Besoin d'aide Pc gravement infecter Fermé

Question

Bonjour,
j'aurai besoin d'aide,
j'explique mon problème, une amie ma donner un pc portable en lambeau que j'ai retapé ... mais il se trouve que ce pc à toute les infections possible et inimaginable ... impossible de faire co-éxisté un antivirus avec ce système car il se fait désintégré illico ... plein de programme ne se lance plus (exemple : media player... etc)
d'autre ce lance alors que pas solicité du tout...
l'avant dernier fois que j'avais eu ce pc entre les mains (ya un an) j'avais installer "Antivir" dessus qui à illico repéré une quarantaine d'infection avant de se faire réduire au silence ...^^
à l'époque ce pc fonctionné bien ,avec mes maigre connaissance en informatique, j'avais cru avoir réglé le problème,
mais voilà ce pc me reviens entre les mains plus mal que jamais ...

armé de courage j'ai essayé un combofix ... qui à été pulverisé illico ...
j'ai essayé un combofix en mode sans echec ... aprés un bras de fer acharné, j'ai réussis à avoir un aperçue des problèmes :

tout d'abort quelque info sur le pc :

HP pavilon ze4200
Windows XP (original, certifié)
les outils que je dispose :
Pas de connexion à internet, je dispose d'une clef Usb et d'un autre pc (vista)
(clef usb infecté à chaque échange que je dois nettoyé...)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
rapport combofix:

ComboFix 09-11-27.07 - Administrateur 28/11/2009 21:01.1.1 - x86 MINIMAL
Microsoft Windows XP Édition familiale  5.1.2600.1.1252.33.1036.18.191.83 [GMT 1:00]
Lancé depuis: E:\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\documents and settings	azebama.dll


((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\documents and settings\Administrateur\Application Data\Dossier de téléchargement Share-to-Web 
c:\documents and settings\Administrateur\Application Data	azebama
c:\documents and settings\Administrateur\Application Data	azebama\zPharaoh.dat
c:ecycler\S-1-5-21-1970460298-2684031083-2765980350-1003
c:ecycler\S-1-5-21-776561741-789336058-1060284298-1003
C:\zPharaoh.exe
C:\zPharaoh.exe . . . . impossible à supprimer

c:\windows\system32\qmgr.dll . . . est infecté!!

c:\windows\PCHealth\HelpCtr\Binaries\helpctr.exe . . . est infecté!! . . .Failed to restore. Attempting to replace on reboot 

c:\windows\PCHealth\HelpCtr\Binaries\msconfig.exe . . . est infecté!! . . .Failed to restore. Attempting to replace on reboot 

Une copie infectée de c:\windows\system32\cmd.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\system32\dllcache\cmd.exe 

c:\windows\system32\dxdiag.exe . . . est infecté!! . . .Failed to restore. Attempting to replace on reboot 

Une copie infectée de c:\windows\system32\magnify.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\system32\dllcache\magnify.exe 

Une copie infectée de c:\windows\system32\mobsync.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\system32\dllcache\mobsync.exe 

Une copie infectée de c:\windows\system32\mstsc.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\system32\dllcache\mstsc.exe 

c:\windows\system32
tsd.exe . . . est infecté!! . . .Failed to restore. Attempting to replace on reboot 

Une copie infectée de c:\windows\system32\osk.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\system32\dllcache\osk.exe 

c:\windows\system32	elnet.exe . . . est infecté!! . . .Failed to restore. Attempting to replace on reboot 

Une copie infectée de c:\windows\system32	racert6.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{58E8BEBA-26A4-45ED-9D92-ED376219F13B}\RP145\A0047912.exe 

Une copie infectée de c:\windows\system32	scupgrd.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{58E8BEBA-26A4-45ED-9D92-ED376219F13B}\RP145\A0047913.exe 

Une copie infectée de c:\windows\system32\userinit.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{58E8BEBA-26A4-45ED-9D92-ED376219F13B}\RP145\A0047914.exe 

Une copie infectée de c:\windows\system32\usrmlnka.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{58E8BEBA-26A4-45ED-9D92-ED376219F13B}\RP145\A0047916.exe 

Une copie infectée de c:\windows\system32\usrprbda.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{58E8BEBA-26A4-45ED-9D92-ED376219F13B}\RP145\A0047917.exe 

Une copie infectée de c:\windows\system32\usrshuta.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{58E8BEBA-26A4-45ED-9D92-ED376219F13B}\RP145\A0047918.exe 

Une copie infectée de c:\windows\PCHealth\HelpCtr\Binaries\helpctr.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{58E8BEBA-26A4-45ED-9D92-ED376219F13B}\RP145\A0045126.exe
Une copie infectée de c:\windows\PCHealth\HelpCtr\Binaries\msconfig.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{58E8BEBA-26A4-45ED-9D92-ED376219F13B}\RP145\A0045127.exe
Une copie infectée de c:\windows\system32\dxdiag.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{58E8BEBA-26A4-45ED-9D92-ED376219F13B}\RP145\A0048268.exe
Une copie infectée de c:\windows\system32
tsd.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{58E8BEBA-26A4-45ED-9D92-ED376219F13B}\RP145\A0048168.exe
Une copie infectée de c:\windows\system32	elnet.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\system volume information\_restore{58E8BEBA-26A4-45ED-9D92-ED376219F13B}\RP145\A0048196.exe
.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-10-28 au 2009-11-28  ))))))))))))))))))))))))))))))))))))
.

2009-11-28 20:20 . 2009-11-28 20:20	--------	d-----w-	c:\windows\LastGood
2009-11-28 20:14 . 2009-11-28 20:14	--------	d-----w-	c:\documents and settings\SYSTEM\Application Data
2009-11-28 20:14 . 2009-11-28 20:14	--------	d-----w-	c:\documents and settings\SYSTEM
2009-11-28 20:08 . 2009-11-28 20:08	--------	d-----w-	c:\documents and settings\Administrateur\Application Data	azebama

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-28 20:20 . 2002-08-30 02:00	1164655	----a-w-	c:\windows\OLD3.tmp
2009-11-28 19:50 . 2002-12-09 05:15	308079	----a-w-	c:\windows\system32\HPConfig.exe
2009-11-10 15:55 . 2002-09-16 14:59	65800	----a-w-	c:\windows\system32\perfc00C.dat
2009-11-10 15:55 . 2002-09-16 14:59	449978	----a-w-	c:\windows\system32\perfh00C.dat
2009-10-22 15:51 . 2006-12-24 19:18	1131375	----a-w-	c:\windows\system32\dxdiag.exe
2009-10-21 18:22 . 2007-02-26 12:37	327303	----a-w-	c:\windows\system32\wuauclt1.exe
2009-10-21 18:22 . 2002-08-30 02:00	328076	----a-w-	c:\windows\system32\wjview.exe
2009-10-21 18:22 . 2000-01-27 23:00	217967	----a-w-	c:\windows\system32\wrkgadm.exe
2009-10-21 18:17 . 2002-08-30 02:00	230255	----a-w-	c:\windows\system32	elnet.exe
2009-10-21 18:17 . 2002-08-30 02:00	188271	----a-w-	c:\windows\system32
tsd.exe
2009-10-21 18:17 . 2002-08-30 02:00	486255	----a-w-	c:\windows\system32
etsetup.exe
2009-10-21 18:16 . 2002-08-30 02:00	328587	----a-w-	c:\windows\system32\jview.exe
2009-10-21 18:16 . 2006-12-24 19:16	203119	----a-w-	c:\windows\system32\dxdllreg.exe
2009-10-21 18:16 . 2002-08-30 02:00	205709	----a-w-	c:\windows\system32\clspack.exe
2009-10-21 18:16 . 2002-08-30 02:00	202159	----a-w-	c:\windows\system32\cliconfg.exe
2009-10-21 18:16 . 2002-12-09 13:59	185199	----a-w-	c:\windows\system32\Ati2mdxx.exe
2009-10-21 18:01 . 2002-12-09 05:13	389999	----a-w-	c:\windows\Help\SBSI\Training\ounins32_s.exe
2009-10-21 18:01 . 2002-12-09 05:13	205679	----a-w-	c:\windows\Help\SBSI\Training\usersid.exe
2009-10-21 17:55 . 2005-12-19 09:29	308079	-c--a-w-	c:\windows\UnGdg5FR.exe
2009-10-21 17:55 . 2002-10-14 16:23	283503	-c--a-w-	c:\windows\UNINST32.EXE
2009-10-21 17:55 . 2002-12-09 05:15	463215	-c--a-w-	c:\windows\IsUninst.exe
2009-10-21 17:55 . 2002-12-09 05:13	464751	-c--a-w-	c:\windows\IsUn040c.exe
2009-09-24 15:54 . 2002-08-30 02:00	295791	----a-w-	c:\windows\system32\sndvol32.exe.tmp
.

------- Sigcheck -------



[-] 2002-12-17 17:45 . 4A38A7A585EED0EBA03EA025A82DAC04 . 52736 . . [9.0.1.56] . . c:\windows\system32\mspmsnsv.dll

c:\windows\System32\wscntfy.exe ... manque !!
c:\windows\System32\xmlprov.dll ... manque !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2009-10-21 1667980]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2009-08-31 516975]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"srmclean"="c:\cpqs\Scom\srmclean.exe" [2009-08-21 193391]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [2001-07-19 52736]
"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-07-10 188416]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2009-10-21 332724]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2009-10-21 447343]
"MMTray"="c:\program files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2002-08-26 90112]
"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2009-10-21 185199]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-30 13312]

R3 CALIAUD;Conexant AMC 3D ENVIRONMENTAL AUDIO;c:\windows\system32\drivers\caliaud.sys [09/12/2002 06:02 291328]
R3 CALIHALA;CALIHALA;c:\windows\system32\drivers\calihal.sys [09/12/2002 06:02 244608]
R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;c:\windows\system32\drivers\DP83815.sys [09/12/2002 14:59 16512]
S3 ALiIRDA;ALi Infrared Device Driver;c:\windows\system32\drivers\aliirda.sys [09/12/2002 14:59 26112]
S3 gAGP440p;gAGP440p;\??\c:\docume~1\PROPRI~1\LOCALS~1\Temp\gAGP440p.sys --> c:\docume~1\PROPRI~1\LOCALS~1\Temp\gAGP440p.sys [?]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [21/03/2009 18:55 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [21/03/2009 18:55 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [21/03/2009 18:55 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s916mgmt.sys [21/03/2009 18:55 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\system32\drivers\s916obex.sys [21/03/2009 18:55 100008]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [24/12/2006 20:32 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [24/12/2006 20:32 85696]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.13\AMVConverter\grab.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: MediaManager tool grab multimedia file - c:\program files\MP3 Player Utilities 4.13\MediaManager\grab.html
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Windows Service XP - XpFirewall.exe
HKU-Default-Run-Windows Service XP - XpFirewall.exe
HKU-Default-Run-Win32 - msinnt.exe
AddRemove-QT4HPOT - c:\windows\UnInst32.exe QT4HPOT.UNI



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-28 21:22
Windows 5.1.2600 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????????D????????? ?X#B?????????????l|B? ?????? 
  MMTray = c:\program files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe?w???g8???V??g8???SOFTWARE\MusicMatch\MusicMatch Jukebox\4.0\TrayApp????X??????????????????>?w0 ?w????3??w???g?v?????????g?????DY????????g:???2?????????????????@???X???X?X???d???T???????0?Y???????Q????? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(616)
c:\windows\System32\ODBC32.dll
c:\windows\System32\ac3acm.acm

- - - - - - - > 'lsass.exe'(672)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(984)
c:\windows\System32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\HPConfig.exe
c:\program files\HPQ\Notebook Utilities\HPWirelessMgr.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
.
**************************************************************************
.
Heure de fin: 2009-11-28 21:29 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-11-28 20:28

Avant-CF: 5 286 551 552 octets libres
Après-CF: 5 263 138 816 octets libres

- - End Of File - - 86FA7F0588893208DACE19E5E6E544FA

humm, merci

Bionicman · Answer

salut,
Je te conseil de sauvegardé t'es donnés et de formater ce PC se sera beaucoup plus simple et plus sain

totobetourne · Answer

on peut essayer , on va voir.

1)--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau.
http://pagesperso-orange.fr/NosTools/usbfix.html


--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Clique droit sur le raccourci UsbFix situé sur ton Bureau et choisis Exécuter en tant qu'administrateur.

--> Choisis l'option 1 (recherche).

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)


refais pareil mais en option 2 apres colle le rapport que tu obtiens.



2)comment se comporte le pc?

Djnigt23 · Answer

Salut, merci de m'avoir répondu,
1) j'ai chercher un peu partout des personnes qui avait ce problèmes ...
j'ai télécharger et utilisé, tous les programmes conseiller... (dont usbfix, ...)

2) j'essaye plein de manœuvre, pour me débarrasser de ce virus, mais il est partout...
je désactive le processus "tazebama", je le supprime ou renomme (en changent le format) à la racine, et partout où je le rencontre, mais il suffit que j'ouvre "le bloc note" pour que le processus "tazebama" se relance et que tous les fichiers (autorun, zpharoh , tazebama) se remette exactement comme avant, ainsi que mes config est remis à la valeur par défaut ... etc

le processus ce lance avant méme que j'ouvre une session !!! (pseudo, mot de passe)
je le remarque à ce message :

Microsoft Office Outlook
"Soit il n'éxiste pas de client de messagerie par défaut, soit le client de messagerie actuel ne peut pas répondre à la demande de la messagerie. Exécutez Microsoft Office Outlook et définissez-le comme client de messagerie par défaut"


>> ce message plus haut s'affiche avant même que j'ouvre une session.
>> ce message s'affiche à chaque fois que je lance un programme .
>> quand ce message s'affiche je sais que le processus "tazebama" à était lancé

3) aucun programme n'arrive à me l'extraire, je devrai sans doute le faire manuellement.
je pense pas que le formatage résoudra ce problème,
j'ai besoin d'instructions de vrai pro pour me guider ...
merci

Bionicman · Answer

je voi mal ce que vous pouvez faire sur un pc plus qu'infecté a par le formater ce qui sera beaucoup plus sur pour cette personne puisque toutes les menaces seront supprimé et ce de manière sur...