[Resolu] Windows XP ne boote plus - infection rootkit possible

[NickCouk]

Bonjour...

 

Oui, j'ai fait le test en mode sans echec et le message est le meme...

 

Merci et A+

N.

[tomtom95]

Bonsoir Nick

 

Avant de poursuivre ,tu as lu tes MP ?

 

A+

[NickCouk]

Bonsoir...

 

Avant de poursuivre ,tu as lu tes MP ?

 

Ah non, je n'avais pas vu... je vais voir et repondre par MP...

A+

N.

[tomtom95]

Bonjour Nick

 

Juste pour faire une petite synthèse, après une information sur ce que l'on a fait jusqu'a aujourd'hui.

Et une action avec le CD de console de récupération qui a réussi.

 

Nous allons donc essayer de continuer, tout en sachant que nous allons surement être obligé utiliser la sauvegarde du pc pour effectué une restauration en état d'usine.

 

• Fait un nouvelle analyse stp avec OTLPE.
   
  
   
  Copie et colle cette citation dans la fenêtre située en bas nommée "Custom Scans/Fixes"

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\System32\config\*.sav
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
C:\*.*
Dir /a:d C:\ /c
Type c:\Boot.ini /c
CREATERESTOREPOINT

Puis cliquer sur le bouton Run Scan.
Laisser l'outil travailler sans l'interrompre.
Post Le rapport
utilise le site http://www.ci-joint.fr pour envoyer ton rapport
et poste le lien dans ta prochaine réponse.

 

A+

[NickCouk]

Hello TomTom...

 

Merci pour la suite des instructions

 

• Fait un nouvelle analyse stp avec OTLPE.
  et poste le lien dans ta prochaine réponse.

Voila le fichier OTL > Cijoint.fr - Service gratuit de dépôt de fichiers

et voici le fichier Extras > Cijoint.fr - Service gratuit de dépôt de fichiers

 

Passe un bon WeekEnd...

 

a+

N.

[tomtom95]

Bonjour Nick

 

en premier cette procédure stp

 

• Redemarre sur Reatogo
  relançe OTLPE
  sous Custom Scan box copie_colle le contenu du cadre ci dessous:
  En commençant bien à :OTL
  les : inclus devant OTL) et clique RUNFIX
   

  :OTL
  SRV - File not found [Disabled] -- -- (HidServ)
  SRV - File not found [On_Demand] -- -- (AppMgmt)
  O4 - HKLM..\Run: [TFncKy] File not found
  [2010/08/13 14:29:40 | 000,065,024 | ---- | C] () -- C:\WINDOWS\IFinst26.exe
   
  :files
  C:\99cdbd557b55704aba50
  C:\d20c383ea40301a7c91828
   
  :reg
  [HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
  [HKEY_CURRENT_USER\Control Panel\Desktop]
  "MenuShowDelay"="100"
  [HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows\CurrentVersion\Explorer]
  "AlwaysUnloadDll"=dword:00000001
  [HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows\CurrentVersion\policies\Explorer]
  "NoDriveTypeAutoRun"=dword:000000ff
  [HKEY_CURRENT_USER\Software_ON_C\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  "NoDriveTypeAutoRun"=dword:000000ff
  [HKEY_CURRENT_USER\Software_ON_C\Microsoft\Windows\CurrentVersion\Explorer]
  "link"=hex:00,00,00,00
  [HKEY_CURRENT_USER\Software_ON_C\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
  "EnableBalloonTips"=dword:00000000
  [HKEY_CURRENT_USER\Software_ON_C\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
  "IconStreams"=-
  "PastIconsStream"=-
  [HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
  "SetCommand"=dword:00000001
  "SecurityLevel"=dword:00000001
  :commands
  

• Copie-colle ce texte dans ta prochaine réponse

 

Je fait la suite pour shooter le SP3 ,et la console de récupération.

 

A+

Modifié le 8 mai 2011 par tomtom95

[tomtom95]

Bien la suite,on va essayer comme ceci.

 

sous Custom Scan box copie_colle le contenu du cadre ci dessous:

En commençant bien à :OTL et clique RUNFIX

 

:OTL

[2011/02/17 09:18:24 | 000,455,936 | ---- | M] (Microsoft Corporation) MD5=0EA4D8ED179B75F8AFA7998BA22285CA -- C:\_OTL\MovedFiles\05012011_225600\C_WINDOWS\SoftwareDistribution\Download\699ee2ac4f9ea8ea1babe26c8f35b4ef\SP3GDR\mrxsmb.sys

[2009/12/04 14:22:22 | 000,455,424 | ---- | M] (Microsoft Corporation) MD5=421F7B922CEC5A5F340E7574A98F7B7C -- C:\WINDOWS\$hf_mig$\KB978251\SP3GDR\mrxsmb.sys

[2009/12/04 13:25:56 | 000,456,832 | ---- | M] (Microsoft Corporation) MD5=602549D1E8A622E5746991F6C56B21CA -- C:\WINDOWS\$hf_mig$\KB978251\SP3QFE\mrxsmb.sys

[2008/10/24 07:21:09 | 000,455,296 | ---- | M] (Microsoft Corporation) MD5=60AE98742484E7AB80C3C1450E708148 -- C:\WINDOWS\$hf_mig$\KB957097\SP3GDR\mrxsmb.sys

[2008/10/24 07:41:11 | 000,455,936 | ---- | M] (Microsoft Corporation) MD5=7170AB42B51954DEF2781A4D1CCE65F4 -- C:\WINDOWS\$hf_mig$\KB957097\SP3QFE\mrxsmb.sys

[2010/02/24 07:57:57 | 000,457,216 | ---- | M] (Microsoft Corporation) MD5=D09B9F0B9960DD41E73127B7814C115F -- C:\WINDOWS\$hf_mig$\KB980232\SP3QFE\mrxsmb.sys

[2010/02/24 09:11:07 | 000,455,680 | ---- | M] (Microsoft Corporation) MD5=F3AEFB11ABC521122B67095044169E98 -- C:\WINDOWS\$hf_mig$\KB980232\SP3GDR\mrxsmb.sys

[2011/02/17 09:19:38 | 000,457,472 | ---- | M] (Microsoft Corporation) MD5=FB7DFD15D760AD339837A470F0E780D3 -- C:\_OTL\MovedFiles\05012011_225600\C_WINDOWS\SoftwareDistribution\Download\699ee2ac4f9ea8ea1babe26c8f35b4ef\SP3QFE\mrxsmb.sys

[2011/02/17 09:19:38 | 000,457,472 | ---- | M] (Microsoft Corporation) MD5=FB7DFD15D760AD339837A470F0E780D3 -- C:\WINDOWS\$hf_mig$\KB2511455\SP3QFE\mrxsmb.sys

[2009/02/09 07:16:53 | 000,111,104 | ---- | M] (Microsoft Corporation) MD5=62789101F9C2401ED598AA2CDE7450C0 -- C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe

[2009/02/09 07:23:48 | 000,111,104 | ---- | M] (Microsoft Corporation) MD5=C3FB1D70CB88722267949694BA51759E -- C:\WINDOWS\$hf_mig$\KB956572\SP3GDR\services.exe

[2010/08/17 09:19:36 | 000,058,880 | ---- | M] (Microsoft Corporation) MD5=258DD5D4283FD9F9A7166BE9AE45CE73 -- C:\WINDOWS\$hf_mig$\KB2347290\SP3QFE\spoolsv.exe

[2008/06/20 07:51:12 | 000,361,600 | ---- | M] (Microsoft Corporation) MD5=9AEFA14BD6B182D61E3119FA5F436D3D -- C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\tcpip.sys

[2008/06/20 07:59:02 | 000,361,600 | ---- | M] (Microsoft Corporation) MD5=AD978A1B783B5719720CFF204B666C8E -- C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\tcpip.sys

[2008/06/20 07:59:02 | 000,361,600 | ---- | M] (Microsoft Corporation) MD5=AD978A1B783B5719720CFF204B666C8E -- C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys

[2008/06/20 07:59:02 | 000,361,600 | ---- | M] (Microsoft Corporation) MD5=AD978A1B783B5719720CFF204B666C8E -- C:\WINDOWS\SoftwareDistribution\Download\f96addb4e216f2399cbadef9606eabb2\sp3qfe\tcpip.sys

[2010/05/02 04:02:25 | 001,860,480 | ---- | M] (Microsoft Corporation) MD5=117089D35359DD8FE8054DA17AC6EE19 -- C:\WINDOWS\$hf_mig$\KB979559\SP3QFE\win32k.sys

[2011/03/03 09:53:37 | 001,858,048 | ---- | M] (Microsoft Corporation) MD5=3BEDF6024160399E2AF010BB2E7F4F59 -- C:\_OTL\MovedFiles\05012011_225600\C_WINDOWS\SoftwareDistribution\Download\45fa26c815a59b9da6bd422e449ae5ac\sp3gdr\win32k.sys

[2009/08/14 11:58:52 | 001,859,840 | ---- | M] (Microsoft Corporation) MD5=479DD2D56488951B4842B6ECBB770239 -- C:\WINDOWS\$hf_mig$\KB969947\SP3QFE\win32k.sys

[2009/08/14 11:13:59 | 001,850,752 | ---- | M] (Microsoft Corporation) MD5=8441F8A5DC42BD5F2BEAA95297EE0E10 -- C:\WINDOWS\$hf_mig$\KB969947\SP3GDR\win32k.sys

[2010/05/02 04:08:14 | 001,851,392 | ---- | M] (Microsoft Corporation) MD5=D6491CA433261FCBDC99D27064E5F180 -- C:\WINDOWS\$hf_mig$\KB979559\SP3GDR\win32k.sys

[2011/03/03 09:52:12 | 001,867,008 | ---- | M] (Microsoft Corporation) MD5=E832E04ADDD745DC462ED800E8416B9C -- C:\_OTL\MovedFiles\05012011_225600\C_WINDOWS\SoftwareDistribution\Download\45fa26c815a59b9da6bd422e449ae5ac\sp3qfe\win32k.sys

[2011/03/03 09:52:12 | 001,867,008 | ---- | M] (Microsoft Corporation) MD5=E832E04ADDD745DC462ED800E8416B9C -- C:\WINDOWS\$hf_mig$\KB2506223\SP3QFE\win32k.sys

[2010/12/31 10:02:58 | 001,864,192 | ---- | M] (Microsoft Corporation) MD5=FA7694CA8CE7E7660676C646A15A3CEE -- C:\WINDOWS\$hf_mig$\KB2479628\SP3QFE\win32k.sys

 

:commands

[NickCouk]

Bonjour TomTom

 

relançe OTLPE

sous Custom Scan box copie_colle le contenu du cadre ci dessous:

En commençant bien à :OTL

 

voila pour le log de la premiere partie >

 

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HidServ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AppMgmt deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TFncKy deleted successfully.

C:\WINDOWS\IFinst26.exe moved successfully.

========== FILES ==========

C:\99cdbd557b55704aba50\x86 folder moved successfully.

C:\99cdbd557b55704aba50\fr-fr\x86 folder moved successfully.

C:\99cdbd557b55704aba50\fr-fr folder moved successfully.

C:\99cdbd557b55704aba50\en-us folder moved successfully.

C:\99cdbd557b55704aba50 folder moved successfully.

C:\d20c383ea40301a7c91828\i386 folder moved successfully.

C:\d20c383ea40301a7c91828\amd64 folder moved successfully.

C:\d20c383ea40301a7c91828 folder moved successfully.

========== REGISTRY ==========

HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"C:\\WINDOWS\\system32\\userinit.exe," /E : value set successfully!

HKEY_CURRENT_USER\Control Panel\Desktop\\"MenuShowDelay"|"100" /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows\CurrentVersion\Explorer\\"AlwaysUnloadDll"|dword:00000001 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows\CurrentVersion\policies\Explorer\\"NoDriveTypeAutoRun"|dword:000000ff /E : value set successfully!

HKEY_CURRENT_USER\Software_ON_C\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoDriveTypeAutoRun"|dword:000000ff /E : value set successfully!

HKEY_CURRENT_USER\Software_ON_C\Microsoft\Windows\CurrentVersion\Explorer\\"link"|hex:00,00,00,00 /E : value set successfully!

HKEY_CURRENT_USER\Software_ON_C\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"EnableBalloonTips"|dword:00000000 /E : value set successfully!

Registry key HKEY_CURRENT_USER\Software_ON_C\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify not found.

Registry key HKEY_CURRENT_USER\Software_ON_C\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify not found.

HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\\"SetCommand"|dword:00000001 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\\"SecurityLevel"|dword:00000001 /E : value set successfully!

========== COMMANDS ==========

 

OTLPE by OldTimer - Version 3.1.46.0 log created on 05082011_143418

[NickCouk]

Bien la suite,on va essayer comme ceci.

sous Custom Scan box copie_colle le contenu du cadre ci dessous:

En commençant bien à :OTL et clique RUNFIX

et voila le log pour la seconde partie (il y a du "successfully" un peu partout, c'est bon signe, non? )

 

========== OTL ==========

C:\_OTL\MovedFiles\05012011_225600\C_WINDOWS\SoftwareDistribution\Download\699ee2ac4f9ea8ea1babe26c8f35b4ef\SP3GDR\mrxsmb.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB978251\SP3GDR\mrxsmb.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB978251\SP3QFE\mrxsmb.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB957097\SP3GDR\mrxsmb.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB957097\SP3QFE\mrxsmb.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB980232\SP3QFE\mrxsmb.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB980232\SP3GDR\mrxsmb.sys moved successfully.

C:\_OTL\MovedFiles\05012011_225600\C_WINDOWS\SoftwareDistribution\Download\699ee2ac4f9ea8ea1babe26c8f35b4ef\SP3QFE\mrxsmb.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB2511455\SP3QFE\mrxsmb.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe moved successfully.

C:\WINDOWS\$hf_mig$\KB956572\SP3GDR\services.exe moved successfully.

C:\WINDOWS\$hf_mig$\KB2347290\SP3QFE\spoolsv.exe moved successfully.

C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\tcpip.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\tcpip.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys moved successfully.

C:\WINDOWS\SoftwareDistribution\Download\f96addb4e216f2399cbadef9606eabb2\sp3qfe\tcpip.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB979559\SP3QFE\win32k.sys moved successfully.

C:\_OTL\MovedFiles\05012011_225600\C_WINDOWS\SoftwareDistribution\Download\45fa26c815a59b9da6bd422e449ae5ac\sp3gdr\win32k.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB969947\SP3QFE\win32k.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB969947\SP3GDR\win32k.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB979559\SP3GDR\win32k.sys moved successfully.

C:\_OTL\MovedFiles\05012011_225600\C_WINDOWS\SoftwareDistribution\Download\45fa26c815a59b9da6bd422e449ae5ac\sp3qfe\win32k.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB2506223\SP3QFE\win32k.sys moved successfully.

C:\WINDOWS\$hf_mig$\KB2479628\SP3QFE\win32k.sys moved successfully.

========== COMMANDS ==========

 

OTLPE by OldTimer - Version 3.1.46.0 log created on 05082011_143747

 

Je tente un re demmarage?

 

A+

N.

[tomtom95]

Trés bon boulot

Je vois la suite demain je vais me

 

Bonne nuit Nick

 

A+