Finaliser extraction UsBFix d'un ver autorun

Bonjour,

Le PC d'une connaissance est multinfecté.

Le problème le plus manifeste était une modification de l'affichage avec
un "warning vous êtes infecté par un spyware" qui clignote mais il y a
manifestement d'autres problèmes sous-jacents

Voici le résultat USB Fix (option 2) obtenu
############################## [ UsbFix V3.025 | Cleaning ]

# User : xx (Administrateurs) # XXX-8B9360D9FCC
# Update on 22/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 11:13:50 | 17/06/2009

# Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Disabled
# AV : avast! antivirus 4.8.1296 [VPS 090616-0] 4.8.1296 [ Enabled | Updated ]
# FW : Sunbelt Personal Firewall[ Enabled ]4.6.1861 T

# C:\ # Disque fixe local # 465,75 Go (449,62 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# J:\ # Disque amovible

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\WINDOWS\system32\win32hlp.cnf
Deleted ! "C:\WINDOWS\system32\bycool"
Deleted ! "C:\WINDOWS\system32\bycool1"
Deleted ! "C:\WINDOWS\system32\f"
Deleted ! "C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013"

################## [ Registre # Clés Run infectieuses ]

# HKCU\SOFTWARE\...\CurrentVersion\Policies\System\\ "DisableTaskMgr"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 ) # -> Reset sucessfully !

################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\...\Explorer\MountPoints2\{013b391e-28fe-11de-9a0b-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{046dbdf7-a983-11dd-994a-001ec970bcb5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{15d93f5e-ed49-11dd-99b7-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{16eb3f3f-1d06-11de-99f8-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{175293c8-f68c-11dd-99c0-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{1c2f5e20-af25-11dd-9953-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{1fdfc080-bb9d-11dd-9967-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{1fdfc082-bb9d-11dd-9967-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{203ac54c-3a60-11de-9a23-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{24fafaec-0196-11de-99d3-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{24fafaee-0196-11de-99d3-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{24fafaf1-0196-11de-99d3-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{24fafaf3-0196-11de-99d3-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{27684128-0194-11de-99d2-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{2805c621-aca5-11dd-9952-001ec970bcb5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{2d5d83ca-e166-11dd-999c-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{312f24f0-c6a3-11dd-9978-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{4118254d-bd20-11dd-9969-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{54c95d4f-2a5e-11de-9a0e-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{6de2f7a6-2a93-11de-9a0f-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{6f113b9a-29a3-11de-9a0c-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{6f113b9b-29a3-11de-9a0c-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{7f63efc5-af2f-11dd-9954-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{7fe2c76c-dd5c-11dd-9992-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{8321d0f7-c1ee-11dd-9972-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{8321d103-c1ee-11dd-9972-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{83ef5dee-03f8-11de-99d7-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{84aa4bda-0e21-11de-99e4-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{8749837c-070c-11de-99d9-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{87498380-070c-11de-99d9-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{902c81d2-1944-11de-99f2-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{921be283-2416-11de-9a06-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{99d180e5-0e2c-11de-99e5-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{9baf502e-3561-11de-9a1d-001ec970bcb5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{9baf5030-3561-11de-9a1d-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{a96cbc14-0ee5-11de-99e6-001ec970bcb5}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{aa179f7a-bd3d-11dd-996a-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{ad4b616a-0966-11de-99dd-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{afc89d0d-cce6-11dd-9982-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{b16f17ca-c2a8-11dd-9973-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{cf05c45e-1865-11de-99ee-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{d46a5dc3-12cc-11de-99e9-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{e9c914b3-a729-11dd-9948-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{e9c914b7-a729-11dd-9948-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{f27c6add-fe65-11dd-99d0-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{f2e87b53-c6c9-11dd-9979-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{f519ed4a-fcce-11dd-99c9-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{f560f388-3309-11de-9a18-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{f560f389-3309-11de-9a18-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{f6f7a3b5-2e53-11de-9a13-001ec970bcb5}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{f852d59e-bafb-11dd-9966-001ec970bcb5}\Shell\AutoRun\Command

################## [ Listing des fichiers présent ]

[29/09/2008 12:07|--a------|0] - C:\AUTOEXEC.BAT
[29/09/2008 12:03|---hs----|212] - C:\boot.ini
[05/08/2004 11:00|-rahs----|4952] - C:\Bootfont.bin
[29/09/2008 12:07|--a------|0] - C:\CONFIG.SYS
[29/09/2008 12:07|-rahs----|0] - C:\IO.SYS
[29/09/2008 12:07|-rahs----|0] - C:\MSDOS.SYS
[05/08/2004 11:00|-rahs----|47564] - C:\NTDETECT.COM
[11/05/2009 12:24|-rahs----|252240] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[11/12/2008 10:16|--a------|20931] - C:\update_avast_4_vps.html
[17/06/2009 11:18|--a------|8269] - C:\UsbFix.txt
[08/06/2009 11:30|--a------|55] - C:\xcrashdump.dat

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ Informations # Fichier Suspect ]


Suspect ! C:\WINDOWS\system32\UACusovnmbpjthesix.dll

################## [ Cracks # Keygens # Serials ]

# -> Nothing found !

################## [ ! Fin du rapport # UsbFix V3.025 ! ]

Après cette opération, il a fallu réinstaller et remettre à jour avast
( cet antivirus ne fonctionnait plus normalement avec disparition de l'affichage des chiffres permettant de choisir le devenir des virus identifiés).
Moyennant une désactivation temporaire de la restauration du système, avast ne détecte plus de virus
Toutefois il est impossible de faire refonctionner USBFix.
L'outil se bloque sur un Mointpoint2/autorun/command.

Il existe sur le bureau deux executable suspects sans signature numérique :
a) setupAntivirusXP.exe
b) wmp11.exe
Jeur suppression manuelle provoqie des anomalies d'affichage supplémentaire et l'appareil s'éteint seul
En attendant avis plus informé ils ont été restaurés à leur position d'origine.

Le fichier suspect de Windows qui a été (temporairement) déplacé ne parait pas nécessaire au bon fonctionnement de la machine, mais comme c'est un dll pas formellement infectieux j'aimerais savoir s'il peut-être supprimé.

Quand au problème d'affichage, le retrait manuel des deux éléments suivants à permis
de faire disparaître l'affichage "warning vous êtes infecté par un dangereux spyware"
et de recupérer un écran bleu.
* warning.gif
* ahtn.htm (lié à une icone explorer)
Toutefois, il est impossible d'accéder au choix des images à partir de "clic droit" sur l'écran "propriétés"
on peut simplement accéder à un choix de couleurs.
La tentative de réparation avec le pack SP2 de XP est inopérant sur ce problème
Comment trouver le malware qui modifie l'affichage ?

CAT
SVP

Merci