Virus ? Impossible d'accéder à msconfig

Résolu
eloradanan17 Messages postés 13 Statut Membre -  
eloradanan17 Messages postés 13 Statut Membre -
Bonjour
Config : windows XP internet explorer 7
Je pense avoir un petit problème. Depuis quelques jours, je constate les problèmes suivants
- Impossible d'accéder à msconfig
- impossible de faire une restauration système
- quand je veux accéder à internet : les favoris et tous les fenêtres qui entourent yahoo ont disparu, c'est lorsque j'ouvre pour la deuxième fois sur internet explorer que tout redevient comme avant que tout redevient comme avant.

J'ai eu un rootkit que j'ai éliminé avec avira et malwarebytes anti malware. Je vous poste le rapport de malware si ca peut aider. Je pense que mon problème est peut être dû à ce truc ou peut être que j'ai fait une mauvaise manipulation.
J'ai également comme programme sur mon ordi pour faire les scan hijackthis

Merci de votre aide
Elod

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.13

14/04/2010 18:54:05
mbam-log-2010-04-14 (18-54-05).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 203862
Temps écoulé: 1 heure(s), 28 minute(s), 51 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 17

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{292072BA-E9D1-4234-8924-EF16695C56D6}\RP459\A0062477.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{292072BA-E9D1-4234-8924-EF16695C56D6}\RP459\A0062487.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{292072BA-E9D1-4234-8924-EF16695C56D6}\RP459\A0062502.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\bridge.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\bthenum.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\bthpan.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\bthusb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\ccdecode.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\changer.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\dmusic.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\drmkaud.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\fdc.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\flpydisk.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\i2omgmt.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\ip6fw.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\ipinip.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\LastGood\system32\drivers\irenum.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

4 réponses

  1. Utilisateur anonyme
     
    Bonjour
    un rootkit, cela ne se supprime pas aussi facilement
    avant de commencer, fait une sauvegarde de tous tes documents

    Attention, cet outil n'est pas à utiliser à la légère, il doit
    être recommandé que par une personne formée à cet outil


    Télécharge ComboFix de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES antivirus et antispyware y compris /!\
    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
    Surtout accepte d'installer la console de récupération
    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt
    0
  2. eloradanan17 Messages postés 13 Statut Membre
     
    Bonjour
    merci de ton aide
    Voci le rapport

    ComboFix 10-04-19.05 - Elodie 20/04/2010 15:11:37.6.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.567 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Elodie\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-20 au 2010-04-20 ))))))))))))))))))))))))))))))))))))
    .

    2010-04-14 15:04 . 2008-04-13 18:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
    2010-04-14 15:04 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
    2010-04-14 15:02 . 2008-04-13 18:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
    2010-04-14 14:55 . 2008-04-13 18:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
    2010-04-14 14:53 . 2010-04-14 14:53 40448 ---ha-w- c:\windows\system32\chkndiag.dll
    2010-04-05 07:12 . 2010-04-14 12:25 443912 ----a-w- c:\documents and settings\Elodie\Application Data\Real\Update\setup3.10\setup.exe
    2010-03-26 11:01 . 2010-03-26 16:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
    2010-03-26 11:01 . 2010-03-26 11:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
    2010-03-26 11:01 . 2010-03-26 11:01 -------- d-----w- c:\documents and settings\All Users\Application Data\NortonInstaller

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-04-15 14:47 . 2007-11-09 08:35 -------- d-----w- c:\program files\eMule
    2010-04-14 17:55 . 2005-09-15 12:01 68952 ----a-w- c:\windows\system32\perfc00C.dat
    2010-04-14 17:55 . 2005-09-15 12:01 455428 ----a-w- c:\windows\system32\perfh00C.dat
    2010-04-12 21:00 . 2008-08-09 07:24 -------- d-----w- c:\program files\Google
    2010-03-31 05:03 . 2009-01-05 21:29 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-03-31 04:41 . 2009-01-15 07:12 5918776 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2010-03-29 22:46 . 2009-01-05 21:29 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-03-29 22:45 . 2009-01-05 21:29 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-03-17 12:53 . 2009-12-05 14:46 79488 ----a-w- c:\documents and settings\Elodie\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
    2010-03-11 12:34 . 2005-09-15 12:01 832512 ----a-w- c:\windows\system32\wininet.dll
    2010-03-11 12:34 . 2005-09-15 12:01 78336 ----a-w- c:\windows\system32\ieencode.dll
    2010-03-11 12:34 . 2005-09-15 12:01 17408 ----a-w- c:\windows\system32\corpol.dll
    2010-03-09 11:10 . 2005-09-15 12:01 430080 ----a-w- c:\windows\system32\vbscript.dll
    2010-02-26 15:45 . 2010-02-26 15:45 -------- d-----w- c:\program files\CCleaner
    2010-02-26 15:44 . 2010-02-26 15:44 3370400 ----a-w- c:\program files\ccsetup228.exe
    2010-02-26 14:34 . 2010-02-26 14:33 12 ----a-w- c:\documents and settings\NetworkService\Application Data\rbuwzv.dat
    2010-02-24 13:11 . 2005-09-15 12:01 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-02-17 12:07 . 2005-09-15 12:01 2192000 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-02-16 19:07 . 2004-08-04 00:48 2068864 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2010-02-12 10:03 . 2010-03-18 06:52 293376 ------w- c:\windows\system32\browserchoice.exe
    2010-02-12 04:34 . 2005-09-15 12:01 100864 ----a-w- c:\windows\system32\6to4svc.dll
    2010-02-11 12:02 . 2005-09-15 12:01 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-20 68856]
    "updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
    "SoundMan"="SOUNDMAN.EXE" [2005-03-10 90112]
    "AlcWzrd"="ALCWZRD.EXE" [2005-03-10 2803712]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-28 7405568]
    "nwiz"="nwiz.exe" [2006-05-28 1519616]
    "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217]
    "SMSERIAL"="sm56hlpr.exe" [2005-08-01 544768]
    "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-03-28 94208]
    "EPSON Stylus D88 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304]
    "VX3000"="c:\windows\vVX3000.exe" [2006-12-05 707360]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-26 136600]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-18 98304]
    "SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
    "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2005-04-15 45056]
    "OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
    "InstantOn"="c:\program files\CyberLink\PowerCinema Linux\ion_install.exe" [2005-05-11 93640]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-12-10 185872]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
    Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2006-10-3 573440]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Iomega Automatic Backup Pro]
    2005-07-01 08:12 18968576 ----a-w- c:\program files\Iomega\Automatic Backup Pro\LiveSystem.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]
    2007-01-13 01:48 275800 ----a-w- c:\program files\Microsoft LifeCam\LifeExp.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
    2007-10-18 10:34 5724184 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    2008-12-10 16:37 185872 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "SysmonLog"=3 (0x3)
    "mnmsrvc"=3 (0x3)

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
    dwwismui REG_SZ c:\windows\system32\chkndiag.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
    "c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
    "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "36874:TCP"= 36874:TCP:emule
    "16526:UDP"= 16526:UDP:emule1

    R0 IABFilt;Iomega Snapshot Volume Filter;c:\windows\system32\drivers\IABFilt.sys [11/10/2006 21:29 25344]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [02/12/2009 18:15 108289]
    S3 cmuda2;C-Media USB Audio Interface;c:\windows\system32\drivers\cmuda2.sys [06/01/2004 15:21 705536]
    S3 k600bus;Sony Ericsson 600i driver (WDM);c:\windows\system32\drivers\k600bus.sys [11/05/2005 13:12 52384]
    S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;c:\windows\system32\drivers\k600mdfl.sys [11/05/2005 13:12 6096]
    S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;c:\windows\system32\drivers\k600mdm.sys [11/05/2005 13:12 87456]
    S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;c:\windows\system32\drivers\k600mgmt.sys [11/05/2005 13:12 79248]
    S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;c:\windows\system32\drivers\k600obex.sys [11/05/2005 13:12 77072]
    .
    Contenu du dossier 'Tâches planifiées'
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.yahoo.fr/
    uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    TCP: {46C3642E-7613-4276-8004-BF674545FF2A} = 192.168.2.1
    DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-04-20 15:16
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-2390838539-1170697541-1970536649-1009\Software\SecuROM\License information*]
    "datasecu"=hex:4f,06,fb,81,0f,db,49,8f,bb,9c,d1,e3,e0,56,03,bb,b1,bc,cf,2e,bc,
    7b,e3,af,47,14,62,71,2b,b9,db,72,9a,e6,05,fe,2b,be,11,d1,d9,47,7d,8c,8f,4c,\
    "rkeysecu"=hex:4c,c4,58,99,09,8a,46,48,d1,fd,d5,26,d7,4b,06,7f

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
    "C040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
    "C040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(6340)
    c:\windows\system32\nview.dll
    c:\program files\ScanSoft\OmniPageSE4.0\OpHookSE4.dll
    c:\program files\Logitech\SetPoint\lgscroll.dll
    c:\windows\system32\chkndiag.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\nvwddi.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    Heure de fin: 2010-04-20 15:18:25
    ComboFix-quarantined-files.txt 2010-04-20 13:18
    ComboFix2.txt 2009-02-06 08:03

    Avant-CF: 50 234 843 136 octets libres
    Après-CF: 51 958 128 640 octets libres

    - - End Of File - - E9A87BD444F8FE52498F0481C7AAECDA
    0
  3. Utilisateur anonyme
     
    * Télécharge ZHPDiag (de Nicolas Coolman)
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Héberge le rapport ICI
    0
  4. eloradanan17 Messages postés 13 Statut Membre
     
    voila le rapport et le lien où tu m'as demandé de le poster

    http://www.cijoint.fr/cjlink.php?file=cj201004/cijAk2feB5.txt
    0