PC infecté par plusieurs malwares, aidez-moi si possible !

[grillo126]

Bonjour à tous,

 

Je viens vous demander de l'aide après 2 semaines de bataille contre un ou plusieurs virus qui se sont installés sur ma station.

J'ai attrapé un virus du type faux codec ("Pornovid") et probablement d'autres

J'ai formaté mon HD, mais l'infection s'étant propagée dans tout mes fichiers .exe (voir .rar) de mon HD externe, elle s'est vite réinstallée...

 

A ce moment, voici mon état :

 

2 Clé USB infectées par "autorun.inf" appelant des fichiers (icône wordpad ou invite de commande) générés par le PC infecté

 

Affichage des fichiers cachés désactivé

 

[Gestionnaire des taches ] et [Regedit] désactivés (mais encore activables avec gpedit.msc)

 

Programmes viraux dans la memoire (du genre win*****.exe, dsxid.exe,... Je peux les killer avec TuneUp Process manager)

 

Lancement impossible du mode sans échec : ecran bleu "un problème a été détecté..."avec comme ligne d'info système :

[***STOP: 0x0000007B (0xF894D524,0xC0000034,0x00000000,0x00000000)]

 

Les programmes d'installation d'antivirus (antivir) se terminent prématurément pendant l'extraction des composants de l'installeur (comme si on l'avait killé dans taskmsg).

 

Clés suspectes détectées par HijackThis sur un probable DNS changer

 

Voici le rapport HijackThis

logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18:33, on 14/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\TRENDnet\TEW-424UB\TRENDnet.exe
C:\WINDOWS\system32\mmc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Grillo\LOCALS~1\Temp\dsxid.exe
C:\DOCUME~1\Grillo\LOCALS~1\Temp\winkmbhgc.exe
C:\Program Files\TuneUp Utilities 2008\ProcessManager.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [skyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RegRun WinBait] C:\WINDOWS\winbait.exe
O4 - HKLM\..\Run: [@RegRunOnSecure] C:\PROGRA~1\Greatis\REGRUN~1\OnSecure.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe
O4 - HKCU\..\Run: [Registry] "C:\Program Files\Greatis\RegRunSuite\lsoon.exe" -1 30 "C:\Program Files\Greatis\RegRunSuite\rescue.exe" /a "c:\backreg\rstore.ini"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C3FA865-37F8-496A-B257-697E1BC4D0A3}: NameServer = 85.255.112.125;85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C3FA865-37F8-496A-B257-697E1BC4D0A3}: NameServer = 85.255.112.125;85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C3FA865-37F8-496A-B257-697E1BC4D0A3}: NameServer = 85.255.112.125;85.255.112.5
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4460 bytes

[Italien]

Salut.Telecharge Malwarebytes antimalware,il est gratuit, tres efficace et facile d'emploi.J'ai eu le meme probleme et il a nettoyé mon PC en virant toutes les saloperies qu'il contenait.

[pear]

Bonjour et Bienvenue sur nos forums,

 

Les fichiers autorun.inf sont infectés.

Cette infection peut avoir été introduite par le biais d'un support amovible tels que Clé USB, CD-R, CDRW, etc.

Car cette infection a ceci de particulier qu'elle crée des fichiers .inf (cachés) aux racines de tout ce qui entre en contact avec elle, comme la racine du disque C (système) par exemple.

Des explications là:

http://forum.malekal.com/ftopic3350.php

http://forum.malekal.com/viewtopic.php?f=4...544&p=38463

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous regis.reg.

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

Désinfection

Télécharger Flash_Disinfector.exe de sUBs

l'enregistrer sur le bureau.

Connecter tous les supports amovibles susceptibles d'avoir été infectés .

Double-cliquer dessus et suivre les instructions

,

Enregistrer Clean.zip sur le bureau

- faire un clic droit dessus et "extraire ici".

Un dossier "Clean" sera créé.

Redémarrer en mode sans échec

Ouvrez le dossier clean qui se trouve sur le bureau,

double-cliquer sur clean.cmd,

Dans la fenêtre noire, choisir l'option 2 et suivre les instructions

Cochez les options comme indiquées sur cettepage:

 

 

 

Télécharger le FixWareout

Sauvegardez le sur le bureau:

Lancer le fix: cliquer sur Next, puis Install, s'assurer que "Run fixit" est activé et cliquer sur Finish.

--> Le programme va commencer, suivre les messages à l'écran.

Il sera demandé de redémarrer l'ordinateur,.

 

Le système mettra un peu plus de temps au démarrage, c'est normal.

 

--> Au final, poster le contenu de C:\fixwareout\report.txt

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Si jamais la connexion Internet était perdue après cette manipulation,ou pour des O17 récalcitrantes,

Démarrer-> Exécuter->

Copier-coller

cmd /k ipconfig /flushdns

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de ComboFix.

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Si vous utilez Combofix pour détruire Bagle, voyez le $ 3 Renommer Combofix

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

1)La console de Récupération

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoiil vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

 

 

2)Lancer le scan

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Modifié le 22 octobre 2008 par pear

[grillo126]

Merci de vos réponses

 

Italien -> analyse complète en cours

 

Pear -> 1ere étape (prévention : fusion avec reg.reg) : Ok

 

2ieme étape : démarrage en mode sans echec impossible

 

3ieme étape (FixWareout) : Ok

 

J'ai oublié de préciser que la désactivation de tskmsg / regedit se réactualise toutes les 2secondes malgrès le kill des processus viraux dans le gestionnaire de Tuneup

[pear]

2ieme étape : démarrage en mode sans echec impossible

 

C'est embêtant,car c'est toujours mauvais signe.

Lancez Combofix.

S'il y avait un problème, suivez le $3.

[grillo126]

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_PARTIZAN

-------\Legacy_REGGUARD

-------\Service_Partizan

-------\Service_RegGuard

-------\Legacy_REGGUARD

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-21 au 2008-10-21 ))))))))))))))))))))))))))))))))))))

.

 

2008-10-22 00:28 . 2008-10-22 00:28 53 --a------ C:\WINDOWS\system32\Partizan.RRI

2008-10-20 12:39 . 2008-06-19 18:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys

2008-10-20 12:26 . 2008-10-20 12:26 <REP> d-------- C:\Program Files\Panda Security

2008-10-20 10:58 . 2008-10-20 10:58 <REP> d-------- C:\Program Files\TablEdit

2008-10-20 10:58 . 2008-10-20 11:04 1,927 --a------ C:\WINDOWS\tabled32.ini

2008-10-20 10:12 . 2008-10-20 10:12 <REP> d-------- C:\Program Files\Sun

2008-10-20 10:12 . 2008-10-20 11:21 <REP> d-------- C:\Documents and Settings\Grillo\Application Data\LimeWire

2008-10-20 10:09 . 2008-10-20 10:09 <REP> d-------- C:\Program Files\Java

2008-10-20 10:09 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-10-20 09:46 . 2008-10-20 09:46 <REP> d-------- C:\Program Files\Guitar Pro 5

2008-10-20 09:39 . 2008-10-20 09:39 <REP> d-------- C:\Program Files\Fichiers communs\Java

2008-10-20 09:23 . 2008-10-20 09:23 <REP> d-------- C:\WINDOWS\system32\Lang

2008-10-20 09:23 . 2008-10-20 09:23 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav

2008-10-20 09:23 . 2008-10-20 09:23 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav

2008-10-19 22:28 . 2008-10-19 22:43 <REP> d-------- C:\Program Files\LimeWire

2008-10-19 21:51 . 2008-10-19 21:51 <REP> d-------- C:\WINDOWS\system32\RTCOM

2008-10-19 21:51 . 2006-11-14 17:21 16,270,848 --a------ C:\WINDOWS\RTHDCPL.exe

2008-10-19 21:51 . 2006-05-04 16:35 9,709,568 --a------ C:\WINDOWS\RTLCPL.exe

2008-10-19 21:51 . 2006-11-15 14:34 4,225,920 --a------ C:\WINDOWS\system32\drivers\RtkHDAud.Sys

2008-10-19 21:51 . 2006-05-16 18:04 2,879,488 --a------ C:\WINDOWS\SkyTel.exe

2008-10-19 21:51 . 2006-05-04 16:26 2,808,832 --a------ C:\WINDOWS\alcwzrd.exe

2008-10-19 21:51 . 2006-10-11 17:42 2,157,568 --a------ C:\WINDOWS\MicCal.exe

2008-10-19 21:51 . 2006-11-13 13:07 1,183,744 --a------ C:\WINDOWS\RtlUpd.exe

2008-10-19 21:51 . 2005-09-21 10:25 299,008 --a------ C:\WINDOWS\system32\ALSndMgr.Cpl

2008-10-19 21:51 . 2006-08-18 06:58 282,624 --a------ C:\WINDOWS\system32\RTSndMgr.Cpl

2008-10-19 21:51 . 2006-07-21 16:14 163,840 --a------ C:\WINDOWS\SoundMan.exe

2008-10-19 21:51 . 2005-05-03 18:43 143,360 --a------ C:\WINDOWS\Alcmtr.exe

2008-10-19 21:51 . 2006-08-01 15:02 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe

2008-10-19 21:50 . 2008-10-19 21:50 <REP> d-------- C:\Program Files\Realtek

2008-10-19 21:50 . 2006-09-12 14:34 499,712 --a------ C:\WINDOWS\RtlExUpd.dll

2008-10-19 21:49 . 2008-10-19 21:49 <REP> d-------- C:\Documents and Settings\Grillo\Application Data\vlc

2008-10-19 19:29 . 2008-10-19 19:29 <REP> d-------- C:\Program Files\SuperCopier2

2008-10-19 18:04 . 2008-10-14 15:38 <REP> d-------- C:\Documents and Settings\Grillo\SmitfraudFix

2008-10-19 17:57 . 2008-10-14 20:41 1,030 --a------ C:\WINDOWS\system32\tmp.reg

2008-10-19 17:56 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-10-19 17:56 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-10-19 17:56 . 2008-09-08 23:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe

2008-10-19 17:56 . 2008-10-01 15:51 87,552 --a------ C:\WINDOWS\system32\VACFix.exe

2008-10-19 17:56 . 2008-10-10 08:58 82,944 --a------ C:\WINDOWS\system32\o4Patch.exe

2008-10-19 17:56 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-10-19 17:56 . 2008-10-10 08:58 82,944 --a------ C:\WINDOWS\system32\IEDFix.C.exe

2008-10-19 17:56 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe

2008-10-19 17:56 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-10-19 17:56 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-10-19 17:56 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-10-19 16:44 . 2008-10-19 16:44 <REP> d-------- C:\Program Files\FileASSASSIN

2008-10-19 15:06 . 2008-10-19 15:06 <REP> d--h----- C:\Documents and Settings\Grillo\Recent(2)

2008-10-18 22:07 . 2008-10-18 22:07 <REP> d-------- C:\Program Files\VideoLAN

2008-10-16 04:36 . 2006-09-12 14:34 499,712 --a------ C:\WINDOWS\RtlExUpd(2).dll

2008-10-15 22:43 . 2004-08-03 23:08 26,496 --a------ C:\WINDOWS\system32\drivers\USBSTOR(2).SYS

2008-10-15 21:50 . 2008-10-15 21:50 <REP> d--h----- C:\WINDOWS\PIF

2008-10-15 19:46 . 2008-10-15 19:46 <REP> d-------- C:\Documents and Settings\Grillo\Application Data\TuneUp Software

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-16 18:25 38,496 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-16 18:25 15,504 ----a-w C:\WINDOWS\system32\drivers\mbam.sys

2008-10-15 18:30 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-10-15 17:47 --------- d-----w C:\Program Files\TuneUp Utilities 2008

2008-10-15 17:46 355,584 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe

2008-10-15 17:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\TuneUp Software

2008-10-15 17:05 --------- d-----w C:\Program Files\TRENDnet

2008-10-15 17:05 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2008-10-15 16:45 --------- d-----w C:\Program Files\Services en ligne

2008-10-14 21:16 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware

2008-10-14 21:07 --------- d-----w C:\Documents and Settings\Grillo\Application Data\Malwarebytes

2008-10-14 21:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-10-14 20:39 1,628,295 ----a-w C:\SDFix.exe

2008-10-14 19:29 --------- d-----w C:\Documents and Settings\Grillo\Application Data\Regrun

2008-10-14 19:21 --------- d-----w C:\Program Files\Greatis

2008-10-14 19:15 --------- d-----w C:\Program Files\Trend Micro

2008-10-14 16:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-10-14 16:37 --------- d-----w C:\Program Files\Lavasoft

2008-10-14 16:37 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

.

 

------- Sigcheck -------

 

2005-06-28 18:56 359808 77c0c5e7d6cfe2052b8cf28b8722f528 C:\WINDOWS\system32\drivers\tcpip.sys

 

2005-03-02 20:13 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe

2005-03-02 20:08 2181376 63729dd0f2aae36cc52b89c05505146c C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe

2005-07-19 16:11 2290176 fa960c9f326792a1e9e5ba288edf3d2d C:\WINDOWS\system32\ntoskrnl.exe

 

2005-06-15 23:01 1110016 40a5e8265f6cc9d6843dbf8720d6e6ae C:\WINDOWS\explorer.exe

 

2004-08-19 20:09 89088 8ed45767de933c420508a179bf08a6e8 C:\WINDOWS\system32\ctfmon.exe

.

((((((((((((((((((((((((((((( snapshot@2008-10-22_ 0.30.19.32 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-10-21 22:57:07 16,384 ----atw C:\WINDOWS\temp\Perflib_Perfdata_778.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-08-02 10:35 7110656]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 20:09 89088]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"LSD_III"="C:\WINDOWS\LSD\end.cmd" [2005-07-14 17:39 2310]

"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 19:52 44544]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Wireless Configuration Utility HW.32.lnk - C:\WINDOWS\Installer\{BDC88E5A-F47B-4314-AB38-994592E32C95}\NewShortcut1_BDC88E5AF47B4314AB38994592E32C95.exe [2008-10-15 19:05:16 40960]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"= 1 (0x1)

"DisableRegistryTools"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"UacDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"UacDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\system32\\restore\\rstrui.exe"=

"C:\\Program Files\\TRENDnet\\TEW-424UB\\Logon.tmp"=

"C:\\WINDOWS\\system32\\taskmgr.exe"=

"C:\\Program Files\\TRENDnet\\TEW-424UB\\TRENDnet.exe"=

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"C:\\WINDOWS\\system32\\cmd.exe"=

"C:\\WINDOWS\\system32\\mmc.exe"=

"C:\\WINDOWS\\lclock.exe"=

"C:\\WINDOWS\\system32\\CF19983.exe"=

 

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 18:24 28544]

R2 NVSvc;NVIDIA Display Driver Service;C:\WINDOWS\system32\nvsvc32.exe [2005-08-02 10:35 127043]

R2 SiSWLSvc;SiS WirelessLan Service;C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe [2006-08-23 17:08 57344]

R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-19 20:10 14336]

R3 abp470n5;abp470n5;C:\WINDOWS\system32\drivers\jidrtn.sys [ ]

R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2006-02-15 18:25 215552]

R3 SISNPF;SIS Netgroup Packet Filter;C:\WINDOWS\system32\drivers\SISNPF.sys [2005-12-23 12:16 31872]

S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-10-16 20:25 38496]

S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-10-15 19:46 355584]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{736c71f5-9dec-11dd-af72-0018e706d71c}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com e:

\Shell\Open\command - E:\resycled\boot.com e:

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{736c71f6-9dec-11dd-af72-0018e706d71c}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com f:

\Shell\Open\command - F:\resycled\boot.com f:

 

*Newly Created Service* - SISNPF

.

Contenu du dossier 'Tâches planifiées'

 

2008-10-21 C:\WINDOWS\Tasks\Maintenance en 1 clic.job

- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 09:23]

.

.

------- Examen supplémentaire -------

.

FireFox -: Profile - C:\Documents and Settings\Grillo\Application Data\Mozilla\Firefox\Profiles\d6m4swa6.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-22 00:57:23

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2008-10-22 0:58:07 - La machine a redémarré [Grillo]

ComboFix-quarantined-files.txt 2008-10-21 22:58:05

 

Ok.

[grillo126]

Voila pour le rapport, sinon les processus viraux sont toujours la et taskmsg / regedit toujours desactivés

 

Toutefois les clés USB ne sont plus infectées par autorun

[pear]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"LSD_III"="C:\WINDOWS\LSD\end.cmd" [2005-07-14 17:39 2310]

 

On arrête là, si vous le voulez bien.

Ce n'est pas un Windows normal.

Modifié le 22 octobre 2008 par pear

[grillo126]

Ok, merci quand même pour l'aide apportée =)

 

Je terminerais le travail tout seul,

 

a+, grillo126