[Résolu] Plus de démarrage en MSE

[Borman]

Bonjour,

Bagle à fait son oeuvre...

Votre tuto me dit de modfier mon boot.ini come suit :

 

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP sans echec" /noexecute=optin /fastdetect /safeboot

 

A cette heure voici le mien :

[boot loader]

timeout=3

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

C:\CMDCONS\BOOTSECT.DAT="Console de r‚cup‚ration Microsoft Windows XP" /cmdcons

 

dois-je donc le modifier comme celà ?

[boot loader]

timeout=3

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP sans echec" /noexecute=optin /fastdetect /safebootC:\CMDCONS\BOOTSECT.DAT="Console de r‚cup‚ration Microsoft Windows XP" /cmdcons

Modifié le 1 avril 2009 par Borman

[Gof]

Bonjour Borman

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

 

Tout d'abord, corriger le boot.ini pour rajouter le choix du mode sans échec ne le restaurera pas. L'entrée dans le boot.ini n'est qu'une sorte de raccourci qui s'affichera au démarrage du PC. Ce sont les clés dans la Base de Registre qui ont été neutralisées par l'infection. De plus, si l'infection est encore active, il ne sera pas possible de le rétablir. Tu évoques un tuto ; de quel tuto s'agit il ? Peux tu m'en copier-coller le lien ?

 

Je vais te demander comment tu as traité l'infection (si c'est sur un autre forum, indique moi le lien), avec quels outils, etc.

[Borman]

Bonsoir Gof et merci de ta réponse.

 

C'est vrai que Comment participer au forum est bien utile... même si je ne maîtrise pas tout !

 

Tu évoques un tuto ; de quel tuto s'agit il ? Peux tu m'en copier-coller le lien ?[

Le voici :

http://forum.zebulon.fr/-t107215.html&...st&p=846547

 

Je vais te demander comment tu as traité l'infection (si c'est sur un autre forum, indique moi le lien), avec quels outils, etc.

Marrant ça. En effet j'ai orienté sur Zebulon par PC Entraide qui plébiscite votre site... Retour de l'ascenceur :

http://www.pcentraide.com/index.php?s=&amp...st&p=524790

[Gof]

Bonsoir

 

Pas facile de suivre ta désinfection, les rapports ont été supprimés au fur et à mesure. Je vais basculer ton sujet dans la partie "Analyses et désinfections". Nous allons continuer là-bas.

 

 

Télécharge Combofix depuis l'un des liens ci-dessous. Tu dois le renommer avant de l'enregistrer. Enregistre-le sur ton Bureau.

 

Lien 1

Lien 2

Lien 3

 

 

 

--------------------------------------------------------------------

 

Fais un double clic sur Combo-Fix.exe & suis les invites.

• Lorsque l'outil aura terminé, il affichera un rapport.
  
• Envoye le contenu de C:\ComboFix.txt .
  

[Borman]

Bonjour Gof,

 

voici le log de combifix après avoir déconnecté internet et désactivé Avast :

 

ComboFix 09-03-31.02 - # Francky 2009-04-01 10:25:46.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.894.507 [GMT 1:00]

Lancé depuis: c:\documents and settings\# Francky\Bureau\ComboFix1.exe

AV: avast! antivirus 4.8.1169 [VPS 090331-0] *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

.

ADS - system32: deleted 0 bytes in 1 streams.

ADS - WINDOWS: deleted 0 bytes in 1 streams.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-01 au 2009-04-01 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-30 21:41 . 2009-03-30 21:41 <REP> d-------- c:\documents and settings\# Francky\Application Data\VSRevoGroup

2009-03-30 21:28 . 2009-03-30 21:28 <REP> d-------- c:\program files\VS Revo Group

2009-03-29 18:47 . 2009-03-29 19:20 <REP> d-------- c:\documents and settings\# Francky\DoctorWeb

2009-03-28 20:08 . 2009-03-28 20:09 <REP> d-------- C:\Rooter$

2009-03-27 21:26 . 2009-03-27 21:26 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-03-27 21:26 . 2009-03-27 21:26 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-27 21:26 . 2009-03-27 21:26 <REP> d-------- c:\documents and settings\# Francky\Application Data\Malwarebytes

2009-03-27 21:26 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-27 21:26 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-03-27 08:09 . 2009-03-31 21:44 <REP> d-------- c:\documents and settings\# Francky\Recent

2009-03-27 08:09 . 2009-03-27 08:09 108,473,770 --a------ C:\Sauv.reg

2009-03-25 19:32 . 2009-04-01 10:47 4,159,520 --ahs---- c:\windows\system32\drivers\fidbox.dat

2009-03-25 19:32 . 2009-04-01 10:29 49,772 --ahs---- c:\windows\system32\drivers\fidbox.idx

2009-03-25 19:26 . 2009-03-25 19:43 <REP> d-------- c:\windows\system32\ZoneLabs

2009-03-25 19:25 . 2009-03-25 19:43 <REP> d-------- c:\windows\Internet Logs

2009-03-25 11:22 . 2009-03-27 08:09 <REP> d-------- c:\program files\Trend Micro

2009-03-24 01:14 . 2009-03-24 01:14 <REP> d-------- c:\documents and settings\All Users\Application Data\McAfee

2009-03-06 10:07 . 2009-03-22 11:06 <REP> d-------- c:\program files\SFR

2009-03-06 10:04 . 2009-01-09 20:19 1,089,883 -----c--- c:\windows\system32\dllcache\ntprint.cat

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-31 23:28 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater

2009-03-30 21:14 --------- d-----w c:\program files\NOS

2009-03-30 21:14 --------- d-----w c:\documents and settings\All Users\Application Data\NOS

2009-03-30 21:03 --------- d-----w c:\program files\Fichiers communs\Adobe

2009-03-27 20:29 --------- d-----w c:\documents and settings\# Francky\Application Data\U3

2009-03-22 22:53 --------- d-----w c:\program files\ma-config.com

2009-03-22 22:53 --------- d-----w c:\documents and settings\All Users\Application Data\ma-config.com

2009-03-11 21:30 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-03-06 22:34 --------- d-----w c:\program files\Microsoft Silverlight

2009-02-12 18:29 --------- d-----w c:\documents and settings\LocalService\Application Data\agi

2009-02-05 08:36 --------- d-----w c:\documents and settings\# Francky\Application Data\AdobeUM

2009-01-05 12:38 81,920 -c----r c:\windows\bwUnin-6.1.4.68-8876480L.exe

2009-01-04 23:01 319,488 -c--a-w c:\windows\HideWin.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="c:\progra~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [2008-12-02 3882312]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"Neuf Media Center"="c:\program files\SFR\Media Center\MediaCenter.exe" [2008-10-10 726336]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 79224]

"PCMService"="c:\apps\Powercinema\PCMService.exe" [2004-10-08 81920]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-02 13680640]

"snpstd"="c:\windows\vsnpstd.exe" [2003-12-31 40960]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk

backup=c:\windows\pss\Outil de mise à jour Google.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]

--a------ 2004-08-12 21:10 339968 c:\ati technologies\ATI Control Panel\atiptaxx.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a--c--- 2004-09-13 15:49 49152 c:\program files\HP\HP Software Update\hpwuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]

--a--c--- 2005-06-08 14:44 196608 c:\program files\Logitech\Video\ManifestEngine.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]

--a--c--- 2005-06-08 15:24 458752 c:\program files\Logitech\Video\ISStart.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]

--a--c--- 2005-06-08 15:14 217088 c:\program files\Logitech\Video\LogiTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]

--a------ 2004-10-08 03:14 81920 c:\apps\Powercinema\PCMService.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2004-12-07 12:18 98304 c:\program files\QuickTime\qttask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2008-12-17 13:59 68856 c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]

--a--c--- 2008-12-09 11:12 234856 c:\program files\TomTom HOME 2\HOMERunner.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

-r---c--- 2007-08-03 06:22 1826816 c:\windows\SkyTel.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"ATI Smart"=2 (0x2)

"AOL ACS"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\CounterPath\\X-Lite\\x-lite.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\program files\SFR\Media Center\httpd\httpd.exe"= c:\program files\SFR\Media Center\httpd\httpd.exe:172.16.255.0/255.255.255.0,192.168.1.0/255.255.255.0:Enabled:Serveur de partage Media Center (Player SFR)

 

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-05 75856]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-05 20560]

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2008-12-20 55136]

R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2008-12-04 226640]

S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [2008-12-08 533344]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-03-15 216232]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]

\Shell\AutoRun\command - J:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f616f084-ed43-11dc-a269-00038a000015}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe uc.vbs

.

Contenu du dossier 'Tâches planifiées'

 

2009-04-01 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-23 15:19]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre1.6.0_03\bin\jusched.exe

HKLM-Run-Raccourci vers la page des propriétés de High Definition Audio - HDAudPropShortcut.exe

MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Fichiers communs\Nero\Lib\NMBgMonitor.exe

MSConfigStartUp-NBKeyScan - c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

MSConfigStartUp-NeroFilterCheck - c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe

 

 

.

------- Examen supplémentaire -------

.

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mStart Page = hxxp://www.ustart.org

uInternet Settings,ProxyOverride = localhost

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} - hxxp://www.facebook.com/controls/contactx.dll

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-01 10:47:07

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MysqlInventime]

"ImagePath"="c:\mysql\bin\mysqld-nt MysqlInventime"

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\HPZipm12.exe

c:\program files\Alwil Software\Avast4\ashDisp.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2009-04-01 10:51:20 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-04-01 09:51:16

 

Avant-CF: 133 126 283 264 octets libres

Après-CF: 133,081,210,880 octets libres

 

Current=1 Default=1 Failed=0 LastKnownGood=6 Sets=1,2,3,4,5,6

169 --- E O F --- 2009-04-01 02:00:19

[Gof]

Bonjour

 

Ok, très bien. On poursuit :

 

Télécharge SystemLook de jpshortstuff sur ton Bureau.

• Double-clique dessus afin de l'exécuter.
  
• L'outil va s'ouvrir.
  
• Assure toi que tes périphériques amovibles soient branchés, et allumés si nécessaire.
  
• Copie-colle ce qui suit (en rouge dans mon post) dans la fenêtre de saisie de l'outil :
  

• • :filefind
    uc.vbs
    :contents
    c:\windows\system32\uc.vbs
    
    

• Puis, clique sur Look
  
• L'outil va travailler, et va ouvrir le Bloc-Notes contenant son rapport
  
• Poste le contenu complet du rapport à la suite
  

[Borman]

Voilà Gof.

Le rapport... (short non ?)

 

SystemLook v1.0 by jpshortstuff (02.03.09)

Log created at 13:12 on 01/04/2009 by # Francky (Administrator - Elevation successful)

 

========== filefind ==========

 

Searching for "uc.vbs"

No files found.

 

========== contents ==========

 

c:\windows\system32\uc.vbs - Unable to open file.

 

-=End Of File=-

[Gof]

Bien.

 

Télécharge del.reg sur ton bureau.

Il doit avoir cette icône :

Double-clique pour l'exécuter, accepte la fusion.

Supprime ensuite le fichier.

 

Télécharge safeboot.bat sur ton bureau.

Il doit avoir cette icône :

Double-clique pour l'exécuter, un rapport va s'ouvrir, sauvegarde le sur ton bureau.

 

Rends toi sur ce lien : http://dl.free.fr/.

• Clique sur Parcourir.
  
• Une fenêtre va s'ouvrir, pointe jusque sur le fichier du rapport sur ton bureau et clique sur Ouvrir
  
• Ne mets pas de mots de passe
  
• Puis clique sur Envoyer
  
• Ca va travailler quelques instants
  
• Fais moi parvenir en message privé, via mon profil dans le forum le lien se trouvant à côté de cette indication : Le fichier sera accessible à l'adresse suivante:.
  
• Et le lien suivant, se trouvant sous cette indication : Vous pouvez supprimer le fichier lorsque vous le désirez via l'adresse suivante: .
  

[Borman]

C'est fait... à plus.

[Gof]

Essaie de démarrer en mode sans échec, et dis moi ce qu'il en est.

 

Pour rappel :

 

-Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].