[Résolu] PC brutalement éteint : infecté !

[Thanos]

re!

 

Non ce n'est pas normal que le scan soit aussi long! effectivement ca ne dure pas plus de 10 mn habituellement.

Si le programme est toujours en train de scanner, tu vas retenter stp, mais en mode sans échec comme ceci >>

 

Redémarre le PC, impérativement en mode sans échec.

• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement.
  
• Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.
  
• Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].
  
• Clique sur le bouton Oui à l'apparition du message.
  
• Choisis ton compte usuel, et non Administrateur.
  

Relance ComboFix puis poste le rapport lorsque le pc aura redémarré. Si tu ne vois pas le rapport, tu le trouveras dans le répertoire C:\ et il se nomme ComboFix.txt

[Sophie123]

Si je parviens à la page pour sélectionner le mode sans échec, ça va tellement vite dans le processus du déroulement de Windows que je n'ai pas le temps de cliquer sur quoi que ce soit. Il se lance exactement comme d'habitude.

 

Que faire ?

 

Passer par msconfig pour le mettre dans ce mode plus simplement ?

[Thanos]

Sophie: je viens de voir qu'il y avait eu un problème avec ComboFix, et que le fichier proposé au téléchargement posait problème. Je vais donc te demander de supprimer la copie présente sur ton pc (le fichier téléchargé sur le Bureau), ainsi que le dossier nommé Qoobox qui se trouve dans le répertoire C:\

Télécharge le fichier de nouveau (en oubliant pas de renommer le fichier d'abord) puis fais le scan en Mode normal et pas en sans échec.

Passer par msconfig pour le mettre dans ce mode plus simplement ?

Je te déconseille fortement de passer par msconfig pour forcer le démarrage en mode sans échec, la raison est la suivante: certaines infections détruisent le mode sans échec et si tu forces le démarrage en sans échec, tu te retrouverais avec un Windows bloqué qui redémarrerait en boucle! (étant donné que ce mode est inaccessible)

Modifié le 19 janvier 2010 par Thanos

[Sophie123]

Bonjour Thanos,

 

J'ai réinstallé ComboFix comme conseillé, mais il scanne toujours depuis midi... Il ne semble pas bloqué car le curseur fonctionne. La fenêtre bleue est ouverte normalement. Le même message qu'hier indiquant que le temps d'analyse en cas d'infection sévère de la machine peut facilement doubler.

 

Je laisse tourner ou tu préfères qu'on agisse autrement ?

[Thanos]

Ok on laisse tomber ComboFix!

On va procéder ainsi >>

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

 

Télécharge OTM par OldTimer et enregistre ce fichier sur le Bureau.

• Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :first
  
  :processes
  explorer.exe
  
  :services
  KGootkit
  pbnrq
  
  :files
  C:\WINDOWS\System32\drivers\KGootkit.sys
  C:\WINDOWS\system32\drivers\eowxqytdpjrhvrv.sys
  H:\ntldr.exe
  H:\autorun.inf
  C:\ekfq.exe
  C:\qrig.exe
  C:\lshgrioa.exe
  C:\lqyedbfe.exe
  C:\bcgft.exe
  
  :reg
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "Alcmtr"=-
  "NWEReboot"=-
  "DXDllRegExe"=-
  "KernelFaultCheck"=-
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33b8ef8a-c972-11de-ade7-001cc08ee1c6}]
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{601632e2-c970-11de-ade6-001cc08ee1c6}]
  
  :commands
  [emptytemp]
  [start explorer]

  
  

• Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée puis choisis Coller.
  
• Clique sur le bouton rouge
  
• Ferme OTM
  
• Poste dans ta prochaine réponse le rapport de OTM (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Modifié le 20 janvier 2010 par Thanos

[Sophie123]

Bonjour,

 

Merci pour ta réponse. Voici le rapport généré :

 

All processes killed

Error: Unable to interpret <:first> in the current context!

========== PROCESSES ==========

No active process named explorer.exe was found!

========== SERVICES/DRIVERS ==========

Error: Unable to stop service KGootkit!

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KGootkit deleted successfully.

Service pbnrq stopped successfully!

Service pbnrq deleted successfully!

========== FILES ==========

File/Folder C:\WINDOWS\System32\drivers\KGootkit.sys not found.

C:\WINDOWS\system32\drivers\eowxqytdpjrhvrv.sys moved successfully.

File/Folder H:\ntldr.exe not found.

File/Folder H:\autorun.inf not found.

C:\ekfq.exe moved successfully.

C:\qrig.exe moved successfully.

C:\lshgrioa.exe moved successfully.

C:\lqyedbfe.exe moved successfully.

C:\bcgft.exe moved successfully.

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Alcmtr deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NWEReboot deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DXDllRegExe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33b8ef8a-c972-11de-ade7-001cc08ee1c6}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33b8ef8a-c972-11de-ade7-001cc08ee1c6}\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{601632e2-c970-11de-ade6-001cc08ee1c6}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{601632e2-c970-11de-ade6-001cc08ee1c6}\ not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 65984 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Sophie

->Temp folder emptied: 36672837 bytes

->Temporary Internet Files folder emptied: 69784590 bytes

->Java cache emptied: 25791749 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2114937 bytes

%systemroot%\System32 .tmp files removed: 2933248 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 2845538 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 134,00 mb

 

 

OTM by OldTimer - Version 3.1.6.0 log created on 01212010_100237

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

[Thanos]

salut Sophie

 

Bien OTM a réussi à nettoyer

 

Je vais te demander de refaire un scan avec RSIT stp et de me poster le rapport (pour vérifier si les fichiers infectés ne sont pas revenus).

De plus, j'aimerai que tu m'expédie un fichier stp >>

• Fais un clic droit sur le dossier C:\_OTM
  
• Dans la liste qui se déroule, choisis > Envoyer vers > Dossier compressé
  
• Un fichier nommé _OTM.zip doit apparaitre dans le même répertoire (C:\)
  
• Rend toi ensuite sur cette page > http://senduit.com/
  
• Clique sur le bouton "Parcourir": une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\_OTM.zip
  
• Clique maintenant sur "ouvrir" en bas de la fenêtre.
  
• De retour sur la page du site, clique sur la flêche à droite de "Expire in" et sélectionne 1 day
  
• Clique enfin sur le bouton Upload.
  
• Le lien d'upload va s'afficher en bas de page: envoie le moi par MP stp
  

[Sophie123]

Voici le rapport RSIT. Internet Explorer et Outlook Express, tout comme Word ne fonctionnent pas. C'est peut-être normal au stade où nous en sommes ?

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by Sophie at 2010-01-21 12:45:34

Microsoft Windows XP Professionnel Service Pack 2

System drive C: has 2 GB (6%) free of 40 GB

Total RAM: 1014 MB (60% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:45:43, on 21/01/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE

C:\Documents and Settings\Sophie\Bureau\RSIT.exe

C:\Documents and Settings\Sophie\Bureau\Sophie.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

--

End of file - 6491 bytes

 

======Scheduled tasks folder======

 

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

C:\WINDOWS\tasks\WGASetup.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

Aide pour le lien d'Adobe PDF Reader - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]

Groove GFS Browser Helper - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-12-10 41760]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-12-10 73728]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2008-04-17 141848]

"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2008-04-17 166424]

"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2008-04-17 137752]

"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-04-17 16859648]

"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

"GrooveMonitor"=C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]

"ShStatEXE"=C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE [2004-09-22 94208]

"McAfeeUpdaterUI"=C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe [2004-08-06 139320]

"Network Associates Error Reporting Service"=C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe [2003-10-07 147514]

"HP Software Update"=C:\Program Files\HP\HP Software Update\HPWuSchd.exe [2003-06-25 49152]

"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-12-10 149280]

"QuickTime Task"=C:\Program Files\QuickTime\qttask.exe [2009-11-10 417792]

"iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2009-11-12 141600]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe [2005-11-24 94208]

"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2004-08-04 1667584]

"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-03 15360]

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]

C:\WINDOWS\system32\igfxdev.dll [2008-04-17 208896]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=323

"NoDriveAutoRun"=67108863

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"HonorAutoRunSetting"=

"NoDriveAutoRun"=

"NoDriveTypeAutoRun"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"

"C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

"C:\Program Files\Microsoft Office\Office12\GROOVE.EXE"="C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"

"C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"="C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"

"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"

"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"

"C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

 

======List of files/folders created in the last 1 months======

 

2010-01-21 10:02:37 ----D---- C:\_OTM

2010-01-20 11:48:32 ----SD---- C:\sophie.exe

2010-01-20 11:46:34 ----D---- C:\Qoobox

2010-01-19 15:11:53 ----A---- C:\Boot.bak

2010-01-19 15:11:43 ----RASHD---- C:\cmdcons

2010-01-19 15:09:00 ----A---- C:\WINDOWS\zip.exe

2010-01-19 15:09:00 ----A---- C:\WINDOWS\SWXCACLS.exe

2010-01-19 15:09:00 ----A---- C:\WINDOWS\SWSC.exe

2010-01-19 15:09:00 ----A---- C:\WINDOWS\SWREG.exe

2010-01-19 15:09:00 ----A---- C:\WINDOWS\sed.exe

2010-01-19 15:09:00 ----A---- C:\WINDOWS\PEV.exe

2010-01-19 15:09:00 ----A---- C:\WINDOWS\NIRCMD.exe

2010-01-19 15:09:00 ----A---- C:\WINDOWS\MBR.exe

2010-01-19 15:09:00 ----A---- C:\WINDOWS\grep.exe

2010-01-19 15:08:44 ----D---- C:\WINDOWS\ERDNT

2010-01-18 22:52:07 ----D---- C:\rsit

2010-01-18 22:07:17 ----D---- C:\WINDOWS\Minidump

2010-01-13 21:38:37 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$

2010-01-13 21:38:25 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$

2010-01-12 23:08:52 ----D---- C:\Program Files\Guitar Pro 5

2010-01-12 15:35:06 ----A---- C:\Documents and Settings\Sophie\Application Data\temp3159.txt

2010-01-09 19:22:14 ----A---- C:\Documents and Settings\Sophie\Application Data\temp20425.txt

2010-01-09 15:45:49 ----D---- C:\Documents and Settings\Sophie\Application Data\dvdcss

2010-01-09 11:07:29 ----A---- C:\Documents and Settings\Sophie\Application Data\temp21790.txt

2010-01-09 11:06:52 ----A---- C:\Documents and Settings\Sophie\Application Data\temp21669.txt

2010-01-08 17:44:01 ----D---- C:\Program Files\CDisplay

2010-01-08 17:04:19 ----D---- C:\Documents and Settings\Sophie\Application Data\JivaroPref

2010-01-04 22:32:51 ----HDC---- C:\WINDOWS\$NtUninstallKB941569$

2010-01-04 22:32:22 ----HDC---- C:\WINDOWS\$NtUninstallKB929399$

2010-01-04 22:31:55 ----HDC---- C:\WINDOWS\$NtUninstallKB939683$

2010-01-04 22:31:05 ----HDC---- C:\WINDOWS\$NtUninstallKB954154_WM11$

2010-01-03 18:31:31 ----D---- C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage

2010-01-03 18:25:42 ----HDC---- C:\WINDOWS\$NtUninstallKB926239$

2010-01-03 18:25:23 ----N---- C:\WINDOWS\system32\spmsg.dll

2010-01-03 18:25:21 ----HDC---- C:\WINDOWS\$NtUninstallMSCompPackV1$

2010-01-03 18:25:11 ----A---- C:\WINDOWS\system32\wmpns.dll

2010-01-03 18:25:00 ----D---- C:\Program Files\Windows Media Connect 2

2010-01-03 18:24:47 ----HDC---- C:\WINDOWS\$NtUninstallwmp11$

2010-01-03 18:24:15 ----D---- C:\c7f5d1a7da81cdd19ff1668506c4404a

2010-01-03 18:23:51 ----HDC---- C:\WINDOWS\$NtUninstallWMFDist11$

2010-01-03 18:23:13 ----D---- C:\WINDOWS\system32\LogFiles

2010-01-03 18:23:07 ----HDC---- C:\WINDOWS\$NtUninstallWudf01000$

2009-12-28 18:33:25 ----HDC---- C:\WINDOWS\$NtUninstallKB932823-v3$

2009-12-26 12:37:49 ----D---- C:\Documents and Settings\Sophie\Application Data\Apple Computer

2009-12-26 12:37:21 ----A---- C:\WINDOWS\system32\GEARAspi.dll

2009-12-26 12:36:06 ----D---- C:\Program Files\iPod

2009-12-26 12:35:56 ----D---- C:\Program Files\iTunes

2009-12-26 12:35:56 ----D---- C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}

2009-12-26 12:35:18 ----D---- C:\Program Files\Bonjour

2009-12-26 12:34:22 ----D---- C:\Program Files\QuickTime

2009-12-26 12:34:18 ----D---- C:\Documents and Settings\All Users\Application Data\Apple Computer

2009-12-26 12:33:50 ----D---- C:\Program Files\Apple Software Update

2009-12-26 12:32:18 ----D---- C:\Program Files\Fichiers communs\Apple

2009-12-26 12:32:18 ----D---- C:\Documents and Settings\All Users\Application Data\Apple

 

======List of files/folders modified in the last 1 months======

 

2010-01-21 12:45:43 ----D---- C:\WINDOWS\Prefetch

2010-01-21 10:20:43 ----D---- C:\WINDOWS\Temp

2010-01-21 10:15:35 ----D---- C:\WINDOWS

2010-01-21 10:14:22 ----A---- C:\WINDOWS\SchedLgU.Txt

2010-01-21 10:05:14 ----D---- C:\WINDOWS\system32

2010-01-21 10:02:39 ----D---- C:\WINDOWS\system32\drivers

2010-01-20 11:49:39 ----D---- C:\WINDOWS\system32\CatRoot2

2010-01-19 15:11:54 ----RASH---- C:\boot.ini

2010-01-19 06:05:26 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$

2010-01-18 23:09:40 ----RSHDC---- C:\WINDOWS\system32\dllcache

2010-01-18 22:08:33 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

2010-01-18 20:54:28 ----D---- C:\Documents and Settings\Sophie\Application Data\GrabIt

2010-01-17 12:13:46 ----A---- C:\WINDOWS\NeroDigital.ini

2010-01-14 08:25:41 ----D---- C:\WINDOWS\AppPatch

2010-01-13 21:38:43 ----HD---- C:\WINDOWS\inf

2010-01-13 21:38:36 ----HD---- C:\WINDOWS\$hf_mig$

2010-01-13 21:38:32 ----A---- C:\WINDOWS\imsins.BAK

2010-01-13 18:31:12 ----D---- C:\Documents and Settings\Sophie\Application Data\vlc

2010-01-12 23:29:39 ----RSD---- C:\WINDOWS\Fonts

2010-01-12 23:08:52 ----RD---- C:\Program Files

2010-01-05 01:17:46 ----A---- C:\WINDOWS\system32\MRT.exe

2010-01-03 19:51:21 ----D---- C:\WINDOWS\system32\CatRoot

2010-01-03 18:25:12 ----A---- C:\WINDOWS\win.ini

2010-01-03 18:24:59 ----D---- C:\Program Files\Windows Media Player

2010-01-03 18:24:56 ----D---- C:\WINDOWS\Help

2009-12-26 12:37:54 ----SHD---- C:\WINDOWS\Installer

2009-12-26 12:37:21 ----DC---- C:\WINDOWS\system32\DRVSTORE

2009-12-26 12:33:55 ----SD---- C:\WINDOWS\Tasks

2009-12-26 12:33:16 ----D---- C:\WINDOWS\WinSxS

2009-12-26 12:32:18 ----D---- C:\Program Files\Fichiers communs

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 AFS2K;AFS2k; C:\WINDOWS\system32\drivers\AFS2K.sys [2009-11-15 43488]

R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-03 40320]

R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-03 14848]

R1 NaiAvTdi1;NaiAvTdi1; C:\WINDOWS\system32\drivers\mvstdi5x.sys [2004-09-22 58048]

R3 EntDrv51;EntDrv51; \??\C:\WINDOWS\system32\drivers\EntDrv51.sys []

R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600]

R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]

R3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-28 9600]

R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2008-04-17 5854752]

R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-04-17 4652544]

R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-28 12288]

R3 NaiAvFilter1;NaiAvFilter1; C:\WINDOWS\system32\drivers\naiavf5x.sys [2004-09-22 108256]

R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-04-17 105856]

R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]

R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]

R3 usbhub;Pilote de concentrateur standard USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]

R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]

S1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys []

S1 InCDRm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys []

S3 catchme;catchme; \??\C:\DOCUME~1\Sophie\LOCALS~1\Temp\catchme.sys []

S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2003-08-11 51056]

S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2003-08-11 16496]

S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2003-08-11 21488]

S3 usbaudio;Pilote USB audio (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]

S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]

S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]

S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

S4 InCDFs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys []

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-08-28 144672]

R2 Bonjour Service;Service Bonjour; C:\Program Files\Bonjour\mDNSResponder.exe [2008-12-12 238888]

R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-12-10 153376]

R2 McAfeeFramework;McAfee Framework Service; C:\Program Files\Network Associates\Common Framework\FrameworkService.exe [2004-08-06 102463]

R2 McShield;Network Associates McShield; C:\Program Files\Network Associates\VirusScan\Mcshield.exe [2004-09-22 221191]

R2 McTaskManager;Network Associates Task Manager; C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe [2004-09-22 28672]

R3 iPod Service;Service de l’iPod; C:\Program Files\iPod\bin\iPodService.exe [2009-11-12 545568]

S3 aspnet_state;Service d'état ASP.NET; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]

S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]

S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]

S3 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]

S3 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2003-08-11 65795]

S3 usnsvc;Service Messenger Sharing USN Journal Reader; C:\WINDOWS\system32\svchost.exe [2004-08-03 14336]

S3 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]

S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-03 14336]

 

-----------------EOF-----------------

[Thanos]

re!

 

Ok je ne vois plus de fichiers infectieux

 

Voici le rapport RSIT. Internet Explorer et Outlook Express, tout comme Word ne fonctionnent pas. C'est peut-être normal au stade où nous en sommes ?

Pöur Internet Explorer...c'est pas grave (je plaisante!). Il y a mieux et plus sécurisé: FireFox.

Ceci dit, je comprends que tu puisses préférer Internet Explorer. Le problème, c'est que c'est une vieille version qui n'est pas du tout à jour et qui présente de grosses failles au niveau sécurité.

Ta version de Windows est elle une version légale (je vuex dire pas une copie) ? question importante car des mises à jour importantes sont nécéssaires sur le pc.

[Sophie123]

A la base c'est une version légale. D'ailleurs, tu as pu noter les différentes mises à jour faites.

 

Comment faire pour tout récupérer ? Relancer ComboFix pour avoir une console de récupération ?