[Résolu] Système bloqué Winupgro.exe

Chris2406 · le 16 décembre 2008

Bonjour,

Après un téléchargement malencontreux de logiciel de retouches photo, le virus Hacktool.rootkit s'est installé sur mon pc.

Mon pc s'est éteint tout seul et au rallumage l'antivirus norton n'était plus actif (ainsi que la plupart de mes logiciels).

Ma liste des processus actifs indiquait que le processus winupgro.exe (Bisoft) prenait plus de la moitié de mes ressources.

J'ai desinstallé dans la liste de logiciels le nouveau logiciel du même nom qui était donc nouvellement apparu.

Mais comme je pouvais m'y attendre, ceci n'a rien fait.

J'ai lancé à plusieurs reprises un scan en mode sans échecs.

L'antivirus ciblait bien à chaque fois 2 à 3 fichiers infectés qu'il considérait comme réparés à chaque fin d'analyse, mais rien n'y a fait, bien entendu.

J'ai tenté d'installer à nouveau HiJackThis sur mon (récemment acquis) pc portable (avec malheureusement pour système Windows Vista), mais sans succès.

Renommer HiJackThis n'a rien donné (la dernière tentative me retournait que cette appli ne possédait pas les bons fichiers W32...).

Avez vous des idées pour venir à bout de ce problème plus qu'handicapant?

Merci d'avance

Modifié le 12 janvier 2009 par Chris2406

Thanos · le 16 décembre 2008

salut

Le pc est infecté par Baggle. C'est lui qui a détruit ton antivirus! N'utilise pas ce pc pour aller sur Internet tant qu'il n'est pas nettoyé!

Voilà ce que je te propose >>

Fais un clic sur le bouton droit de ta souris ICI
Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre >>
Dans le champs à droite de "Nom du Fichier" en bas de page, modifie le nom présent (ComboFix.exe) et met ceci >> Chris2406.exe
Enregistre-le fichier dans ta clé usb: pour cela clique sur le bouton Enregistrer.
Branche ta clé usb sur le pc infecté et copie le fichier Chris2406.exe dans le répertoire système (C:\ normalement).
Assure toi que tous les programmes soient fermés avant de lancer le fix!
Fait un double clique sur Chris2406.exe.
Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
Tape sur la touche Y (Yes) pour démarrer le scan.
ComboFix va certainement mettre du temps à se lancer: le message suivant va afficher >>
"Une activité de rootkit a été détectée"
Lorsque le scan est terminé, il faudra cliquer sur le bouton "Oui" pour que le pc redémarre.
Au redémarrage du pc un rapport sera généré : poste en le contenu dans ton prochain message.
Ces opérations vont prendre du temps, aussi soit patient!
Si le rapport est trop long, poste le en deux fois.
Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt

Modifié le 16 décembre 2008 par Thanos

Chris2406 · le 16 décembre 2008

Bonjour Thanos,

Merci pour ces premières indications.

J'ai bien récupéré le Combofix que j'ai renommé en Chris2406.exe sur ma clé USB.

Ensuite, comme indiqué, j'ai installé le fichier à la racine du disque C:, mais lorsque je lance l'exécution, une pop-up apparaît signalant que l'application Chris2406 n'est pas une application W32 valide...

Serait-ce Baggel qui empêcherait l'exécution? (le même type de message apparaissait lors des tentives de lancement de Hijackthis...)

Mark · le 16 décembre 2008

Bonjour Chris et Thanos !

Permettez-moi cette petite intrusion... Chris, ne sachant pas à quel moment Thanos sera de retour aujourd'hui, je peux te donner une piste ;

Si ton système te renvoie cette erreur, c'est que tu as probablement renommé l'outil alors qu'il était déjà sur la machine infectée. Voici ce que tu peux faire :

- Pas nécessaire d'utiliser un clé USB, à moins que tu ne puisses télécharger à partir de la machine infectée.

- Supprime l'outil que tu as présentement (à la racine du C:)

- Fais un clic droit sur le lien de l'outil, tel que prescrit par Thanos précédemment et choisis "Enregistrer la cible du lien sous..."

- Renomme le fichier avant de le sauvegarder sur ta machine

- Sauvegarde-le sur ton Bureau plutôt que sur le C: (c'est plus pratique)

- Lance-le tel que prescrit précédemment.

Ceci fonctionne sous Vista car je l'ai testé hier soir, avec Bagle justement.

Bonne continuation à vous deux

Chris2406 · le 16 décembre 2008

Merci Qc001, je m'étais un êu précipité pendant le renommage en effet...

voici le rapport Combofix:

ComboFix 08-12-15.05 - Christian 2008-12-16 17:24:03.2 - NTFSx86

MicrosoftÆ Windows Vistaô …dition Familiale Premium 6.0.6001.1.1252.1.1036.18.2046.1250 [GMT 1:00]

LancÈ depuis: C:\Chris2406.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

---- Previous Run -------

.

c:\program files\Windows Live\Messenger\MsnMsgr.exe

c:\users\Christian\AppData\Roaming\drivers\downld

c:\users\Christian\AppData\Roaming\drivers\srosa.sys

c:\users\Christian\AppData\Roaming\drivers\srosa2.sys

c:\users\Christian\AppData\Roaming\drivers\winupgro.exe

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_SROSA

-------\Legacy_SROSA

-------\Legacy_SK9OU0S

-------\Service_sK9Ou0s

((((((((((((((((((((((((((((( Fichiers crÈÈs du 2008-11-16 au 2008-12-16 ))))))))))))))))))))))))))))))))))))

.

2008-12-16 16:30 . 2008-12-16 15:53 401,720 --a------ C:\HiJohnThat.exe

2008-12-16 15:00 . 2008-12-16 15:50 2,874,200 -ra------ C:\Chris2406.exe

2008-12-16 01:49 . 2008-12-16 01:37 401,720 --a------ c:\users\Christian\HiJohnThat.exe

2008-12-08 10:50 . 2008-12-08 18:05 46,640 --a------ c:\windows\System32\msln.exe

2008-12-08 03:10 . 2008-12-08 11:29 117,836 --a------ C:\msl-1172-3

2008-12-08 01:07 . 2008-12-16 16:50 <REP> d--h----- c:\users\Christian\AppData\Roaming\drivers

2008-11-26 19:07 . 2008-10-21 06:25 1,645,568 --a------ c:\windows\System32\connect.dll

2008-11-26 19:07 . 2008-08-28 04:40 712,704 --a------ c:\windows\System32\WindowsCodecs.dll

2008-11-26 19:07 . 2008-08-28 04:40 425,472 --a------ c:\windows\System32\PhotoMetadataHandler.dll

2008-11-26 19:07 . 2008-08-28 04:40 347,136 --a------ c:\windows\System32\WindowsCodecsExt.dll

2008-11-26 19:07 . 2008-10-22 04:57 241,152 --a------ c:\windows\System32\PortableDeviceApi.dll

2008-11-21 15:04 . 2008-11-21 15:04 <REP> d-------- c:\program files\DebugMode

2008-11-21 14:49 . 2008-11-21 14:49 <REP> d-------- c:\program files\CamStudio

2008-11-18 00:39 . 2008-10-16 22:13 1,809,944 --a------ c:\windows\System32\wuaueng.dll

2008-11-18 00:39 . 2008-10-16 21:56 1,524,736 --a------ c:\windows\System32\wucltux.dll

2008-11-18 00:39 . 2008-10-16 22:09 51,224 --a------ c:\windows\System32\wuauclt.exe

2008-11-18 00:39 . 2008-10-16 22:09 43,544 --a------ c:\windows\System32\wups2.dll

2008-11-18 00:38 . 2008-10-16 22:12 561,688 --a------ c:\windows\System32\wuapi.dll

2008-11-18 00:38 . 2008-10-16 14:08 162,064 --a------ c:\windows\System32\wuwebv.dll

2008-11-18 00:38 . 2008-10-16 21:55 83,456 --a------ c:\windows\System32\wudriver.dll

2008-11-18 00:38 . 2008-10-16 22:08 34,328 --a------ c:\windows\System32\wups.dll

2008-11-18 00:38 . 2008-10-16 13:56 31,232 --a------ c:\windows\System32\wuapp.exe

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-16 16:23 --------- d-----w c:\users\Christian\AppData\Roaming\Skype

2008-12-16 16:22 27,715 ----a-w c:\users\Christian\AppData\Roaming\nvModes.dat

2008-12-11 23:45 --------- d-----w c:\program files\Windows Live Safety Center

2008-12-08 14:29 --------- d-----w c:\program files\Norton Internet Security

2008-12-08 12:33 --------- d-----w c:\programdata\eMule

2008-11-21 13:57 --------- d-----w c:\programdata\Symantec

2008-11-20 22:47 --------- d-----w c:\programdata\Microsoft Help

2008-11-04 23:37 --------- d-----w c:\users\Christian\AppData\Roaming\U3

2008-10-29 18:59 --------- d-----w c:\programdata\Age of Empires 3

2008-10-29 18:57 --------- d--h--w c:\program files\InstallShield Installation Information

2008-10-29 18:55 --------- d-----w c:\program files\Common Files\Microsoft Games

2008-10-29 18:37 --------- d-----w c:\program files\Microsoft Games

2008-10-21 01:20 --------- d-----w c:\program files\Windows Mail

2008-10-17 07:19 --------- d-----w c:\program files\Common Files\Symantec Shared

2008-10-02 03:49 827,392 ----a-w c:\windows\System32\wininet.dll

2008-09-30 15:43 1,286,152 ----a-w c:\windows\System32\msxml4.dll

2008-09-18 05:09 3,601,464 ----a-w c:\windows\System32\ntkrnlpa.exe

2008-09-18 05:09 3,549,240 ----a-w c:\windows\System32\ntoskrnl.exe

2008-09-18 04:56 147,456 ----a-w c:\windows\System32\Faultrep.dll

2008-09-18 04:56 125,952 ----a-w c:\windows\System32\wersvc.dll

2008-09-18 02:16 2,032,640 ----a-w c:\windows\System32\win32k.sys

2008-08-25 16:32 174 --sha-w c:\program files\desktop.ini

2008-03-17 13:34 32 ----a-w c:\users\All Users\ezsid.dat

2008-03-17 13:34 32 ----a-w c:\programdata\ezsid.dat

2008-02-06 21:49 27,715 ----a-w c:\users\Kay Paris\AppData\Roaming\nvModes.dat

.

((((((((((((((((((((((((((((( snapshot@2008-12-16_17.01.53.10 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-12-16 15:55:14 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

+ 2008-12-16 16:30:50 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

- 2008-12-16 15:55:14 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

+ 2008-12-16 16:30:50 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

- 2008-12-16 15:55:31 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\NTUSER.DAT

+ 2008-12-16 16:31:56 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\NTUSER.DAT

+ 2008-12-16 16:31:56 262,144 ---ha-w c:\windows\ServiceProfiles\LocalService\ntuser.dat.LOG1

- 2008-12-16 15:57:42 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2008-12-16 16:32:46 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2008-12-16 16:32:46 262,144 ---ha-w c:\windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1

- 2008-10-21 01:23:26 1,687,400 ----a-w c:\windows\System32\FNTCACHE.DAT

+ 2008-12-16 16:31:15 1,687,400 ----a-w c:\windows\System32\FNTCACHE.DAT

- 2008-12-16 15:54:21 102,094 ----a-w c:\windows\System32\perfc009.dat

+ 2008-12-16 16:29:49 102,094 ----a-w c:\windows\System32\perfc009.dat

- 2008-12-16 15:54:21 124,434 ----a-w c:\windows\System32\perfc00C.dat

+ 2008-12-16 16:29:49 124,434 ----a-w c:\windows\System32\perfc00C.dat

- 2008-12-16 15:54:21 590,082 ----a-w c:\windows\System32\perfh009.dat

+ 2008-12-16 16:29:49 590,082 ----a-w c:\windows\System32\perfh009.dat

- 2008-12-16 15:54:21 672,322 ----a-w c:\windows\System32\perfh00C.dat

+ 2008-12-16 16:29:49 672,322 ----a-w c:\windows\System32\perfh00C.dat

- 2008-12-16 15:29:49 9,054 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3563005830-4023447543-3002414396-1000_UserData.bin

+ 2008-12-16 16:33:20 9,542 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3563005830-4023447543-3002414396-1000_UserData.bin

- 2008-12-16 15:47:56 72,094 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

+ 2008-12-16 16:33:20 72,094 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

- 2008-12-16 15:47:50 49,792 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin

+ 2008-12-16 16:24:03 49,934 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin

.

-- InstantanÈ actualisÈ --

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [bU]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-02-06 21898024]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2007-01-16 634880]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-13 827392]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]

"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2008-12-16 115816]

"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-04-23 176128]

"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-02-13 159744]

"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-03-12 50696]

"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 472776]

"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-10 317128]

"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"CognizanceTS"="c:\progra~1\BIOSCR~1\VeriSoft\Bin\ASTSVCC.dll" [2003-12-22 17920]

"Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-12-16 583048]

"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-04-23 185896]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-05-27 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-07-10 289064]

"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-05-01 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-01 8429568]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-01 81920]

"RtHDVCpl"="RtHDVCpl.exe" [2007-03-09 c:\windows\RtHDVCpl.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-07 44128]

c:\users\Christian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OneNote 2007 - Capture d'Çcran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-07 101440]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-23 110592]

Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 64864]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=APSHook.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages REG_MULTI_SZ scecli ASWLNPkg

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UacDisableNotify"=dword:00000001

"InternetSettingsDisableNotify"=dword:00000001

"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3563005830-4023447543-3002414396-1000]

"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{385886E8-F959-405D-AEA8-53E522F0198F}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{7F62BBC5-75E4-4939-B914-21991D03E0E3}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{77BE45C3-9CE5-46CF-866A-F628CA4E7CF2}"= c:\program files\HP\QuickPlay\QP.exe:Quick Play

"{57F8BBBF-005C-4CAD-94DA-B7C508017205}"= c:\program files\HP\QuickPlay\QPService.exe:Quick Play Resident Program

"{220A26E5-938B-46B2-B074-DFF659F54FDE}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

"TCP Query User{1CD5295B-1ED1-4F88-BDD8-F5A0A03F919B}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule

"UDP Query User{EB78A5CE-A808-4D0B-A96B-1E0D036EA9EE}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule

"TCP Query User{40BF2369-3831-44F3-B4FA-3D39F877F27A}c:\\program files\\freeplayer\\vlc\\vlc.exe"= UDP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player

"UDP Query User{C0A91848-569A-408F-B71E-CF16EAB40AC8}c:\\program files\\freeplayer\\vlc\\vlc.exe"= TCP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player

"{2A44742B-9961-4CF9-B6CA-84423165D23A}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

"{1D6769FA-86B1-4A80-A435-11997AFA8803}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

"{7A4A45B6-D00E-4FC9-88C2-BC8D963C72B8}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes

"{F961DEE6-E575-448A-92C8-310DAC785D50}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes

"{31E8AC96-A57F-46AC-8842-B90B8CC9CBEF}"= UDP:c:\program files\Microsoft Games\Age of Empires III\age3.exe:Age of Empires III

"{18C8336B-1EC0-48F9-AE82-D6D6720AC783}"= TCP:c:\program files\Microsoft Games\Age of Empires III\age3.exe:Age of Empires III

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]

"EnableFirewall"= 0 (0x0)

R1 IDSvix86;Symantec Intrusion Prevention Driver;\??\c:\progra~2\Symantec\DEFINI~1\SymcData\idsdefs\20081205.001\IDSvix86.sys [2008-12-07 270384]

R2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe -k Cognizance [2008-06-24 21504]

R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe -k Cognizance [2008-06-24 21504]

S2 EraserSvc10824;Symantec Eraser Service;"c:\program files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon [2007-01-10 108648]

S3 SYMNDISV;SYMNDISV;c:\windows\system32\Drivers\SYMNDISV.SYS [2008-10-03 37936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Cognizance REG_MULTI_SZ ASBroker ASChannel

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e051835-aac8-11dd-8241-001b24c46525}]

\shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{851db855-2b0d-11dd-a637-001b24c46525}]

\shell\Auto\command - bittorrent.exe e

\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e

*Newly Created Service* - COMHOST

.

Contenu du dossier 'T‚ches planifiÈes'

2008-11-24 c:\windows\Tasks\Norton Internet Security - Analyse systËme complËte - Christian.job

- c:\program files\Norton Internet Security\Norton AntiVirus\Navw32.exe [2008-12-12 00:46]

2008-12-15 c:\windows\Tasks\User_Feed_Synchronization-{7E15E2E1-0FC3-43E2-B16B-9BCB53F50AD0}.job

- c:\windows\system32\msfeedssync.exe [2008-01-19 08:33]

2008-12-16 c:\windows\Tasks\User_Feed_Synchronization-{B4B0E4F0-2059-4368-B32D-93968FBEE131}.job

- c:\windows\system32\msfeedssync.exe [2008-01-19 08:33]

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-16 17:32:11

Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachÈs ...

Recherche d'ÈlÈments en dÈmarrage automatique cachÈs ...

Recherche de fichiers cachÈs ...

c:\users\CHRIST~1\AppData\Local\Temp\catchme.dll 53248 bytes executable

Scan terminÈ avec succËs

Fichiers cachÈs: 1

**************************************************************************

.

--------------------- DLLs chargÈes dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(760)

c:\program files\Bioscrypt\VeriSoft\bin\ASWLNPkg.dll

c:\program files\Bioscrypt\VeriSoft\bin\ItMsg.dll

- - - - - - - > 'Explorer.exe'(2796)

c:\program files\Bioscrypt\VeriSoft\Bin\ItClient.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\System32\audiodg.exe

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe

c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe

c:\program files\Common Files\LightScribe\LSSrvc.exe

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\program files\HP\QuickPlay\Kernel\TV\CLSched.exe

c:\program files\Bioscrypt\VeriSoft\Bin\asghost.exe

c:\windows\System32\conime.exe

c:\windows\System32\rundll32.exe

c:\windows\System32\wbem\unsecapp.exe

c:\windows\System32\rundll32.exe

c:\windows\ehome\ehmsas.exe

c:\program files\Hewlett-Packard\Shared\HpqToaster.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\Hewlett-Packard\HP Health Check\HPHC_Service.exe

c:\windows\System32\dllhost.exe

.

**************************************************************************

.

Heure de fin: 2008-12-16 18:07:12 - La machine a redÈmarrÈ [Christian]

ComboFix-quarantined-files.txt 2008-12-16 17:07:08

Avant-CF: 34,441,957,376 octets libres

AprËs-CF: 34,304,151,552 octets libres

258 --- E O F --- 2008-12-07 19:58:21

Chris2406 · le 16 décembre 2008

Pour info, le premier scan n'avait pas abouti...

Un des éléments du combofix ne semblait plus marcher (dixit windows, je n'ai pas eu le temps de noter le message d'erreur...)

Je ne sais pas si ceci a pu avoir des conséquences sur certains détails de la restitution ci-dessus...

Thanos · le 16 décembre 2008

re!

Merci @ QC001 pour son intervention

Je ne sais pas si ceci a pu avoir des conséquences sur certains détails de la restitution ci-dessus...

Non, l'outil a bien fonctionné comme en atteste le rapport.

Chris2406, on continue comme ca >>

Un petit scan supplémentaire avec un programme que tu vas pouvoir conserver >>

Télécharge Malwarebytes' Anti-Malware (MBAM)

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complêt"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Modifié le 16 décembre 2008 par Thanos

Chris2406 · le 17 décembre 2008

Merci Thanos encore pour ces instructions.

voici le rapport MBAM :

Malwarebytes' Anti-Malware 1.31

Version de la base de données: 1508

Windows 6.0.6001 Service Pack 1

17/12/2008 02:33:14

mbam-log-2008-12-17 (02-33-14).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)

Eléments examinés: 271457

Temps écoulé: 3 hour(s), 16 minute(s), 36 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

Processus mémoire infecté(s):