Infection SE2010 et wwwzuc32 puis barre de taches et menu demarrer blo

[toto126]

Bonsoir,

 

Désolée pour l'erreur de frappe: j'ai bien fait le test sur badf.sys.

 

Quant à l'autre fichier, vous le mentionnez juste dans votre message précédent...au milieu des explications sur badf.sys...

 

 

Est ce que combofix vous dit quelque chose qui pourrait vous mettre sur la piste?

[pear]

Bonjour,

 

 

 

 

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

Driver::

badf

File::

c:\windows\system32\badf.sys

C:\FOUND.000

C:\FOUND.042

C:\FOUND.041

C:\FOUND.040

C:\FOUND.039

C:\FOUND.038

c:\windows\system32\config\systemprofile\Application Data\qvjsge.dat

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[toto126]

Bonjour Pear,

 

J'ai fait tourné combofix suivant les indications. Voila le rapport:

 

Comme mentionné hier, mes prises USB ne semblent plus fonctionner (disque dur externe + cle USB non reconnus). J'ai vu que le fichier usbstor.sys a ete mis en quarantaine par Avast car infeste par Rootkit-gen=> puis le rstaurer ou faut il que je le supprime et le reinstalle?

 

Merci

 

ComboFix 10-05-11.06 - segolene 13/05/2010 14:53:47.2.1 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.511 [GMT 2:00]

Lancé depuis: c:\documents and settings\segolene\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\segolene\Bureau\CFScript.txt

AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

 

FILE ::

"C:\FOUND.000"

"C:\FOUND.038"

"C:\FOUND.039"

"C:\FOUND.040"

"C:\FOUND.041"

"C:\FOUND.042"

"c:\windows\system32\badf.sys"

"c:\windows\system32\config\systemprofile\Application Data\qvjsge.dat"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\badf.sys

c:\windows\system32\config\systemprofile\Application Data\qvjsge.dat

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_BADF

-------\Service_badf

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-13 au 2010-05-13 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-12 10:16 . 2010-05-12 10:16 -------- d-----w- C:\_OTM

2010-05-11 07:24 . 2010-05-11 07:24 -------- d-----w- C:\FOUND.000

2010-05-10 22:03 . 2010-05-10 22:04 -------- d-----w- c:\program files\ZHPDiag

2010-05-06 15:06 . 2010-05-06 15:06 -------- d-----w- C:\FOUND.042

2010-05-06 14:40 . 2010-05-06 14:40 -------- d-----w- C:\FOUND.041

2010-05-06 13:55 . 2010-05-06 13:55 -------- d-----w- C:\FOUND.040

2010-05-06 08:23 . 2008-04-13 17:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys

2010-05-06 08:23 . 2008-04-13 17:40 34688 ----a-w- c:\windows\system32\dllcache\lbrtfdc.sys

2010-05-06 08:23 . 2008-04-13 17:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys

2010-05-06 08:23 . 2008-04-13 17:41 8576 ----a-w- c:\windows\system32\dllcache\i2omgmt.sys

2010-05-06 08:23 . 2008-04-13 17:40 8192 ----a-w- c:\windows\system32\drivers\Changer.sys

2010-05-06 08:23 . 2008-04-13 17:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys

2010-04-26 18:56 . 2010-04-26 18:56 -------- d-----w- C:\FOUND.039

2010-04-25 10:40 . 2010-04-25 10:40 -------- d-----w- C:\FOUND.038

2010-04-16 12:24 . 2010-04-16 12:24 -------- d-----w- c:\program files\bayardKids

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-10 20:23 . 2004-09-20 15:49 64052 ----a-w- c:\windows\system32\perfc00C.dat

2010-05-10 20:23 . 2004-09-20 15:49 445672 ----a-w- c:\windows\system32\perfh00C.dat

2010-05-06 20:59 . 2008-10-30 18:39 38848 ----a-w- c:\windows\system32\avastSS.scr

2010-05-06 20:59 . 2008-10-30 18:38 165032 ----a-w- c:\windows\system32\aswBoot.exe

2010-05-06 20:39 . 2008-10-30 18:39 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2010-05-06 20:39 . 2008-10-30 18:39 164048 ----a-w- c:\windows\system32\drivers\aswSP.sys

2010-05-06 20:34 . 2008-10-30 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2010-05-06 20:34 . 2008-10-30 18:39 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2010-05-06 20:33 . 2008-10-30 18:39 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys

2010-05-06 20:33 . 2008-10-30 18:39 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2010-05-06 20:33 . 2008-10-30 18:39 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2010-04-29 13:39 . 2009-01-10 11:13 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 13:39 . 2009-01-10 11:13 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-16 13:44 . 2009-11-21 11:53 664 ----a-w- c:\windows\system32\d3d9caps.dat

2010-03-17 08:09 . 2010-03-17 08:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software

2010-03-11 12:34 . 2004-09-20 15:49 832512 ----a-w- c:\windows\system32\wininet.dll

2010-03-11 12:34 . 2004-09-20 15:48 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-03-11 12:34 . 2004-09-20 15:48 17408 ------w- c:\windows\system32\corpol.dll

2010-03-09 11:10 . 2004-09-20 15:48 430080 ----a-w- c:\windows\system32\vbscript.dll

2010-02-24 13:11 . 2004-09-20 15:48 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2010-02-17 12:07 . 2004-09-20 15:48 2192000 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-02-16 19:07 . 2004-08-03 22:48 2068864 ----a-w- c:\windows\system32\ntkrnlpa.exe

2007-10-22 17:06 . 2007-10-22 17:06 7984464 ----a-w- c:\program files\terraexplorer_terraexplorer_5.0.2.8_basic_francais_40985.exe

2006-07-31 12:21 . 2006-07-31 12:21 13736064 ----a-w- c:\program files\GoogleEarthWin.exe

2006-07-22 21:22 . 2006-07-22 21:22 35749671 ----a-w- c:\program files\klmcodec153.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 68856]

"OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2009-11-25 95632]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-04-24 251240]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-05-06 2815192]

"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-05-31 401408]

"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-06-02 385024]

"HControl"="c:\windows\ATK0100\HControl.exe" [2005-07-28 102400]

"EOUApp"="c:\program files\Intel\Wireless\Bin\EOUWiz.exe" [2005-05-31 356352]

"ASUS Live Update"="c:\program files\ASUS\ASUS Live Update\ALU.exe" [2003-09-19 172032]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-01 7118848]

"Wireless Console"="c:\program files\ASUS\Wireless Console\wcourier.exe" [2005-07-22 57344]

"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-12-21 98394]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-12-21 688218]

"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 32881]

"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-04-07 877568]

"RTHDCPL"="RTHDCPL.EXE" [2005-09-06 14850560]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]

"nwiz"="nwiz.exe" [2005-07-01 1519616]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2006-02-23 278528]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]

"Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2005-06-16 86016]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2009-7-13 525640]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]

D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-4 53248]

ASUS ChkMail.lnk - c:\program files\ASUS\Asus ChkMail\ChkMail.exe [2005-12-5 32768]

Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]

2005-05-31 20:46 110592 ----a-w- c:\program files\Intel\Wireless\Bin\LgNotify.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\System32\\dpvsetup.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\K-Lite Codec Pack\\Media Player Classic\\mplayerc.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\BIN\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\BIN\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqcopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\BIN\\hpqnrs08.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

 

R0 R592;R592;c:\windows\system32\drivers\R592.sys [15/10/2004 19:26 57088]

R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15/10/2004 19:26 27264]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [30/10/2008 20:39 164048]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [30/10/2008 20:39 19024]

R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [24/04/2009 13:57 92008]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [16/01/2010 12:40 135664]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

.

Contenu du dossier 'Tâches planifiées'

 

2010-05-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-16 10:40]

 

2010-05-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-16 10:40]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

DPF: {4EFE4BE8-8771-4649-B3EF-D97374C8D2C2} - hxxps://particuliers.secure.lcl.fr/v_1.0/img/akl/FormProtect.cab

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-13 15:01

Windows 5.1.2600 Service Pack 3 FAT NTAPI

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(1036)

c:\program files\Intel\Wireless\Bin\LgNotify.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Intel\Wireless\Bin\EvtEng.exe

c:\program files\Intel\Wireless\Bin\S24EvMon.exe

c:\program files\Alwil Software\Avast5\AvastSvc.exe

c:\progra~1\Intel\Wireless\Bin\1XConfig.exe

c:\windows\ATKKBService.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Intel\Wireless\Bin\OProtSvc.exe

c:\program files\Intel\Wireless\Bin\RegSrvc.exe

c:\program files\ASUS\NB Probe\SPM\spmgr.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2010-05-13 15:04:10 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-05-13 13:04

ComboFix2.txt 2010-05-12 17:16

 

Avant-CF: 20 632 666 112 octets libres

Après-CF: 20 578 992 128 octets libres

 

- - End Of File - - B94F1C2DA28EE9760B7CE16F577D001D

[pear]

Télécharger WinReplace de Loup Blanc

Si vous utilisez Spybot

Désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot->Options Avancées :- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

L'antivirus doit être désactivé.

Pour éviter qu'il se relance au redémarrage, décochez le dans Msconfig->Démarrage

 

Fermez tous les programmes et double-cliquez sur l'icône WinFileReplace

Dans le menu qui apparaît , choisissez la langue du programme. soit F puis Entrée pour mettre le programme en Français.

 

Le programme se lance et vérifie votre version de Windows.

Le bloc-note s'ouvre et vous devez indiquer le ou les fichiers à restaurer,sous forme de liste..

Usbstor.sys

 

Fermez le bloc-note et enregistrez les changements.

 

Le service pack correspondant à votre système va être alors téléchargé.

Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).

 

Vous devez ensuite accepter le contrat d'utilisateur de Microsoft

 

Confirmez la restauration du fichier en appuyant sur la touche o et Entrée

 

Une fois le remplacement effectué, vous devrezRedémarrer l'ordinateur en appuyant sur la touche o puis Entrée.

Au redémarrage, un rapport s'ouvre qui vérifie et vous indique si la restauration a réussi.

Postez le rapport dans votre réponse.

 

[toto126]

Pear,

 

Je suis en train de telecharger winreplace.

 

Est ce que je peux l'utiliser pour tous les fichier .sys qui étaient dans windows/sytems32/driers mis en quarantaine par avast (il y en a un 50taine, pour l'isntant je me suis rendu compte uniquement du pb sr les prises USB mais je vais surement avoir d'autres surprises)..

 

Une fois les ports USB remis en fonctionnement, je vais connecter mes cles / disque externe. Pour l'instant je n'ai rien fait tourner dessus. Pouvez vous confirmer qu'il faut que je fasse tourner au moins avast et malware? Quid de Combofix? je le fais retourner avec ces periphériques, si oui est ce que j'utilise le script CFScript?

[toto126]

Bonsoir Pear,

 

Je viens de tenter à la manip avec winFileReplace:

1- il ne trouve pas de fichier eula.txt=> j'en ai cree un et ai aussi esaye avec celui de micorsoft touve dans windows/system32

2- il ne trouve pas de fichier Usbstor.sys (aucun fichier trouve àl'emplacement prévu). => ma clé et mon disque dur externe ne sont toujours pas utilisables

3- j'ai toujours le meme probleme de barre de tache, menu demarrer, gestionnaires de taches etc.. bloque pdt 15 à 30 min (il me semble que c'est un peu moins long) au demarrage de la session...

 

Bref, je nage....

[pear]

Il n'y a plus beaucoup de solutions.

Il faut absolument vous procurer dans votre entourage un cd Xp sp3.

Cela fait;

Vous procédez à une réparation sans pertes:

 

 

Réparer Xp sans perdre ses données ni les logiciels installés.

[toto126]

OK, je vais essayer de m'en faire un ou d'en recuperer un..

 

merci pour votre temps.