu me donner la manip a faire pour reduire au maximum le risque de propagation (en mode sans echec?).

Est ce que démarrer sur le cd de restauration de windows me permettrai de démarrer en sans echec??

Modifié le 22 octobre 2008 par sniperzep

Thanos · le 22 octobre 2008

salut

J'ai acronis true image qui permet de faire une restauration au demarrage de windows, est ce que cela pourrait servir?

Tout dépend si tu as une image saine du pc. En espérant que les sauvegardes ne sont pas corrompues.

par hasard je suis tombé sur un dossier inconnu : C:\windows\ime dans lequel il y a :
dossier chsime, CHTIME, imejp, imejp98, imejp8_1, imkr6_1,

et les fichiers mscandui.dll, softkbd.dll,spgrmr.dll, sptip.dll

c'est quoi ce dossier?

N'y touche pas car ce dossier appartient à Windows et est tout a fait légitime. IME siginifie Input Method Editor: tu en as une définition ici >> http://livedocs.adobe.com/flash/9.0_fr/mai...e=00000945.html

J'ai pu vérifier le contenu de C:\ avec l'invite de commande (fichiers cachés deviennent visibles ! ) et il n'y a aucun fichier autorun donc logiquement il ne devrait pas y avoir de problemes à connecter une clé usb et de l'infectée n'est ce pas?

A priori non

En dernier recourt je vais peut etre tenter de mettre le disque dur infecté dans un support externe et le scanné en ligne via le pc sain, pourrais tu me donner la manip a faire pour reduire au maximum le risque de propagation (en mode sans echec?).

Tu peux effectivement connecter ton dd infecté sur ton pc sain et le faire scanner par l'antivirus qui est installé dessus.

Il te suffit d'ouvrir le Poste de Travail (sur le pc sain) puis de faire un clic avec le bouton droit de la souris sur l'icône du disque dur infecté > de choisir depuis le Menu qui se déroule de faire un scan par ton antivirus.

Je ne te conseille pas de faire scanner ce disque dur en ligne: il y a peu de produits en ligne qui désinfectent, la plupart détectent les infections seulement.

Une chose que tu peux tenter >>

Fais un clic sur le bouton droit de ta souris ICI
Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre >>
Dans le champs à droite de "Nom du Fichier" en bas de page, modifie le nom présent (ComboFix.exe) et met ceci >> sniperzep.exe
Enregistre-le fichier dans ta clé usb: pour cela clique sur le bouton Enregistrer.
Branche ta clé usb sur le pc infecté et copie le fichier sniperzep.exe dans le répertoire système (C:\ normalement).
Assure toi que tous les programmes soient fermés avant de lancer le fix!
Fait un double clique sur sniperzep.exe.
Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
Si le rapport est trop long, poste le en deux fois.
Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt

Poste le rapport si ca marche

Modifié le 22 octobre 2008 par Thanos

sniperzep · le 23 octobre 2008

Salut,

j'ai fait ce que tu m'a dis, et pas sans difficultés car les malwares tentent de désactiver la clé usb dès que je la connecte mais j'ai quand même réussi en faisant copier coller plus vite que les malwares qui essaient de désactiver la clé usb !!! trêve de plaisanteries voici ce qui s'est affiché lors du lancement de combofix :

-Combofix a detecté la présence d'une activité de rootkit et a besoin de redemarrer ------> redémarrage

-Combofix has detected that this machine does not have the windows recovery console (require internet connection) -----> le net est desactivé par les malwares donc j'ai coché "non" pour ne pas l installer

-suppression des fichiers dans C:\windows\system32\drivers\downld\ puis demande de redémarrage

-redemarrage du systeme et la gros crash ecran bleu "invalid_kernel_handle" STOP: 0x00000093 (0x00000B24, 0x00000000, 0x00000000, 0x00000000) lors de l'extinction du pc

- je fais un reset manuel

- redémarrage normal apparament

- création du log normal

- j'ai désormais accès aux fichiers cachés, bon début

Voici le rapport:

ComboFix 08-10-22.02 - Thomas 2008-10-23 2:37:20.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1695 [GMT 2:00]

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\Thomas\Application Data\m

C:\Documents and Settings\Thomas\Application Data\m\flec006.exe

C:\WINDOWS\system32\drivers\downld

C:\WINDOWS\system32\drivers\downld\144421.exe

C:\WINDOWS\system32\drivers\downld\148265.exe

C:\WINDOWS\system32\drivers\downld\172453.exe

C:\WINDOWS\system32\drivers\downld\183468.exe

C:\WINDOWS\system32\drivers\downld\227734.exe

C:\WINDOWS\system32\drivers\downld\250093.exe

C:\WINDOWS\system32\drivers\downld\266250.exe

C:\WINDOWS\system32\drivers\downld\273750.exe

C:\WINDOWS\system32\drivers\downld\345390.exe

C:\WINDOWS\system32\drivers\downld\404484.exe

C:\WINDOWS\system32\drivers\downld\439015.exe

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\system32\mdelk.exe

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-23 au 2008-10-23 ))))))))))))))))))))))))))))))))))))

.

2008-10-23 02:43 . 2008-10-23 02:43 <REP> d-------- C:\WINDOWS\system32\drivers\downld

2008-10-23 02:43 . 2008-10-23 02:43 117,256 --a------ C:\WINDOWS\system32\drivers\srosa.sys

2008-10-23 02:17 . 2008-10-23 02:01 2,994,310 -ra------ C:\sniperzep.exe

2008-10-22 02:52 . 2008-10-22 02:52 <REP> d-------- C:\rsit

2008-10-21 16:10 . 2004-08-27 07:01 794,632 --------- C:\WINDOWS\system32\drivers\winfilse.exe

2008-10-21 15:55 . 2008-10-21 15:55 <REP> d-------- C:\Program Files\Windows Mobile 6 SDK

2008-10-21 15:55 . 2008-10-21 15:55 <REP> d-------- C:\Program Files\Microsoft Device Emulator

2008-10-18 00:24 . 2008-10-18 00:24 244 --ah----- C:\sqmnoopt18.sqm

2008-10-18 00:24 . 2008-10-18 00:24 232 --ah----- C:\sqmdata18.sqm

2008-10-17 15:59 . 2008-10-17 15:59 244 --ah----- C:\sqmnoopt17.sqm

2008-10-17 15:59 . 2008-10-17 15:59 232 --ah----- C:\sqmdata17.sqm

2008-10-17 12:18 . 2008-09-15 17:26 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys

2008-10-17 04:05 . 2008-10-17 04:05 244 --ah----- C:\sqmnoopt16.sqm

2008-10-17 04:05 . 2008-10-17 04:05 232 --ah----- C:\sqmdata16.sqm

2008-10-17 01:46 . 2008-10-17 01:46 244 --ah----- C:\sqmnoopt15.sqm

2008-10-17 01:46 . 2008-10-17 01:46 232 --ah----- C:\sqmdata15.sqm

2008-10-16 18:21 . 2008-10-16 18:21 244 --ah----- C:\sqmnoopt14.sqm

2008-10-16 18:21 . 2008-10-16 18:21 232 --ah----- C:\sqmdata14.sqm

2008-10-16 18:20 . 2008-08-14 15:23 2,191,232 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2008-10-16 18:20 . 2008-08-14 15:23 2,147,328 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe

2008-10-16 18:20 . 2008-08-14 15:23 2,068,096 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2008-10-16 18:20 . 2008-08-14 15:23 2,025,984 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe

2008-10-16 18:16 . 2008-10-16 18:16 244 --ah----- C:\sqmnoopt13.sqm

2008-10-16 18:16 . 2008-10-16 18:16 232 --ah----- C:\sqmdata13.sqm

2008-10-16 12:55 . 2008-10-16 12:55 244 --ah----- C:\sqmnoopt12.sqm

2008-10-16 12:55 . 2008-10-16 12:55 232 --ah----- C:\sqmdata12.sqm

2008-10-16 11:37 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat

2008-10-16 11:37 . 2007-03-08 07:10 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui

2008-10-16 10:52 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys

2008-10-16 10:52 . 2008-08-14 12:04 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys

2008-10-16 04:25 . 2008-10-16 04:25 244 --ah----- C:\sqmnoopt11.sqm

2008-10-16 04:25 . 2008-10-16 04:25 232 --ah----- C:\sqmdata11.sqm

2008-10-15 20:08 . 2008-10-15 20:08 244 --ah----- C:\sqmnoopt10.sqm

2008-10-15 20:08 . 2008-10-15 20:08 232 --ah----- C:\sqmdata10.sqm

2008-10-15 18:03 . 2008-10-15 18:03 <REP> d-------- C:\Program Files\Jeyo

2008-10-15 18:03 . 2008-10-15 18:03 <REP> d-------- C:\Documents and Settings\Thomas\Application Data\Jeyo

2008-10-15 17:37 . 2008-10-15 17:37 244 --ah----- C:\sqmnoopt09.sqm

2008-10-15 17:37 . 2008-10-15 17:37 232 --ah----- C:\sqmdata09.sqm

2008-10-15 17:32 . 2008-10-15 17:32 244 --ah----- C:\sqmnoopt08.sqm

2008-10-15 17:32 . 2008-10-15 17:32 232 --ah----- C:\sqmdata08.sqm

2008-10-15 17:07 . 2008-10-15 17:07 244 --ah----- C:\sqmnoopt07.sqm

2008-10-15 17:07 . 2008-10-15 17:07 232 --ah----- C:\sqmdata07.sqm

2008-10-15 16:58 . 2008-10-15 16:58 <REP> d-------- C:\Program Files\Spb Backup

2008-10-15 16:47 . 2008-10-15 16:47 244 --ah----- C:\sqmnoopt06.sqm

2008-10-15 16:47 . 2008-10-15 16:47 232 --ah----- C:\sqmdata06.sqm

2008-10-15 00:34 . 2008-10-15 00:34 244 --ah----- C:\sqmnoopt05.sqm

2008-10-15 00:34 . 2008-10-15 00:34 232 --ah----- C:\sqmdata05.sqm

2008-10-14 21:46 . 2008-10-14 21:46 244 --ah----- C:\sqmnoopt04.sqm

2008-10-14 21:46 . 2008-10-14 21:46 232 --ah----- C:\sqmdata04.sqm

2008-10-14 15:13 . 2008-10-14 15:13 244 --ah----- C:\sqmnoopt03.sqm

2008-10-14 15:13 . 2008-10-14 15:13 232 --ah----- C:\sqmdata03.sqm

2008-10-14 03:09 . 2008-10-14 03:09 244 --ah----- C:\sqmnoopt02.sqm

2008-10-14 03:09 . 2008-10-14 03:09 232 --ah----- C:\sqmdata02.sqm

2008-10-13 18:47 . 2008-10-13 18:47 244 --ah----- C:\sqmnoopt01.sqm

2008-10-13 18:47 . 2008-10-13 18:47 232 --ah----- C:\sqmdata01.sqm

2008-10-13 18:18 . 2008-10-13 18:18 244 --ah----- C:\sqmnoopt00.sqm

2008-10-13 18:18 . 2008-10-13 18:18 232 --ah----- C:\sqmdata00.sqm

2008-10-03 19:12 . 2008-10-03 19:12 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll

2008-10-03 12:33 . 2005-07-07 16:25 81,728 -ra------ C:\WINDOWS\system32\drivers\k750mgmt.sys

2008-10-03 12:32 . 2005-07-07 16:25 89,872 -ra------ C:\WINDOWS\system32\drivers\k750mdm.sys

2008-10-03 12:32 . 2005-07-07 16:25 79,488 -ra------ C:\WINDOWS\system32\drivers\k750obex.sys

2008-10-03 12:32 . 2005-07-07 16:26 6,576 -ra------ C:\WINDOWS\system32\drivers\k750mdfl.sys

2008-10-03 12:32 . 2005-07-07 16:26 6,144 -ra------ C:\WINDOWS\system32\drivers\k750cmnt.sys

2008-10-03 12:32 . 2005-07-07 16:26 6,144 -ra------ C:\WINDOWS\system32\drivers\k750cm.sys

2008-10-03 12:31 . 2005-07-07 16:26 55,216 -ra------ C:\WINDOWS\system32\drivers\k750bus.sys

2008-10-03 12:31 . 2005-07-07 16:25 5,744 -ra------ C:\WINDOWS\system32\drivers\k750whnt.sys

2008-10-03 12:31 . 2005-07-07 16:25 5,744 -ra------ C:\WINDOWS\system32\drivers\k750wh.sys

2008-10-02 16:40 . 2008-10-15 16:58 <REP> d-------- C:\Program Files\Microsoft ActiveSync

2008-10-02 16:25 . 2006-02-01 10:01 41,792 -ra------ C:\WINDOWS\system32\drivers\zebrceb.sys

2008-10-02 16:25 . 2006-02-01 10:01 5,776 -ra------ C:\WINDOWS\system32\drivers\zebrwhnt.sys

2008-10-02 16:25 . 2006-02-01 10:01 5,776 -ra------ C:\WINDOWS\system32\drivers\zebrwh.sys

2008-10-02 16:24 . 2008-10-02 16:24 <REP> d-------- C:\Program Files\SEMC

2008-09-29 13:33 . 2008-10-02 13:22 <REP> d-------- C:\Program Files\Fichiers communs\Adobe

2008-09-24 00:08 . 2008-09-26 16:04 <REP> d-------- C:\Program Files\adslTV

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-23 00:43 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP

2008-10-23 00:43 --------- d-----w C:\Program Files\SysMetrix

2008-10-23 00:43 --------- d-----w C:\Program Files\SpeedFan

2008-10-21 11:48 196,608 ----a-w C:\WINDOWS\system32\drivers\nStandard.bin

2008-10-20 23:47 138,464 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys

2008-10-20 23:46 183,128 ----a-w C:\WINDOWS\system32\PnkBstrB.exe

2008-10-17 22:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-10-15 00:45 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll

2008-09-25 11:27 --------- d-----w C:\Documents and Settings\Thomas\Application Data\SoundSpectrum

2008-09-23 22:31 --------- d-----w C:\Documents and Settings\Thomas\Application Data\vlc

2008-09-23 21:05 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-09-18 21:33 --------- d-----w C:\Program Files\Alcohol Soft

2008-09-18 21:29 --------- d-----w C:\Program Files\Smart Projects

2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys

2008-09-11 20:35 22,328 ----a-w C:\Documents and Settings\Thomas\Application Data\PnkBstrK.sys

2008-09-11 20:34 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe

2008-09-11 20:34 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe

2008-09-11 20:31 --------- d-----w C:\Program Files\Electronic Arts

2008-09-10 23:50 --------- d-----w C:\Program Files\Steam

2008-09-09 00:14 --------- d-----w C:\Program Files\Prolific Publishing, Inc

2008-09-09 00:11 --------- d-----w C:\Program Files\SereneScreen

2008-09-09 00:07 --------- d-----w C:\Program Files\Dream Aquarium

2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys

2008-09-04 23:29 --------- d-----w C:\Program Files\Orthos

2008-08-26 08:11 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-08-14 13:23 2,147,328 ----a-w C:\WINDOWS\system32\ntoskrnl.exe

2008-08-14 13:23 2,025,984 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe

2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe

2005-07-01 14:20 10,026,288 ----a-w C:\Program Files\fo-sr2a.exe

2005-06-13 19:41 372,705 ----a-w C:\Program Files\Boot-CD.exe

.

------- Sigcheck -------

2008-04-13 19:34 512000 dd73d6b9f6b4cb630cf35b438b540174 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe

2008-06-26 18:42 512000 8d71f28deb37cc9c2e344095d8bfe1ee C:\WINDOWS\system32\winlogon.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360]

"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2004-08-27 794632]

"TuneUp MemOptimizer"="C:\Program Files\TuneUp Utilities 2008\MemOptimizer.exe" [2008-04-22 154880]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"Fraps"="C:\PROGRAM FILES\FRAPS\FRAPS.EXE" [2006-12-19 2842624]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]

"Core Temp"="C:\Program Files\CoreTemp\Core Temp.exe" [2008-05-19 256528]

"NVIDIA nTune"="C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" [2008-06-06 114688]

"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-09-18 4608]

"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-16 8491008]

"SysMetrix"="C:\Program Files\SysMetrix\SysMetrix.exe" [2005-05-20 2613248]

"TrueImageMonitor.exe"="C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-10-30 2595616]

"AcronisTimounterMonitor"="C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-10-30 909208]

"Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2007-10-30 140568]

"Profiler"="C:\Program Files\Saitek\Software\ProfilerU.exe" [2006-08-09 184320]

"SaiMfd"="C:\Program Files\Saitek\Software\SaiMfd.exe" [2006-08-21 126976]

"SBCSTray"="C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-11-28 698864]

"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2007-10-08 1036288]

"OutpostMonitor"="C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" [2008-10-23 1098568]

"OutpostFeedBack"="C:\Program Files\Agnitum\Outpost Firewall Pro\feedback.exe" [2008-10-23 419144]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]

"zBrowser Launcher"="C:\Program Files\Logitech\iTouch\iTouch.exe" [2002-05-29 520192]

"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-05-24 28672]

"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 2512392]

"AVKTray"="C:\Program Files\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2008-02-21 607816]

"RivaTuner"="C:\Program Files\RivaTuner v2.02\RivaTuner.exe" [2007-07-01 2596864]

"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]

"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]

"Classic TV Pro Remote"="C:\Program Files\Classic TV Pro Vision\Classic TV Pro\Remote.exe" [2006-04-04 241664]

"Schedule"="C:\Program Files\Classic TV Pro Vision\Classic TV Pro\Schedule.exe" [2006-06-22 98304]

"ATITool"="C:\Program Files\ATITool\ATITool.exe" [2006-12-08 3035136]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"nwiz"="nwiz.exe" [2007-09-16 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="NvMCTray.dll" [2007-09-16 C:\WINDOWS\system32\nvmctray.dll]

"Tweak UI"="TWEAKUI.CPL" [2001-03-19 C:\WINDOWS\system32\TWEAKUI.CPL]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-13 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

NxSensor.exe.lnk - C:\Program Files\NXsensor\NxSensor.exe [2008-07-25 362048]

SpeedFan.lnk - C:\Program Files\SpeedFan\speedfan.exe [2007-02-28 2796544]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoUserNameInStartMenu"= 1 (0x1)

"MaxRecentDocs"= 9 (0x9)

"NoSMMyDocs"= 01000000

"NoSMMyPictures"= 01000000

"NoLogoff"= 0 (0x0)

"NoSMHelp"= 01000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"=hex(2):76,69,73,74,61,75,69,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.asv2"= asusasv2.dll

"VIDC.VDOM"= vdowave.drv

"VIDC.TR20"= tr2032.dll

"vidc.vivo"= ivvideo.dll

Les clés de Registre SafeBoot doivent être réparées. Cette machine ne peut pas utiliser le Mode Sans Échec.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]

@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]

@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

@="Volume"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ai Nap]

--a------ 2008-01-28 12:55 1413120 C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Energy Saving]

--a------ 2008-01-28 10:42 1352704 C:\Program Files\ASUS\Ai Suite\EnergySaving\PwSave.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS SmartDoctor]

--a------ 2007-10-01 21:58 1126400 C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUSGamerOSD]

--a------ 2007-07-12 10:03 380928 C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpu Level Up help]

--a------ 2007-11-30 20:03 881152 C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CPU Power Monitor]

--a------ 2008-01-09 10:17 627200 C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GameFace Messenger]

--a------ 2006-11-01 14:50 2154496 C:\Program Files\GameFace Messenger\GameFace.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch As Cmd Runner]

--a------ 2007-04-11 17:34 376832 C:\Program Files\ASUS\AI Direct Link\AsCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch Direct Link]

--a------ 2007-08-20 11:42 1209856 C:\Program Files\ASUS\AI Direct Link\AsShare.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch PC Probe II]

--a------ 2008-02-14 13:55 2135552 C:\Program Files\ASUS\PC Probe II\Probe2.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"=

"C:\\Program Files\\NXsensor\\NxSensor.exe"=

"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=

"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=

"C:\\WINDOWS\\system32\\PnkBstrA.exe"=

"C:\\WINDOWS\\system32\\PnkBstrB.exe"=

"C:\\Program Files\\Windows Media Player\\wmplayer.exe"=

"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-07-28 15544]

R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-06-27 368544]

R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2008-07-31 41928]

R2 NVR0FLASHDev;NVR0FLASHDev;C:\WINDOWS\nvflash.sys [2008-05-23 36640]

R2 nxsIO32;NextSensor Kernel I/O Driver;C:\WINDOWS\System32\DRIVERS\nxsIO32.sys [2008-07-11 2208]

R2 TryAndDecideService;Acronis Try And Decide Service;C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe [2007-10-30 492720]

R2 UpdateCenterService;Update Center Service;C:\Program Files\NVIDIA Corporation\System Update\UpdateCenterService.exe [2008-05-23 114688]

R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2008-04-13 14336]

R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-07-12 12416]

R3 ASUSVRC;ASUSTeK Virtual Capture Device;C:\WINDOWS\system32\DRIVERS\AsusVRC.sys [2007-01-29 18432]

R3 SaiH0004;SaiH0004;C:\WINDOWS\system32\DRIVERS\SaiH0004.sys [2006-09-14 182528]

R3 SaiL0004;SaiL0004;C:\WINDOWS\system32\DRIVERS\SaiL0004.sys [2006-09-14 15104]

R3 SaiU0004;SaiU0004;C:\WINDOWS\system32\DRIVERS\SaiU0004.sys [2006-09-14 27392]

R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-07-12 10752]

S1 SandBox;SandBox;C:\WINDOWS\system32\DRIVERS\SandBox.sys [ ]

S1 SysTool;SysTool Overclocking Utility;C:\WINDOWS\system32\DRIVERS\SysTool.sys [2006-11-10 24064]

S3 afw;Agnitum firewall driver;C:\WINDOWS\system32\DRIVERS\afw.sys [ ]

S3 ASWFilt;ASWFilt;C:\WINDOWS\system32\Filt\ASWFilt.dll [ ]

S3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2008-06-27 46536]

S3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2008-07-31 32200]

S3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys [ ]

S3 SkLaggProtocol;Marvell Link Aggregation Protocol;C:\WINDOWS\system32\DRIVERS\yk51x32l.sys [2007-12-14 57344]

S3 SkVlanProtocol;Marvell VLAN Protocol;C:\WINDOWS\system32\DRIVERS\yk51x32v.sys [2007-11-23 20992]

S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-06-27 354560]

S3 xpvcom;XPVCOM Port;C:\WINDOWS\system32\DRIVERS\XPVCOM.sys [2007-03-23 30032]

S3 zebrceb;Sony Ericsson Cable Emulation Bus (WDM);C:\WINDOWS\system32\DRIVERS\zebrceb.sys [2006-02-01 41792]

S4 acssrv;Agnitum Client Security Service;C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe [2008-04-22 1181000]

S4 AVKProxy;G DATA AntiVirus Proxy;C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe [2008-02-19 718408]

S4 AVKService;G DATA Scheduler;C:\Program Files\G DATA InternetSecurity\AVK\AVKService.exe [2008-10-22 427592]

S4 AVKWCtl;Gardien d'AntiVirus;C:\Program Files\G DATA InternetSecurity\AVK\AVKWCtl.exe [2008-10-22 1127816]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

*Newly Created Service* - SROSA

.

Contenu du dossier 'Tâches planifiées'

2008-10-23 C:\WINDOWS\Tasks\Maintenance en 1 clic.job

- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe [2008-04-22 14:17]

.

- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-MMTray - C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

.

------- Examen supplémentaire -------

.

FireFox -: Profile - C:\Documents and Settings\Thomas\Application Data\Mozilla\Firefox\Profiles\vzjdgxia.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-23 02:43:01

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

C:\WINDOWS\system32\drivers\winfilse.exe [3156] 0x8A0C8DA0

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

"drvsyskit"="C:\\WINDOWS\\system32\\drivers\\winfilse.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\srosa]

"ImagePath"="\??\C:\WINDOWS\system32\drivers\srosa.sys"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

PROCESSUS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\tsd32.dll

.

------------------------ Autres processus actifs ------------------------

.

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\WINDOWS\system32\taskmgr.exe

.

**************************************************************************

.

Heure de fin: 2008-10-23 2:44:24 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-10-23 00:44:21

Avant-CF: 34,873,442,304 octets libres

Après-CF: 34,992,484,352 octets libres

349 --- E O F --- 2008-10-17 22:23:53

sniperzep · le 23 octobre 2008

Salut,

je viens de remarquer que le virus se réplique sur les clé usb (avec un autorun) mais pas sur disque dur externe branché en USB, donc j'ai eu chaud de ne pas infecter mon pc sain car je n'ai pas rebranché ma clé sur celui ci !

Si t'es dans le coin pourrai tu analyser le rapport combofix STP ?

En fouillant sur le net j'ai trouvé que "Winsockfix" pourrait peut etre réparer ma connexion internet, est ce exact ?

Mais je ne voudrais pas que d autres malwares viennent s'installer vu que mon firewall est desactivé.

D ailleurs j'ai remarqué dans le rapport combofix que le firewall est désactiver par les cles du registre ainsi que le safeboot, est ce que si je les réinstalle manuellement (les clé registre) ça refonctionnera ?

Merci

sniperzep · le 24 octobre 2008

Re,

Bon, après 6 heures de recherche internet et d 'essais, j'ai effectué des scans avec différents logiciels tels que Blacklight et Elibagla, je vous poste les rapports au cas ou ça puisse vous aider :

rapport blacklight :

10/24/08 02:05:53 [info]: BlackLight Engine 2.2.1092 initialized

10/24/08 02:05:53 [info]: OS: 5.1 build 2600 (Service Pack 3)

10/24/08 02:05:54 [Note]: 7019 4

10/24/08 02:05:54 [Note]: 7005 0

10/24/08 02:05:59 [Note]: 7006 0

10/24/08 02:05:59 [Note]: 7011 3352

10/24/08 02:05:59 [Note]: 7035 0

10/24/08 02:06:01 [Note]: 7026 0

10/24/08 02:06:02 [Note]: 7026 0

10/24/08 02:06:02 [Note]: 7024 3

10/24/08 02:06:02 [info]: Hidden process: C:\WINDOWS\system32\drivers\winfilse.exe

10/24/08 02:06:04 [Note]: FSRAW library version 1.7.1024

10/24/08 02:06:42 [info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt