Infecté par System Check

[pear]

j'ai un disque dur virtuel (D/)sur lequel Dell à installé un systeme qui permet de réinstaller l'OS. Est-ce que l'infection aurait pu s'y loger?

 

C'est très improbable.C'est une partition dormante.

 

Nettoyage

 

Double-clic sur l'icône OTLPE sur le Bureau.

 

A la demande Do you wish to load the remote registry cliquezYes

et de même Do you wish to load remote user profile(s) for scanning cliquez Yes

Vérifiez que Automatically Load All Remaining Users est bien coché et validez

 

copier/coller tout le texte suivant (en vert) dans la fenêtre de Personnalisation Custom Scan/Fixes

:OTL

 

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.ma...r/ultrashim.cab (Reg Error: Key error.)

NetSvcs: xwzveibu - File not found

MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Capture Express.lnk - - File not found

MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found

MsConfig - StartUpReg: NVHotkey - hkey= - key= - File not found

MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found

MsConfig - StartUpReg: NvSvc - hkey= - key= - File not found

MsConfig - StartUpReg: Windows Defender - hkey= - key= - File not found

ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} -

ActiveX: {46159AE5-B015-AB0B-2A2C-8FE636DC813A} -

ActiveX: {C82A62C8-7A60-FEB9-5FFE-22AACCB46B89} -

@Alternate Data Stream - 107 bytes -> C:\ProgramData\TEMP:F35A93AD

 

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

:commands

[PURITY]

[EMPTYTEMP]

[REBOOT]

Dans la fenêtre de l'outil OTLPE, cliquez sur [bRun Fix][/b] ;

Patientez juqu'à l'apparition du rapport

Faites un "Shutdown" de l'environnement OTLPE (via le bouton "Start" au bas à gauche) et redémarrez normalement la machine infectée après avoir retiré le CD OTLPE.

collez le rapport de OTLPE dans votre réponse

Modifié le 21 août 2012 par pear

[ThomassssS]

Le nettoyage ne c'est pas passé comme prévu.

 

j'ai bien copier/coller le texte en vert. Au clic sur le bouton "Run Fix" le logiciel à eu l'air de "mouliner", puis une fenêtre est apparue me demandant directement "Do you want to Shutdown - Y/N". A aucun momment il n'a affiché de rapport. L'interface n'a pas non plus de bouton pour générer ou afficher le rapport.

 

J'ai donc redémarré la machine sans voir le rapport, mais tout l'environnement OTLPE a planté au début du "Shutdown". Mon écran s'est figé, j'ai été obligé de redémarrer la machine avec un reset.

 

Au redémarrage, rien n'a changé, les symptômes sont toujours là.

 

Est-ce que le rapport a été enregistré quelque part sur mon disque dur? Faut-il que je recommence la procédure avec le même texte vert?

[pear]

Au redémarrage, rien n'a changé, les symptômes sont toujours là.

 

Je rends les armes faute de munitions.

Désolé.

Modifié le 22 août 2012 par pear

[ThomassssS]

C'est très gentil d'avoir essayé. Je vous remercie pour le temps passé et pour vos efforts.

 

Est-ce que vous pensez qu'un formatage résoudrait le problème?

[pear]

Préoccupé par la recherche de votre infection, j'ai oublié de vous prescrire ces procédures.

Désolé!

 

1)Télécharger unhide

puis lancez le en mode administrateur

sur le bureau

Unhide va restaurer les éléments du Menu Démarrer et de la Barre de lancement rapide (Quick Launch) qui ont été supprimés et stockés dans le dossier %Temp%\smtmp.

 

2)Procédure Usbfix

 

3)StartUpLite fournit une solution sécuritaire, facile et efficace pour éliminer les applications inutiles qui se lancent pendant le démarrage de l'ordinateur.

 

En désactivant ou en éliminant les entrées inutiles, StartUpLite peut grandement diminuer votre temps de démarrage en quelques clics de votre souris. N'attendez plus et commencez à utiliser votre PC.

StartupLite par Malwarebytes

 

 

Téléchargez simplement StartUpLite et sauvegardez-le sur le bureau

Faites un double-clic sur StartUpLite.exe.

 

Sélectionnez toutes les options que vous voulez exécuter et cliquez sur Continue.

 

4)Ce logiciel peut désinstaller les outils utilisés pour la désinfection:

Télécharger DelFix de Xplode

Lancez-le.

Cliquez [Recherche]

puis [suppression]

 

Un rapport va s'ouvrir à la fin, à coller dans la réponse

 

Enfin cliquer [Désinstallation]

[ThomassssS]

Merci,

 

Voilà le rapport Usbfix.

 

############################## | UsbFix V 7.096 | [Recherche]

 

Utilisateur: Laurent (Administrateur) # PC-DE-LAURENT

Mis à jour le 15/08/2012 par El Desaparecido

Lancé à 13:28:08 | 22/08/2012

 

Site Web: http://eldesaparecido.com

Forum: http://forum.eldesaparecido.com

Fichier suspect ? : http://eldesaparecido.com/upload.php

Contact: contact@eldesaparecido.com

 

PC: Dell Inc. (Vostro 1700 ) (X86-based PC) # Notebook

CPU: Intel® Core2 Duo CPU T7250 @ 2.00GHz (2001)

RAM -> [Total : 3581 | Free : 2090]

BIOS: Phoenix ROM BIOS PLUS Version 1.10 A02

BOOT: Normal boot

 

OS: Microsoft® Windows Vista™ Professionnel (6.0.6001 32-Bit) # Service Pack 1

WB: Windows Internet Explorer 8.0.6001.18828

 

SC: Security Center Service [Enabled]

WU: Windows Update Service [Enabled]

AV: avast! Antivirus [(!) Disabled | Updated]

FW: Windows FireWall Service [Enabled]

 

C:\ (%systemdrive%) -> Disque fixe # 136 Go (38 Go libre(s) - 28%) [OS] # NTFS

D:\ -> Disque fixe # 10 Go (6 Go libre(s) - 63%) [RECOVERY] # NTFS

E:\ -> CD-ROM

F:\ -> CD-ROM

G:\ -> Disque fixe # 932 Go (868 Go libre(s) - 93%) [iomega HDD] # NTFS

I:\ -> Disque fixe # 932 Go (182 Go libre(s) - 20%) [LaCie] # NTFS

J:\ -> Disque amovible # 962 Mo (925 Mo libre(s) - 96%) [] # FAT32

K:\ -> Disque amovible # 4 Go (3 Go libre(s) - 81%) [sTORE N GO] # FAT32

 

################## | Processus Actif |

 

C:\Windows\system32\csrss.exe (584)

C:\Windows\system32\wininit.exe (636)

C:\Windows\system32\csrss.exe (648)

C:\Windows\system32\services.exe (680)

C:\Windows\system32\lsass.exe (708)

C:\Windows\system32\lsm.exe (716)

C:\Windows\system32\svchost.exe (876)

C:\Windows\system32\nvvsvc.exe (948)

C:\Windows\system32\svchost.exe (976)

C:\Windows\System32\svchost.exe (1032)

C:\Windows\System32\svchost.exe (1056)

C:\Windows\system32\svchost.exe (1068)

C:\Windows\system32\svchost.exe (1180)

C:\Windows\system32\SLsvc.exe (1220)

C:\Windows\system32\svchost.exe (1260)

C:\Windows\system32\winlogon.exe (1376)

C:\Windows\system32\svchost.exe (1460)

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (1560)

C:\Program Files\NVIDIA Corporation\Display\NvXDSync.exe (1776)

C:\Windows\system32\nvvsvc.exe (1864)

C:\Windows\System32\spoolsv.exe (1936)

C:\Windows\system32\svchost.exe (2000)

C:\Windows\system32\taskeng.exe (1468)

C:\Windows\system32\Dwm.exe (2060)

C:\Windows\Explorer.EXE (2120)

C:\Windows\system32\taskeng.exe (2128)

C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (2400)

C:\Windows\System32\svchost.exe (2416)

C:\Windows\System32\svchost.exe (2488)

C:\Windows\System32\svchost.exe (2520)

C:\Windows\system32\svchost.exe (2564)

C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (2716)

C:\Windows\system32\svchost.exe (2772)

C:\Windows\System32\svchost.exe (2804)

C:\Windows\system32\SearchIndexer.exe (2836)

C:\Windows\system32\WUDFHost.exe (3048)

C:\Windows\System32\mobsync.exe (3352)

C:\Program Files\Alwil Software\Avast5\AvastUI.exe (3532)

C:\Program Files\Hp\HP Software Update\hpwuschd2.exe (3560)

C:\Windows\system32\svchost.exe (3788)

C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe (4068)

C:\Windows\system32\conime.exe (1292)

C:\Program Files\Microsoft\BingBar\7.1.391.0\SeaPort.exe (3460)

C:\Program Files\Mozilla Firefox\firefox.exe (3336)

C:\Program Files\Mozilla Firefox\plugin-container.exe (756)

C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_3_300_271.exe (2444)

C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_3_300_271.exe (3388)

C:\UsbFix\Go.exe (2052)

C:\Windows\system32\wbem\wmiprvse.exe (2664)

 

################## | Éléments infectieux |

 

 

################## | Registre |

 

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

 

################## | Mountpoints2 |

 

 

 

################## | Vaccin |

 

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

I:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

J:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

K:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

 

################## | E.O.F |

[ThomassssS]

Voilà les rapports Delfix:

 

Le premier rapport apparu apres le clic sur "rechercher" est là:

Lien CJoint.com 0HwmkyeZyX4

 

Le 2em rapport apparu apres le clic sur "supprimer" est là

Lien CJoint.com 0Hwml0OomgB

 

 

Comme l'infection est toujours présente et que les nombreuses procedures de désinfection n'ont rien données je pense formater.

 

Je ne voulais pas en arriver là mais comme je ne peux plus travailler depuis 9 jours à cause de ce probleme je dois aujourd'hui privilégier une solution rapide.

 

Merci pour tous vos conseils et tout vos efforts. Votre action est très utile et je me joins à tous les internautes dans la detresse que vous aider pour vous remercier.