[Résolu] Infection rootkit boo/shertwill.L

[icucicu]

Bonjour,

 

Je suis sous Win7 et cela fait quelques jours qu'a chaque démarrage, mon AntiVir détecte un "Boo/shertwill.L" (et "Boo/whistler" je crois me rappeler aussi) sur les secteurs de boot de mes partitions sur mes deux disques durs.

 

A chaque fois j'ai supprimé sans trop me poser de questions, mais le virus ne partant pas, j'ai lancé une analyse AntiVir voir ce que ca donne. Je sait pas si c'est lié mais depuis, j'ai "perdu" l'un de mes deux disques dur (contenant mes données, mais pas le système), c'est a dire que je n'y ai plus accès par l'interface normale, et il n'apparait dans aucune liste des logiciels de scan (il apparait cependant Sous ordinateur/gerer/stockage/disque en "non alloue")

 

Aidez-moi svp!

 

voici le log hijackthis que j'obtiens :

 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:52:35, on 25/11/2011
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe
C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\mswinext.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
F:\Malwarebytes' Anti-Malware\mbamgui.exe
C:\program files (x86)\avira\antivir desktop\avcenter.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
F:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://www.google.fr/]Google[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN Hotmail, Messenger, Actualité, Sport, People, Femmes - MSN France [/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Bing[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:6544
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Bing Bar BHO - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: @C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll,-100 - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll
O4 - HKLM\..\Run: [startCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [bing Bar] "C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\mswinext.exe"
O4 - HKLM\..\Run: [Microsoft Default Manager] "C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "F:\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] F:\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Google Update] "C:\Users\polo\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O10 - Unknown file in Winsock LSP: pcapwsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: pcapwsp.dll
O10 - Unknown file in Winsock LSP: pcapwsp.dll
O10 - Unknown file in Winsock LSP: pcapwsp.dll
O10 - Unknown file in Winsock LSP: pcapwsp.dll
O10 - Unknown file in Winsock LSP: pcapwsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url=http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab][url=http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab][url=http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url][/url][/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{95500F39-4E44-4261-AA60-ACA0AA20714B}: NameServer = 213.203.124.147,213.30.96.123
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - F:\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Wireless PAN DHCP Server (MyWiFiDHCPDNS) - Unknown owner - C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Internet Pass-Through Service (PassThru Service) - Unknown owner - C:\Program Files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe
O23 - Service: ProxyCap Service (pcapsvc) - Proxy Labs - F:\ProxyCap\pcapsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 11741 bytes

Modifié le 29 novembre 2011 par icucicu

[pear]

Bonsoir,

 

Télécharger aswMBR.exe sur le bureau

Double clic sur l'icône

Puis Scan

 

Le scan fini, cliquer sur "SAVE LOG" et sauvegarder le fichier sur le Bureau,

Copier/Coller le contenu dans la réponse.

 

Un fichier "MBR.dat" apparait sur le Bureau.

Faites clic droit -> Envoyer vers- > "Dossier compressé".

Conserver ce fichier MBR.zip sur clé Usb

 

 

Nettoyage

Relancer aswMBR.exe

Click [scan]

A l'issue du scan

Clic sur [Fix] pour TDL4 (MBRoot)

Clic sur [FixMBR] pour Whistler

[icucicu]

Merci de d'avoir répondu

 

Donc voici le log du 1er scan avec aswMBR:

 

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-25 17:45:35
-----------------------------
17:45:35.194    OS Version: Windows x64 6.1.7601 Service Pack 1
17:45:35.194    Number of processors: 2 586 0x1706
17:45:35.195    ComputerName: POLO-PORTABLE  UserName: polo
17:45:36.147    Initialize success
17:46:13.114    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
17:46:13.119    Disk 0 Vendor: TOSHIBA_MK2552GSX LV010M Size: 238475MB BusType: 3
17:46:13.125    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-2
17:46:13.131    Disk 1 Vendor: TOSHIBA_MK2552GSX LV010M Size: 238475MB BusType: 3
17:46:15.190    Disk 0 MBR read successfully
17:46:15.194    Disk 0 MBR scan
17:46:15.198    Disk 0 Windows 7 default MBR code
17:46:15.203    Service scanning
17:46:19.520    Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
17:46:21.161    Modules scanning
17:46:21.172    Disk 0 trace - called modules:
17:46:21.224    ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xfffffa8003cad2c0]<<
17:46:21.234    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c1f060]
17:46:21.240    3 CLASSPNP.SYS[fffff88001b8643f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa80046b6060]
17:46:21.588    \Driver\atapi[0xfffffa80046a45c0] -> IRP_MJ_CREATE -> 0xfffffa8003cad2c0
17:46:21.601    Scan finished successfully
17:46:54.822    Disk 0 MBR has been saved successfully to "C:\Users\polo\Desktop\MBR.dat"
17:46:54.827    The log file has been saved successfully to "C:\Users\polo\Desktop\aswMBR.txt"

 

Apres avoir relancé MBR et refait un scan, j'ai [FixMBR] uniquement (whistler), le [Fix] (MBRoot) étant grisé - je suppose qu'il n'a pas détecté de MBRoot.

 

j'ai conservé le log du clean :

 

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-25 17:50:08
-----------------------------
17:50:08.905    OS Version: Windows x64 6.1.7601 Service Pack 1
17:50:08.905    Number of processors: 2 586 0x1706
17:50:08.906    ComputerName: POLO-PORTABLE  UserName: polo
17:50:09.455    Initialize success
17:50:12.144    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
17:50:12.146    Disk 0 Vendor: TOSHIBA_MK2552GSX LV010M Size: 238475MB BusType: 3
17:50:12.148    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-2
17:50:12.150    Disk 1 Vendor: TOSHIBA_MK2552GSX LV010M Size: 238475MB BusType: 3
17:50:14.175    Disk 0 MBR read successfully
17:50:14.182    Disk 0 MBR scan
17:50:14.189    Disk 0 Windows 7 default MBR code
17:50:14.197    Service scanning
17:50:15.350    Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
17:50:15.911    Modules scanning
17:50:15.922    Disk 0 trace - called modules:
17:50:15.976    ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xfffffa8003cad2c0]<<
17:50:15.987    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c1f060]
17:50:15.997    3 CLASSPNP.SYS[fffff88001b8643f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa80046b6060]
17:50:16.013    \Driver\atapi[0xfffffa80046a45c0] -> IRP_MJ_CREATE -> 0xfffffa8003cad2c0
17:50:16.019    Scan finished successfully
17:51:15.949    Verifying
17:51:25.973    Disk 0 Windows 601 MBR fixed successfully
17:51:51.013    Disk 0 MBR has been saved successfully to "C:\Users\polo\Desktop\MBR.dat"
17:51:51.020    The log file has been saved successfully to "C:\Users\polo\Desktop\aswMBR.txt"

 

et voila ce que j'obtient si je relance un scan :

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-25 18:10:33
-----------------------------
18:10:33.791    OS Version: Windows x64 6.1.7601 Service Pack 1
18:10:33.791    Number of processors: 2 586 0x1706
18:10:33.792    ComputerName: POLO-PORTABLE  UserName: polo
18:10:34.156    Initialize success
18:10:37.163    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
18:10:37.168    Disk 0 Vendor: TOSHIBA_MK2552GSX LV010M Size: 238475MB BusType: 3
18:10:37.176    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-2
18:10:37.181    Disk 1 Vendor: TOSHIBA_MK2552GSX LV010M Size: 238475MB BusType: 3
18:10:39.279    Disk 0 MBR read successfully
18:10:39.286    Disk 0 MBR scan
18:10:39.293    Disk 0 Windows 7 default MBR code
18:10:39.301    Service scanning
18:10:40.288    Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
18:10:40.851    Modules scanning
18:10:40.862    Disk 0 trace - called modules:
18:10:40.912    ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll >>UNKNOWN [0xfffffa8003cad770]<<
18:10:40.927    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c1f060]
18:10:40.937    3 CLASSPNP.SYS[fffff88001b8643f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa80046b6060]
18:10:40.949    \Driver\atapi[0xfffffa80046a45c0] -> IRP_MJ_CREATE -> 0xfffffa8003cad2c0
18:10:40.956    Scan finished successfully
18:10:56.990    Disk 0 MBR has been saved successfully to "C:\Users\polo\Desktop\MBR.dat"
18:10:56.994    The log file has been saved successfully to "C:\Users\polo\Desktop\aswMBR.txt"

Modifié le 25 novembre 2011 par icucicu

[pear]

Dans les rapports de scan que vous montrez, il n'y a pas lignes rouges indiquant la présence de Whistler.

 

Il n'y aurait donc pas eu de raison de lancer un fix.

 

Avant qu'on aille plus loin, vous pouvez préciser ?

Modifié le 25 novembre 2011 par pear

[icucicu]

Eh bien, j'ai l'un de mes deux disque durs qui n'est plus accessible (n'est plus visible)

 

Je pense avoir le virus shertwill.L, voici l'un des rapports avast datant d'avant la disparition du disque :

 

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
   [iNFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD2
   [iNFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
   [iNFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
   [iNFO]      Aucun virus trouvé !
Secteur d'amorçage 'E:\'
   [iNFO]      Aucun virus trouvé !
Secteur d'amorçage 'F:\'
   [iNFO]      Aucun virus trouvé !
Secteur d'amorçage 'G:\'
   [iNFO]      Aucun virus trouvé !
Secteur d'amorçage 'L:\'
   [iNFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
   [RESULTAT]  Contient le code du virus de secteur dapos;amorçage BOO/Shertwil.L
   [REMARQUE]  Le secteur a bien été réécrit !
Secteur d'amorçage 'H:\'
   [RESULTAT]  Contient le code du virus de secteur dapos;amorçage BOO/Shertwil.L
   [REMARQUE]  Le secteur d'amorçage n'a pas été réparé
Secteur d'amorçage 'I:\'
   [RESULTAT]  Contient le code du virus de secteur dapos;amorçage BOO/Shertwil.L
   [REMARQUE]  Le secteur d'amorçage n'a pas été réparé

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '190' fichiers).

 

C'est un rapport du scan rapide systeme au démarrage. A la suite de cette alerte j'ai demandé a avast de supprimer les fichiers infectés. J'ai du avoir ce type d'alerte sur 3 ou 4 démarages.

J'ai le souvenir d'avoir vu des aleres pour BOO/Whistler aussi, c'est pour cela que je l'ai mentionné.

 

Le disque non accessible est le disk1, c'est donc sur celui-ci que aswMBR devrait en principe trouver le virus. Seulement, le scanne-t-il bien ? (je ne sait pas si mon disk1 est bien booté s'il n'est pas non formaté)

Modifié le 25 novembre 2011 par icucicu

[pear]

J'avais bien compris qu'Antivir avait détecté BOO/Shertwil.L

 

Je lis qu'il a réparé sur le disque HD1, mais pas sur H.

 

C'est pourquoi je précise ma question.

Avez vous eu des lignes rouges dans le rapport Aswmbr avant de fixer ?

 

Parce qu'il semble sur les rapports Aswmbr que le dique 0 (le disque système)est propre.

 

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Modifié le 25 novembre 2011 par pear

[icucicu]

La procédure s'est déroulée sans problemes.

 

Voici le rapport de ComboFix:

 

ComboFix 11-11-25.02 - polo 26/11/2011   1:25.1.2 - x64
Microsoft Windows 7 Professionnel   6.1.7601.1.1252.33.1036.18.4091.2152 [GMT 1:00]
Lancé depuis: c:\users\polo\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-10-26 au 2011-11-26  ))))))))))))))))))))))))))))))))))))
.
.
2011-11-26 00:50 . 2011-11-26 00:50	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-11-25 17:32 . 2011-11-25 17:32	69000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{D9467D89-3144-4CC0-923A-D7A89E0B74A1}\offreg.dll
2011-11-25 11:39 . 2011-11-25 11:39	--------	d-----w-	c:\users\polo\AppData\Roaming\Malwarebytes
2011-11-25 11:39 . 2011-11-25 11:39	--------	d-----w-	c:\programdata\Malwarebytes
2011-11-25 11:39 . 2011-08-31 16:00	25416	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-11-24 23:12 . 2011-11-24 23:12	--------	d-----w-	c:\program files\SAMSUNG
2011-11-24 23:12 . 2011-11-24 23:12	--------	d-----w-	c:\programdata\Samsung
2011-11-24 23:12 . 2011-11-24 23:12	58704	----a-r-	c:\users\polo\AppData\Roaming\Microsoft\Installer\{8FA53ACE-B718-4FAE-B7BF-95B0FCB320C8}\ARPPRODUCTICON.exe
2011-11-24 11:57 . 2011-11-24 11:57	--------	d-----w-	c:\users\polo\AppData\Roaming\Avira
2011-11-13 16:07 . 2011-11-13 16:07	--------	d-----w-	c:\windows\system32\Macromed
2011-11-06 01:54 . 2011-11-13 16:09	--------	d-----w-	c:\users\polo\AppData\Roaming\TS3Client
2011-11-04 16:32 . 2011-11-04 16:32	--------	d-----w-	c:\users\polo\AppData\Local\Chromium
2011-10-29 01:22 . 2011-10-29 01:22	--------	d-----w-	c:\programdata\WEBREG
2011-10-29 01:19 . 2011-10-30 14:42	--------	d-----w-	c:\users\polo\AppData\Roaming\HP
2011-10-29 01:10 . 2010-05-13 10:25	906240	----a-w-	c:\windows\system32\hpwwiax5.dll
2011-10-29 01:10 . 2010-04-26 08:52	644456	----a-w-	c:\windows\system32\hpzids40.dll
2011-10-29 01:10 . 2010-05-13 10:25	1422848	----a-w-	c:\windows\system32\hpwtiop4.dll
2011-10-29 01:10 . 2010-05-13 10:29	553472	----a-w-	c:\windows\system32\hppldcoi.dll
2011-10-29 01:10 . 2010-02-01 06:54	488960	----a-w-	c:\windows\system32\hpovst11.dll
2011-10-28 18:41 . 2011-10-18 00:27	8570192	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{D9467D89-3144-4CC0-923A-D7A89E0B74A1}\mpengine.dll
2011-10-28 18:39 . 2011-08-17 05:26	613888	----a-w-	c:\windows\system32\psisdecd.dll
2011-10-28 18:39 . 2011-08-17 05:25	108032	----a-w-	c:\windows\system32\psisrndr.ax
2011-10-28 18:39 . 2011-08-17 04:24	465408	----a-w-	c:\windows\SysWow64\psisdecd.dll
2011-10-28 18:39 . 2011-08-17 04:19	75776	----a-w-	c:\windows\SysWow64\psisrndr.ax
2011-10-28 18:38 . 2011-08-27 05:37	331776	----a-w-	c:\windows\system32\oleacc.dll
2011-10-28 18:38 . 2011-08-27 04:26	571904	----a-w-	c:\windows\SysWow64\oleaut32.dll
2011-10-28 18:38 . 2011-08-27 04:26	233472	----a-w-	c:\windows\SysWow64\oleacc.dll
2011-10-28 18:38 . 2011-08-27 05:37	861696	----a-w-	c:\windows\system32\oleaut32.dll
2011-10-28 14:44 . 2011-10-28 14:44	--------	d-----w-	c:\program files (x86)\Cooler Master
2011-10-28 14:43 . 2011-10-28 14:43	323716	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\setup.dll
2011-10-28 14:43 . 2011-10-28 14:43	192644	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iGdi.dll
2011-10-28 14:43 . 2004-10-22 00:18	749568	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iKernel.dll
2011-10-28 14:43 . 2004-10-22 00:17	69715	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\ctor.dll
2011-10-28 14:43 . 2004-10-22 00:17	274432	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iscript.dll
2011-10-28 14:43 . 2004-10-22 00:16	180224	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iuser.dll
2011-10-28 14:43 . 2004-10-22 00:16	5632	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\DotNetInstaller.exe
2011-10-28 14:43 . 2004-10-22 00:13	32768	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\Objectps.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-13 16:07 . 2011-08-03 23:02	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-10-09 00:52 . 2011-10-09 00:52	413696	----a-w-	c:\windows\SysWow64\pcapwsp.dll
2011-10-09 00:52 . 2011-10-09 00:52	315392	----a-w-	c:\windows\SysWow64\sbcrreag.dll
2011-10-09 00:51 . 2011-10-09 00:51	527872	----a-w-	c:\windows\system32\pcapwsp.dll
2011-10-09 00:51 . 2011-10-09 00:51	356352	----a-w-	c:\windows\system32\sbcrreag.dll
2011-09-14 16:43 . 2009-07-14 02:36	175616	----a-w-	c:\windows\system32\msclmd.dll
2011-09-14 16:43 . 2009-07-14 02:36	152576	----a-w-	c:\windows\SysWow64\msclmd.dll
2011-08-30 17:36 . 2011-07-15 14:28	123784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-08-30 17:36 . 2011-07-15 14:09	88288	----a-w-	c:\windows\system32\drivers\avgntflt.sys
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-07-26 98304]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2009-11-18 54576]
"Bing Bar"="c:\program files (x86)\MSN Toolbar\Platform\5.0.1449.0\mswinext.exe" [2010-04-27 243544]
"Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2009-11-11 288088]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files (x86)\HP\Digital Imaging\bin\hpqtra08.exe [2010-5-28 276328]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R3 HTCAND64;HTC Device Driver;c:\windows\system32\Drivers\ANDROIDUSB.sys [x]
R3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\DRIVERS\htcnprot.sys [x]
R3 MyWiFiDHCPDNS;Wireless PAN DHCP Server;c:\program files\Intel\WiFi\bin\PanDhcpDns.exe [2010-03-05 340240]
R3 netw5v64;Pilote de carte de liaison WiFi sans fil Intel(R) 5000 Series pour Windows Vista 64 bits;c:\windows\system32\DRIVERS\netw5v64.sys [x]
R3 qrkis;Tether Miniport;c:\windows\system32\DRIVERS\qrkis.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-07-17 136360]
S2 MBAMService;MBAMService;f:\malwarebytes' anti-malware\mbamservice.exe [2011-08-31 366152]
S2 PassThru Service;Internet Pass-Through Service;c:\program files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe [2011-03-31 80896]
S2 pcapsvc;ProxyCap Service;f:\proxycap\pcapsvc.exe [2011-10-09 1850368]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 CnxtHdmiAudService;Conexant UAA HDMI Function Driver for High Definition Audio Service;c:\windows\system32\drivers\CHDMI64.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 NETw5s64;Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETw5s64.sys [x]
S3 QIOMem;Generic IO & Memory Access;c:\windows\system32\DRIVERS\QIOMem.sys [x]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [x]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [x]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [x]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [x]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*Deregistered* - aswMBR
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2011-11-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-122352123-3488721014-2701035215-1000Core.job
- c:\users\polo\AppData\Local\Google\Update\GoogleUpdate.exe [2011-09-14 17:14]
.
2011-11-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-122352123-3488721014-2701035215-1000UA.job
- c:\users\polo\AppData\Local\Google\Update\GoogleUpdate.exe [2011-09-14 17:14]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cAudioFilterAgent"="c:\program files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe" [2009-07-20 503864]
"IntelWireless"="c:\program files\Common Files\Intel\WirelessCommon\iFrmewrk.exe" [2010-03-05 1928976]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.fr/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyServer = localhost:6544
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
LSP: %SystemRoot%\system32\PrxerDrv.dll
LSP: pcapwsp.dll
TCP: DhcpNameServer = 10.4.0.1
TCP: Interfaces\{95500F39-4E44-4261-AA60-ACA0AA20714B}: NameServer = 213.203.124.147,213.30.96.123
FF - ProfilePath - c:\users\polo\AppData\Roaming\Mozilla\Firefox\Profiles\cscha8k9.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 1080
FF - prefs.js: network.proxy.type - 4
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-HDMICtrlMan - c:\program files (x86)\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe
AddRemove-HijackThis - F:\HijackThis.exe
AddRemove-hon - h:\heroes of newerth\uninstall.exe
AddRemove-PunkBusterSvc - h:\apb reloaded\Binaries\pbsvc_apb.exe
AddRemove-{F0BE7F42-2992-4DA9-A32E-65D2B4C0DE9E}_is1 - c:\users\polo\AppData\Roaming\runic games\torchlight\mods\Transmod\unins000.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10u_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10u_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10u.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10u.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10u.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10u.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2011-11-26  01:52:38
ComboFix-quarantined-files.txt  2011-11-26 00:52
.
Avant-CF: 6 345 211 904 octets libres
Après-CF: 10 378 653 696 octets libres
.
- - End Of File - - 77D657F7D0273D458569108FC8D366F2

[pear]

Bonjour,

 

Quand on vous pose une question pour vous aider, le moins que vous pouvez faire c'est d'y répondre , non ?

 

Combofix ne trouve pas trace de bootkit.

 

Combofix est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous avez chargée sera obsolète dans quelques jours.

Pour supprimer Combofix:

Démarrer > Exécuter ->

Copier/coller:

"%userprofile%\Bureau\ComboFix.exe" /uninstall

En cas d'échec:

Renommer ComboFix.exe qui est sur votre bureau -> Uninstall.exe et double cliquez dessus.

[icucicu]

Bonjour,

 

désolé de n'avoir pas répondu, je n'avai pas bien compris, je pensait que la réponse était dans le log du clean que j'avai link.

 

J'ai vu des lignes rouges, mais aucune avec [whistler] **Rootkit** dedans.

 

je remet le log du clean au cas ou :

 

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-25 17:50:08
-----------------------------
17:50:08.905    OS Version: Windows x64 6.1.7601 Service Pack 1
17:50:08.905    Number of processors: 2 586 0x1706
17:50:08.906    ComputerName: POLO-PORTABLE  UserName: polo
17:50:09.455    Initialize success
17:50:12.144    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
17:50:12.146    Disk 0 Vendor: TOSHIBA_MK2552GSX LV010M Size: 238475MB BusType: 3
17:50:12.148    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-2
17:50:12.150    Disk 1 Vendor: TOSHIBA_MK2552GSX LV010M Size: 238475MB BusType: 3
17:50:14.175    Disk 0 MBR read successfully
17:50:14.182    Disk 0 MBR scan
17:50:14.189    Disk 0 Windows 7 default MBR code
17:50:14.197    Service scanning
17:50:15.350    Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
17:50:15.911    Modules scanning
17:50:15.922    Disk 0 trace - called modules:
17:50:15.976    ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xfffffa8003cad2c0]<<
17:50:15.987    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c1f060]
17:50:15.997    3 CLASSPNP.SYS[fffff88001b8643f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa80046b6060]
17:50:16.013    \Driver\atapi[0xfffffa80046a45c0] -> IRP_MJ_CREATE -> 0xfffffa8003cad2c0
17:50:16.019    Scan finished successfully
17:51:15.949    Verifying
17:51:25.973    Disk 0 Windows 601 MBR fixed successfully
17:51:51.013    Disk 0 MBR has been saved successfully to "C:\Users\polo\Desktop\MBR.dat"
17:51:51.020    The log file has been saved successfully to "C:\Users\polo\Desktop\aswMBR.txt"

Modifié le 26 novembre 2011 par icucicu

[pear]

Refaites un scan Antivir et postez en le rapport