[HELP]Infection par usb, invisible à AVG/Avast

[Doupleufé]

Bonjour à tous.

 

Je viens vous embêter pour la première fois parce que suite à un prêt de clé usb, je me suis retrouvé infecté. Jusqu'ici c'est très banal : comme tout mauvais élève je n'avais pas désactivé l'autorun et me suis fait eu . Seulement les antivirus que j'ai testés n'ont rien trouvé (que ce soit panda, freeavg ou avast).

 

Donc je me tourne vers vous en espérant que quelqu'un ait la gentillesse de m'aider à m'en sortir.

 

Pour situer le contexte, voici mes informations système : Windows XP Professionnel, Version 2002, Service Pack 3.

 

Et voilà les symptômes qui m'ont fait tilter :

1. Présence d'un fichier autorun.inf à la racine de ma clé.
   
2. Présence d'un fichier exécutable à la racine de ma clé nommé Sevebomba.exe (lancé par l'autorun, est-il besoin de le préciser ?).
   Donc à ce niveau là, même G.Montagné voit que la situation est mal engagée, et grâce à mon sens de la déduction hyper-développé je me dis "tiens, je suis ba*sé.".
    
   
3. Perte des droits administrateur avec création d'un profil admin auquel je n'ai pas accès.
   
4. Impossible de lancer des scans anti-virus ou dezipper de nouveaux antivirus ou de les installer.
   

Voici ensuite la liste des actions qui m'amènent ici :

• Je redémarre en mode sans échec, me connecte à internet pour lancer un scan à distance avec panda security. Verdict : RAS
  
• Je redémarre normalement : le profil admin a disparu et j'ai retrouvé le contrôle de mon PC (au moins en apparence). Je lance un scan avg, verdict : RAS .
  
• Je désinstalle avg et installe avast. Je lance un scan, verdict : RAS
  
• Craignant pour ma santé mentale je branche une nouvelle clé usb : bim retour de l'autorun.inf et de l'exécutable. Je ne suis pas fou, il y a un script que je ne maîtrise pas qui tourne quelque part.
  Sans être sûr que ce soit lié, je suis depuis la cible d'attaques :
  
• Avast me bloque plusieurs attaques "DCOM Exploit", détecte et supprime en direct deux tentatives de surinfection de mon ordinateur : un csrss.exe et un trzgrb.exe installés et supprimés 7 ou 8 fois en 30 sec (jusqu'à ce que je coupe le wifi...). Ces attaques n'arrêtent pas.
  

A ce moment là le réflexe a été de contenir l'infection chez moi avant d'y voir plus clair : j'avais déjà du mal avec une station de moisie donc hors de question de me battre sur plusieurs ordi.

 

J'ai donc téléchargé, lu et appliqué ce document trouvé sur votre forum (Je remercie au passage mille fois Gof pour son tutoriel ! ).

Antorun désactivé et inhibé, mon pc n'infecte maintenant plus les clés usb que j'y insère.

 

J'ai ensuite téléchargé MBAM, l'ai installé, MAJ et effectué un examen complet. Il m'a trouvé une clé infectée dans le registre, voici son rapport:

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4070

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

 

05/05/2010 21:10:16

mbam-log-2010-05-05 (21-10-16).txt

 

Type d'examen: Examen complet (C:\|R:\|)

Elément(s) analysé(s): 157115

Temps écoulé: 19 minute(s), 13 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Malware.Trace) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

J'ai ensuite dl et lancé HijackThis dont voici le rapport :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:11:11, on 05/05/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\System32\WLTRYSVC.EXE

C:\WINDOWS\System32\bcmwltry.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\WLTRAY.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Wireless Select Switch\WLSS.exe

C:\Program Files\Battery Meter\BTMeter.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Nemo\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Bluetooth Software\BTTray.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Documents and Settings\Nemo\Mes documents\WVA\03 - Install\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [WLSS] C:\Program Files\Wireless Select Switch\WLSS.exe

O4 - HKLM\..\Run: [bTMeter] C:\Program Files\Battery Meter\BTMeter.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Nemo\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Bluetooth Software\bin\btwdins.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

 

--

End of file - 6169 bytes

 

 

Et là je suis bloqué je ne sais pas interpréter un rapport HijackThis. Je vois bien que j'ai une version d'ie toute pourrie (que je n'utilise jamais btw) mais le reste est pour moi du chinois.

 

Quelqu'un serait-il en mesure de me venir en aide ? Par avance merci mille fois !

 

W.

[Apollo]

Bonjour,

 

Ta clé usb était branchée pendant le scan de MBAM?

 

Si vous êtes sous Vista:Désactiver provisoirement l'UAC

 

:arrow: Télécharge USBFix de El Desaparecido et C_XX et enregistre le sur ton bureau.

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Une fenêtre de commandes va s'ouvrir. Appuie sur F puis sur la touche [Entrée] pour choisir la langue du script.
  
• Dans le menu suivant, tape 1 puis [Entrée] pour lancer la recherche.
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• Patiente le temps d'exécution du scan.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

@++

[Doupleufé]

Bonjour Apollo.

 

Merci beaucoup de prendre le temps de m'aider !

 

Très bonne question pour une mauvaise réponse : non je n'avais pas mes clés de branchées. Je l'ai refait avec mes clés et là surprise : ma désactivation, inhibition recommandée par Gof ne me protège plus : en branchant mes clés elles s'infectent d'un nouvel autorun.inf et d'un nouvel exécutable FEJS situé dans un dossier du même nom.

 

Avast a bien réagi et a supprimé les .exe en question. MBAM ne me trouve rien une fois lancé.

 

Je vérifie mes clés de registre que j'ai modifiées suite aux instruction de Gof : tout est ok. Et je me fais quand même infecter mes clés... J'essaierai de lui en parler dans son topic (à chaque topic suffit sa peine).

 

 

Revenons à nos moutons : USBFix. dl et lancé, voici le rapport (il m'a bien trouvé des cochonneries lui)

 

############################## | UsbFix V6.111 |

 

User : Nemo (Administrateurs) # C-SMITH

Update on 03/05/2010 by El Desaparecido , C_XX & Chimay8

Start at: 15:53:50 | 06/05/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contactatgmail.com

 

Intel® Atom CPU N270 @ 1.60GHz

Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3

Internet Explorer 6.0.2900.5512

Windows Firewall Status : Enabled

AV : avast! antivirus 4.8.1368 [VPS 100506-0] 4.8.1368 [ Enabled | Updated ]

 

C:\ -> Disque fixe local # 7,12 Go (574,33 Mo free) [WINXP] # FAT32

D:\ -> Disque CD-ROM

E:\ -> Disque amovible # 1,88 Go (675,69 Mo free) [W**_C****] # FAT

F:\ -> Disque amovible # 1,88 Go (1,88 Go free) [W*_C****] # FAT

G:\ -> Disque amovible # 1,87 Go (1,87 Go free) [W*] # FAT32

R:\ -> Disque fixe local # 383,25 Mo (127,25 Mo free) [RamDisk] # FAT32

 

################## | Elements infectieux |

 

C:\autorun.inf

C:\xcopy.exe

 

################## | Registre |

 

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"

 

################## | Mountpoints2 |

 

HKCU\..\..\Explorer\MountPoints2\C

Shell\AutoRun\command =setup.exe

 

HKCU\..\..\Explorer\MountPoints2\{a2b2ae00-b1a6-11de-a3f0-002170bb4fdf}

Shell\1\Command =D:\Notepad.exe

Shell\2\Command =D:\Notepad.exe

Shell\AutoRun\command =D:\Notepad.exe

 

HKCU\..\..\Explorer\MountPoints2\{a366c924-d5cf-11de-a411-002170bb4fdf}

SHell\AutoRun\command =temp\winsetup.exe

SHell\OPen\COmMand =temp\winsetup.exe

 

################## | Vaccin |

 

 

################## | ! Fin du rapport # UsbFix V6.111 ! |

 

Penses tu que ce soit suffisant pour estimer avoir un ordi propre ?

 

W.

[Apollo]

Re,

 

Non, il faut nettoyer; ne t'en fais pas, USBFix va fixer les autorun et vacciner les supports branchés, il est fait pour

 

On passe à la désinfection:

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Une fenêtre de commandes va s'ouvrir. Appuie sur F puis sur la touche [Entrée] pour choisir la langue du script.
  
• Dans le menu suivant, tape 2 puis [Entrée] pour lancer le nettoyage.
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• USBFix va continuer son exécution. Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. Ne t'inquiète pas, c'est normal. Patiente le temps du nettoyage sans l'interrompre.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

------------------------------------------

Poste un nouveau log Hijackthis après ça stp.

 

@++

[Doupleufé]

Effectivement, j'avais zappé que 1. n'était qu'une recherche et non une "search&destroy".

 

Voilà le log de USBFix après nettoyage.

 

############################## | UsbFix V6.111 |

 

User : Nemo (Administrateurs) # C-SMITH

Update on 03/05/2010 by El Desaparecido , C_XX & Chimay8

Start at: 16:19:42 | 06/05/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contactatgmail.com

 

Intel® Atom CPU N270 @ 1.60GHz

Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3

Internet Explorer 6.0.2900.5512

Windows Firewall Status : Enabled

AV : avast! antivirus 4.8.1368 [VPS 100506-0] 4.8.1368 [ Enabled | Updated ]

 

C:\ -> Disque fixe local # 7,12 Go (543,61 Mo free) [WINXP] # FAT32

D:\ -> Disque CD-ROM

E:\ -> Disque amovible # 1,88 Go (675,72 Mo free) [W**_C****] # FAT

F:\ -> Disque amovible # 1,88 Go (1,88 Go free) [W*_C****] # FAT

G:\ -> Disque amovible # 1,87 Go (1,87 Go free) [W*] # FAT32

R:\ -> Disque fixe local # 383,25 Mo (127,25 Mo free) [RamDisk] # FAT32

 

################## | Elements infectieux |

 

Supprimé ! C:\autorun.inf

Supprimé ! C:\xcopy.exe

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

Supprimé ! HKCU\...\Explorer\MountPoints2\C\Shell\AutoRun\Command

Supprimé ! HKCU\...\Explorer\MountPoints2\{a2b2ae00-b1a6-11de-a3f0-002170bb4fdf}\Shell\1\Command

Supprimé ! HKCU\...\Explorer\MountPoints2\{a366c924-d5cf-11de-a411-002170bb4fdf}\Shell\AutoRun\Command

 

################## | Listing des fichiers présent |

 

[23/04/1999 22:22|-rahs----|222390] C:\IO.SYS

[23/04/1999 22:22|-rahs----|9] C:\MSDOS.SYS

[23/04/1999 22:22|---hs----|93890] C:\COMMAND.COM

[24/01/2009 18:48|--ah-----|78] C:\BOOTLOG.PRV

[27/01/2009 17:48|--ah-----|78] C:\BOOTLOG.TXT

[13/07/2006 03:33|--a------|25783] C:\KEYBRD3.SYS

[13/07/2006 03:33|--a------|10809] C:\KEYB.EXE

[13/07/2006 03:33|--a------|31877] C:\KEYBOARD.SYS

[13/07/2006 03:33|--a------|22929] C:\KEYBRD2.SYS

[23/04/1999 22:22|--a------|63916] C:\FDISK.EXE

[31/05/1994 06:22|--a------|45145] C:\SMARTDRV.EXE

[06/05/1998 20:01|--a------|18967] C:\SYS.COM

[23/01/2009 07:48|--a------|33191] C:\HIMEM.SYS

[23/01/2009 07:48|--a------|16] C:\CONFIG.SYS

[23/01/2009 07:48|--a------|49575] C:\FORMAT.COM

[05/05/2010 10:59|--a------|5319] C:\fraglist.luar

[22/12/2009 17:34|--a------|26116] C:\myNumbers.dat

[13/04/2010 20:04|--ahs----|127803392] C:\pagefile.sys

[06/05/2010 16:22|--a------|2342] C:\UsbFix.txt

[23/01/2009 07:54|---hs----|512] C:\BOOTSECT.DOS

[07/09/2002 03:00|-rahs----|4952] C:\Bootfont.bin

[13/04/2008 12:31|-rahs----|252240] C:\ntldr

[13/04/2008 10:43|-rahs----|47564] C:\NTDETECT.COM

[24/01/2009 18:19|---hs----|238] C:\boot.ini

[24/01/2009 18:32|--a------|0] C:\AUTOEXEC.BAT

[?|?|?] R:\pagefile.sys

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# R:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_C-SMITH.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # UsbFix V6.111 ! |

 

C'est curieux il ne m'a vacciné qu'une seule clé (la E:\) et pas les deux autres... Peut-être un pb de droit en écriture. Je le ferai à la main plus tard : c'est expliqué dans le pdf de Gof (et avec une clé non vaccinée je pourrai tester la 'dangerosité' de mon pc à la fin )

 

Voici le rapport HijackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:26:37, on 06/05/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\System32\WLTRYSVC.EXE

C:\WINDOWS\System32\bcmwltry.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Documents and Settings\Nemo\Mes documents\WVA\03 - Install\HiJackThis.exe

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [WLSS] C:\Program Files\Wireless Select Switch\WLSS.exe

O4 - HKLM\..\Run: [bTMeter] C:\Program Files\Battery Meter\BTMeter.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Nemo\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Bluetooth Software\bin\btwdins.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

 

--

End of file - 5623 bytes

 

... qui est toujours autant explicite pour moi. D'ailleurs existe-t-il un tuto sur le forum qui nous guiderait sur la manière d'interpréter un rapport HijackThis (i.e. identifier les processus légitimes des autres...) ? Ce serait une super ressource !

 

Voilà Apollo, je suis suspendu à ton clavier pour la suite. Encore merci pour ton aide et la découverte de USBFix !

[Apollo]

Re,

 

Pour Hijackthis, il y a ceci: http://www.zebulon.fr/dossiers/56-analyse-...hijackthis.html mais cela demande un peu d'expérience, il vaut toujours mieux demander pour avoir une interprétation en cas de suspicion d'infection.

 

Pour USBFix, si les clés non-vaccinées sont des U3, elles sont protégées en écriture, donc il est normal que l'outil ne puisse écrire dessus.

 

Tu peux bien sûr placer le vaccin de Gof à la racine de ces clés U3 puis de l'exécuter, cela les vaccinera.

Attention! MBAM a tendance à considérer les fichiers "vaccin" comme des malwares étant donné qu'ils portent le même nom que les bestioles...

 

Tu peux désinstaller USBFIX en le lançant puis en choisissant l'option 6.

 

Ton antivirus est Avast.

 

Avast n'est pas sûr en ce moment. Il tarde à mettre à jour sa base virale et laisse passer beaucoup de choses. Résultats: Ton PC est plus vunérable aux nouvelles menaces.

 

Je pense qu'il serait mieux protégé avec Antivir.

 

Antivir est un antivirus gratuit, efficace et léger, maintenant en français, dont les mises à jour sont quotidiennes et les nouvelles menaces sont rapidement intégrées dans sa base virale. (D'où la meilleure protection).

 

 

• Si tu es d'accord pour changer, désinstalle Avast par Ajout/Suppression de programmes
  
• Redémarre le PC pour achever la désinstallation
  
• Télécharge installe et paramètre Antivir comme indiqué sur cette page: Télécharger, installer, configurer Antivir (version française)
  

 

PS: Quand un fichier infecté est détecté par Antivir, une fenêtre semblable à celle-ci s'ouvre:

 

 

Antivir te demande ce qu'il doit faire du fichier infecté.

Choisis Déplacer en quarantaine puis clique sur OK.

 

Tu peux automatiser ce type d'action en cochant une case), comme ci dessous :

 

Cela permet de ne pas rester à la surveiller.

 

Mets-le à jour puis lance une analyse complète.

Poste le rapport obtenu stp.

 

@++

[Doupleufé]

Re Apollo,

 

J'ai donc changé l'antivirus suite à ton conseil. Et voici le résultat de mon scan

 

Avira AntiVir Personal

Date de création du fichier de rapport : jeudi 6 mai 2010 17:04

 

La recherche porte sur 2077639 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : C-SMITH

 

Informations de version :

BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 09:25:48

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 08:21:04

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:12

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 08:21:32

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 05:35:52

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 15:00:06

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 15:00:16

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 15:00:20

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 15:00:24

VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 15:00:32

VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 15:00:32

VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 15:00:32

VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 15:00:32

VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 15:00:32

VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 15:00:32

VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 15:00:32

VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 15:00:32

VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 15:00:32

VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 15:00:32

VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 15:00:32

VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 15:00:34

VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 15:00:34

VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 15:00:34

VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 15:00:34

VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 15:00:36

VBASE021.VDF : 7.10.7.51 118272 Bytes 06/05/2010 15:00:36

VBASE022.VDF : 7.10.7.52 2048 Bytes 06/05/2010 15:00:36

VBASE023.VDF : 7.10.7.53 2048 Bytes 06/05/2010 15:00:36

VBASE024.VDF : 7.10.7.54 2048 Bytes 06/05/2010 15:00:36

VBASE025.VDF : 7.10.7.55 2048 Bytes 06/05/2010 15:00:36

VBASE026.VDF : 7.10.7.56 2048 Bytes 06/05/2010 15:00:36

VBASE027.VDF : 7.10.7.57 2048 Bytes 06/05/2010 15:00:36

VBASE028.VDF : 7.10.7.58 2048 Bytes 06/05/2010 15:00:36

VBASE029.VDF : 7.10.7.59 2048 Bytes 06/05/2010 15:00:36

VBASE030.VDF : 7.10.7.60 2048 Bytes 06/05/2010 15:00:36

VBASE031.VDF : 7.10.7.61 19968 Bytes 06/05/2010 15:00:36

Version du moteur : 8.2.1.236

AEVDF.DLL : 8.1.2.0 106868 Bytes 06/05/2010 15:00:46

AESCRIPT.DLL : 8.1.3.28 1298810 Bytes 06/05/2010 15:00:46

AESCN.DLL : 8.1.5.0 127347 Bytes 06/05/2010 15:00:44

AESBX.DLL : 8.1.3.1 254324 Bytes 06/05/2010 15:00:46

AERDL.DLL : 8.1.4.6 541043 Bytes 06/05/2010 15:00:44

AEPACK.DLL : 8.2.1.1 426358 Bytes 06/05/2010 15:00:42

AEOFFICE.DLL : 8.1.0.41 201083 Bytes 06/05/2010 15:00:42

AEHEUR.DLL : 8.1.1.27 2670967 Bytes 06/05/2010 15:00:42

AEHELP.DLL : 8.1.11.3 242039 Bytes 06/05/2010 15:00:38

AEGEN.DLL : 8.1.3.7 373106 Bytes 06/05/2010 15:00:38

AEEMU.DLL : 8.1.2.0 393588 Bytes 06/05/2010 15:00:38

AECORE.DLL : 8.1.15.1 192886 Bytes 06/05/2010 15:00:36

AEBB.DLL : 8.1.1.0 53618 Bytes 06/05/2010 15:00:36

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:47:32

AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 13:13:32

AVREP.DLL : 8.0.0.7 159784 Bytes 06/05/2010 15:00:46

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 13:24:44

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 13:05:24

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:36:38

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:50

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 06:20:58

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 13:41:00

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 11:44:28

RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 14:58:34

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, R:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Recherche optimisée...........................: marche

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Catégories de dangers divergentes.............: +SPR,

 

Début de la recherche : jeudi 6 mai 2010 17:04

 

La recherche d'objets cachés commence.

'36553' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msiexec.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'BTTray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CTFMON.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'BTMeter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WLSS.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WLTRAY.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'IGFXSRVC.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'IGFXPERS.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'HKCMD.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'EXPLORER.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'StarWindServiceAE.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SPOOLSV.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'bcmwltry.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WLTRYSVC.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'btwdins.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'LSASS.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SERVICES.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'WINLOGON.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'CSRSS.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SMSS.EXE' - '1' module(s) sont contrôlés

'38' processus ont été contrôlés avec '38' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD2

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD3

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'R:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '62' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <WINXP>

C:\WINDOWS\system32\drivers\sptd.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\Install\Perso\Vbs_Developpez\CompressLZW.wsf

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/ADODB.Exploit.Gen

C:\Install\Perso\Vbs_Developpez\vbLinkTool.zip

[0] Type d'archive: ZIP

--> vbLinkTool/Link.exe

[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen

Recherche débutant dans 'R:\' <RamDisk>

R:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

 

Début de la désinfection :

C:\Install\Perso\Vbs_Developpez\CompressLZW.wsf

[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/ADODB.Exploit.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c4fdf63.qua' !

C:\Install\Perso\Vbs_Developpez\vbLinkTool.zip

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c2edf56.qua' !

 

 

Fin de la recherche : jeudi 6 mai 2010 17:23

Temps nécessaire: 18:08 Minute(s)

 

La recherche a été effectuée intégralement

 

4965 Les répertoires ont été contrôlés

228866 Des fichiers ont été contrôlés

2 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

2 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

228862 Fichiers non infectés

2052 Les archives ont été contrôlées

2 Avertissements

3 Consignes

36553 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

 

Le nettoyage a eu lieu, juste C:\WINDOWS\system32\drivers\sptd.sys qui n'a pas pu être ouvert (pour l'autre .sys je peux comprendre).

 

Petite surprise de voir de très anciens fichiers infectés dans le répertoire de l'ancien proprio du PC (i.e. mon père...)

 

Merci pour le lien vers la formation à l'analyse des rapports HijackThis. Ça ne m'empêchera pas de revenir demander de l'aide ici , mais au moins je serai moins dans le brouillard (je n'aime pas ne pas comprendre ce que je fais )

 

Voilà, j'espère être désinfecté, surtout après autant de scan divers et variés. Qu'en dis-tu ?

 

W.

[Apollo]

Re,

 

Ca a l'air tout bon, le pc va bien?

 

Fais ces quelques vérifications de sécurité stp.

 

Installe Explorer 8 , beaucoup plus sécurisé qu'IE6 ou IE7, même si Firefox ou un autre navigateur est utilisé.

 

Après installation d'IE8:

 

Pour éviter des problèmes de compatibilité de certains sites web avec IE8, cliquer sur "Page" (ou outils) au-dessus de la page web puis sur Paramètres d'affichage de compatibilité.

 

Cocher la case "Afficher tous les sites web dans Affichage de compatibilité". Fermer.

 

FAQ IE8

 

Ensuite, poste un nouveau log Hijackthis pour une dernière vérification.

 

@++

Modifié le 6 mai 2010 par Apollo

[Doupleufé]

Re Apollo,

 

Le PC ne va pas très bien en fait (pas taper !)... J'ai suivi tes instructions, notamment la MAJ adobe reader, java et ie.

 

J'ai installé Adobe Reader 9 sans problème. Par contre il télécharge une mise à jour mais n'arrive pas à l'installer, erreur 1500... La réparation ne fonctionne pas non plus.

 

J'ai MAJ java et supprimé les versions les plus anciennes, là pas de soucis.

 

J'ai dl ie8. Il me demande (à juste titre) d'installer la version netbook. L'installation commence, premier écran m'indiquant le téléchargement des données en cours et... l'écran s'éteint. Plus rien. L'installation rate.

 

Ce qui s'ajoute à quelques autres soucis : j'ai fait une MAJ w$ aussi. Et je n'arrive tjrs pas à installer la MAJ KB956744, même manuellement (j'ai dl le .exe chez M$ mais rien n'y fait). C'était un soucis ancien, et qui n'est pas réglé.

 

Ce qui a bien fonctionné : mes clés témoins (i.e. non vaccinées) ne s'infectent pas lorsque je les insère. C'était la raison principale de ce threat, c'est déjà une victoire. Les soucis mentionnés précédemment doivent être des instabilités système (enfin j'espère, c'est toi l'expert ) : ce sont tous des arrêts simples de procédures en cours (ce qui est curieux, je l'admets bien volontiers)

 

Voilà mon rapport HJT :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:29:21, on 06/05/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\System32\WLTRYSVC.EXE

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\WLTRAY.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Wireless Select Switch\WLSS.exe

C:\Program Files\Battery Meter\BTMeter.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Nemo\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Bluetooth Software\BTTray.exe

C:\WINDOWS\system32\msiexec.exe

C:\Documents and Settings\Nemo\Mes documents\W\03 - Install\HiJackThis.exe

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [WLSS] C:\Program Files\Wireless Select Switch\WLSS.exe

O4 - HKLM\..\Run: [bTMeter] C:\Program Files\Battery Meter\BTMeter.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Nemo\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Bluetooth Software\bin\btwdins.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

 

--

End of file - 6039 bytes

 

Suis je bon pour te laisser tranquille ? Merci vraiment énormément pour ta patience et ton aide !

 

W.

 

P.S. : juste en passant. Tu conseillais d'installer Adobe Reader (dernière version), mais vu ce qu'arrive à faire un Didier Stevens (et ce n'est pas le seul), tu n'aurais pas de lecteurs pdf moins vulnérables à conseiller (apparemment pas foxit reader déjà...) ?

[Apollo]

Oui tu peux éventuellement remplacer Adobe Reader par Foxit Reader MAIS tu dois faire très attention d'éviter d'installer les toolbars et moteur de recherche!

 

Si par malheur, Ask Toolbar s'installait quand-même, tu devrais revenir pour désinfecter cette saloperie. (il y a deux cases à décocher pour l'éviter.

 

Pour tes mises à jour, je ne vois pas trop mais normalement, Explorer 8 doit s'installer via Microsoft Update par les mises à jour prioritaires.

 

Si tu rencontres des problèmes avec windows Update (ou Microsoft Update) tu peux utiliser ce qui suit pour éventuellement réparer:

 

Télécharge Dial-a-fix-v0.60.0.24 => http://djlizard.net/software/Dial-a-fix-v0.60.0.24.zip

Enregistre-le sur ton Bureau.

Décompresse le puis double-clique sur le dossier " Dial-a-fix" qui vient d'être créé puis sur le fichier "Dial-a-fix.exe".

Une fenêtre indique que des problèmes ont été détectés, referme-la.

Dans la fenêtre principale, coche Fix windows update et les trois croix en dessous.

Clique ensuite sur "GO" et laisse le logiciel travailler.

Chaque action en cours est soulignée et une fois terminée elle se décoche automatiquement.

Clique enfin sur le bouton "Flush SoftwareDistribution"

 

Une fois la réparation terminée, ferme la fenêtre et fais redémarrer ton ordinateur.

 

@++