Trojan dans winit et explorer

Hardin Messages postés 18 Statut Membre -  
Hardin Messages postés 18 Statut Membre -
Bonjour à tous,

Je rejoins le forum suite à une infection d'un ordinateur après quelques recherches sur le site. Heureusement je dispose d'un autre ordinateur sain pour poster et me renseigner. :)

Voilà mes problèmes :

*Fenêtres pop-up me signalant que l'ordinateur est infecté, me conseillant d'acheter un antivirus qui dénombre une bonne vingtaine de trojans et autre backdoor sur ledit PC

*Impossibilité d'installer un antivirus (l'installation ne se lance pas)

*Fenêtres m'indiquant tout un tas de programmes/fichiers infectés

*Redirection de page sous firefox (+changement de page de démarrage parfois), IE ne fonctionne pas (pour éviter les contaminations)

Je remercie d'avance ceux qui prendront la peine de me lire et d'apporter leur aide.</gras> Bonne soirée !

20 réponses

  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bonjour,

    -+-+-+-+-> Rkill <-+-+-+-+-

    [x] Télécharge rkill sur ton bureau.

    [x] Rkill peut être reconnu comme indésirable par certains antivirus, ignore l'alerte et désactive momentanément l'antivirus.

    [x] Lance le, une fenêtre noire s'ouvrira t'indiquant que l'installation s'est bien déroulée.

    [x] Note : Si le premier lien ne fonctionne pas, essaie ces trois autres : n°1 , n°2 et n°3

    [x] /!\ Il ne faut pas redémarrer le PC après avoir lancé rkill, sinon il faudra recommencer la procédure /!\

    [x] Poste le contenu du rapport qui s'ouvrira -> rkill.log

    -+-+-+-+-> ZHPDiag <-+-+-+-+-

    [x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

    [x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\

    [x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

    [x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

    [x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

    [x] Rend toi sur cjoint puis clique sur " Parcourir ".

    [x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

    [x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
    1
  2. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Je suis là :)

    -+-+-+-+-> ZHPFix <-+-+-+-+-

    /!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

    [x] Copie le texte en gras ci-dessous ( CTRL + C pour copier )


    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
    O4 - HKCU\..\Run: [kkshqcgh] . (.Pas de propriétaire - Pas de description.) -- C:\Users\céline\AppData\Roaming\jslxshxmi\pvpeuhkshdw.exe
    O4 - HKUS\S-1-5-21-2158339669-220001320-3990773030-1001\..\Run: [kkshqcgh] . (.Pas de propriétaire - Pas de description.) -- C:\Users\céline\AppData\Roaming\jslxshxmi\pvpeuhkshdw.exe


    [x] Lance ZHPFix qui est présent sur ton bureau.

    [x] Clique sur le "H" bleu ( Coller les lignes Helper )

    [x] Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

    [x] Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]

    [x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

    [x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

    [x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

    -+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-

    [x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

    [x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

    [x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

    [x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

    [x] Sélectionne tout tes disques locaux et amovibles.

    [x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

    [x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

    [x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

    [x] Tu peux ensuite vider la quarantaine de MBAM.

    [x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

    [x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
    1
  3. Hardin Messages postés 18 Statut Membre
     
    Merci pour ta réponse rapide :)

    J'effectue d'abord le rapport donc ? (Rkill)
    Ou bien les deux sont indépendants ?

    EDIT : Impossible d'effectuer Rkill ni ZHPDiag, message :

    Security warning
    Application cannot be executed. The file ... .exe is infected
    Do you want to activate your antivirus software now?
    0
    1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Ok, c'est normal, le rogue bloque toutes les applications.

      Redémarre en mode sans échec, là tu pourras faire les deux manip' ;-)
      0
  4. Hardin
     
    Merci, je viens de redémarrer en sans échec réseau, voilà le rapport de rkill

    This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.
    Ran as c'line on 16/08/2010 at 19:15:04.

    Processes terminated by Rkill or while it was running:

    \\?\C:\windows\system32\wbem\WMIADAP.EXE
    C:\Users\céline\Downloads\rkill.scr

    Rkill completed on 16/08/2010 at 19:15:11.


    Je te poste bientôt celui de ZHP !

    EDIT : voilà le lien vers le rapport ZHP :
    https://www.cjoint.com/?iqtsMz4K0f
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Hardin Messages postés 18 Statut Membre
     
    Si quelqu'un d'autre peut m'aider en attendant l'avis deXplode, je suis preneur :)
    Merci beaucoup !
    0
  7. Hardin
     
    Merci pour ta réponse, voici le rapport ZHPfix

    Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-8-16-2010-8-42-52 PM.txt
    Run by céline at 8/16/2010 8:42:52 PM
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Valeur(s) du Registre ==========
    O4 - HKCU\..\Run: [kkshqcgh] . (.Pas de propriétaire - Pas de description.) -- C:\Users\céline\AppData\Roaming\jslxshxmi\pvpeuhkshdw.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-21-2158339669-220001320-3990773030-1001\..\Run: [kkshqcgh] . (.Pas de propriétaire - Pas de description.) -- C:\Users\céline\AppData\Roaming\jslxshxmi\pvpeuhkshdw.exe => Valeur absente

    ========== Fichier(s) ==========
    c:\users\céline\appdata\roaming\jslxshxmi\pvpeuhkshdw.exe => Supprimé et mis en quarantaine

    ========== Récapitulatif ==========
    2 : Valeur(s) du Registre
    1 : Fichier(s)

    End of the scan
    0
  8. Hardin Messages postés 18 Statut Membre
     
    De retour avec le rapport de MBAM ci dessous :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4437

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    16/08/2010 21:50:23
    mbam-log-2010-08-16 (21-50-23).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 212403
    Temps écoulé: 1 heure(s), 3 minute(s), 3 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\céline\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\057JJMNZ\sjnvpnidk[1].htm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
    C:\Users\céline\AppData\Local\Temp\soncxewmar.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Users\céline\AppData\Local\Temp\ecsrnaxwmo.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
    C:\Users\céline\Local Settings\Application Data\Windows Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.

    Une nette amélioration mais j'imagine qu'on n'est pas encore venu à bout totalement de ce foutoir ? :/
    (merci pour ton aide précieuse :)
    0
  9. Hardin
     
    Apparemment il y a encore des trojan implantés, antivir n'a pas l'air de pouvoir faire grand chose... De plus ils sont situés sur explorer.exe ce qui est assez embêtant :S

    J'ai relancé une analyse MBAM mais ce n'est peut-être pas la meilleure solution ?
    0
  10. Hardin Messages postés 18 Statut Membre
     
    Bon, désolé pour le triple post, je détaille ici les menace signalées par AntiVir :

    TR/Spy.96256.30 localisé dans system328winit.exe
    TR/Spy.2614272.1 localisé dans explorer.exe

    Quoique je fasse (Déplacer en qurantaine, supprimer, refuser l'accès) les deux messages reviennent inlassablement...

    De l'aide s'il vous plait :S

    Edit : à noter que Rkill détecte a détecté de nouveau des menaces dans le rapport.

    This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.
    Ran as c'line on 17/08/2010 at 10:59:48.

    Processes terminated by Rkill or while it was running:

    C:\windows\system32\DllHost.exe
    C:\windows\system32\DllHost.exe
    C:\Users\céline\Downloads\rkill.scr

    Rkill completed on 17/08/2010 at 10:59:58.
    0
    1. Hardin Messages postés 18 Statut Membre
       
      Les redirections de site sous firefox ont recommencé (vers page qui signale que la machine est exposée à des risques), je sais plus quoi faire là...
      0
    2. Hardin Messages postés 18 Statut Membre
       
      Un nouveau Trojan s'est invité d'après Antivir : TR/Crypt.ZPACK.Gen
      Les fichiers ont été ignoré par l'antivirus...

      (C'est un vrai feuilleton cette affaire xD)
      0
  11. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bonjour,

    Désolé du retard, j'étais pas disponible ce matin !

    Ok ok.. fait ceci :

    -+-+-+-+-> ComboFix <-+-+-+-

    [x] Télécharge ComboFix ( de sUBs ) à cette adresse.

    /!\ Ferme toutes les fenêtres de programme ouvertes /!\

    /!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

    [x] Double clique sur " Combofix.exe "

    [x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

    [x] Pendant le scan, ne touche à rien ( souris, clavier )

    [x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

    Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
    0
    1. Hardin Messages postés 18 Statut Membre
       
      Pas de problème c'est déjà super que tu m'aides !
      (je pensais juste que quelqu'un d'autre en attendant pouvait aider mais c'est vrai que c'est mieux un "suivi personnalisé" en plus on m'a dit que t'étais bon :P
      Je lance tout ça merci beaucoup, à tout à l'heure !
      0
    2. Hardin Messages postés 18 Statut Membre
       
      Au redémarrage, les alertes antivir sont apparues (comme à chaque fois) malgré la désactivation du guard... Et le rapport combofix est toujours en cours de préparation. Je ne sais pas quel ordre de temps ça doit prendre (10 min, 1h?)
      Dois-je recommencer ? (en désactivant bien toutes les fonctions de l'antivirus)
      0
  12. Hardin Messages postés 18 Statut Membre
     
    Suffisait d'en parler, le rapport vient de sortir :P

    Le voici :

    ComboFix 10-08-16.04 - céline 17/08/2010 13:15:32.1.2 - x86
    Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.2038.1088 [GMT 2:00]
    Lancé depuis: c:\users\céline\Downloads\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\programdata\FullRemove.exe
    c:\users\céline\AppData\Local\jslxshxmi
    c:\users\céline\AppData\Local\jslxshxmi\pvpeuhkshdw.exe
    c:\windows\system32\Thumbs.db

    Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe

    Une copie infectée de c:\windows\System32\wininit.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-07-17 au 2010-08-17 ))))))))))))))))))))))))))))))))))))
    .

    2010-08-17 11:27 . 2010-08-17 11:27 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-08-17 02:26 . 2010-08-17 02:26 -------- d-----w- c:\program files\CCleaner
    2010-08-16 21:15 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-08-16 21:15 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2010-08-16 21:14 . 2010-08-16 21:14 -------- d-----w- c:\programdata\Avira
    2010-08-16 21:14 . 2010-08-16 21:14 -------- d-----w- c:\program files\Avira
    2010-08-16 21:01 . 2010-08-16 21:01 -------- d-----w- c:\windows\system32\log
    2010-08-16 17:49 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-08-16 17:49 . 2010-08-16 17:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-08-16 17:49 . 2010-08-16 17:49 -------- d-----w- c:\programdata\Malwarebytes
    2010-08-16 17:49 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-08-16 16:54 . 2010-08-17 01:44 -------- d-----w- c:\program files\ZHPDiag
    2010-08-16 13:56 . 2010-08-16 13:56 -------- d-----w- c:\programdata\Alwil Software
    2010-08-16 13:56 . 2010-08-16 13:56 -------- d-----w- c:\program files\Alwil Software
    2010-07-18 15:16 . 2010-07-18 15:16 -------- d-----w- c:\program files\BitTorrent

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-08-17 08:54 . 2009-07-26 22:23 704480 ----a-w- c:\windows\system32\perfh00C.dat
    2010-08-17 08:54 . 2009-07-26 22:23 130754 ----a-w- c:\windows\system32\perfc00C.dat
    2010-08-17 08:49 . 2009-12-07 19:17 -------- d-----w- c:\program files\Trend Micro
    2010-08-16 13:21 . 2010-06-07 09:38 -------- d-----w- c:\program files\Messenger Plus! Live
    2010-08-13 06:29 . 2009-12-07 19:25 -------- d-----w- c:\program files\Microsoft Works
    2010-07-29 06:30 . 2010-08-11 22:37 197632 ----a-w- c:\windows\system32\ir32_32.dll
    2010-07-29 06:30 . 2010-08-11 22:37 82944 ----a-w- c:\windows\system32\iccvid.dll
    2010-06-30 06:25 . 2010-08-11 22:37 978432 ----a-w- c:\windows\system32\wininet.dll
    2010-06-29 06:50 . 2010-06-29 06:50 -------- d-----w- c:\program files\Microsoft.NET
    2010-06-22 09:24 . 2010-02-17 09:37 -------- d-----w- c:\program files\Paint.NET
    2010-06-22 02:47 . 2010-08-11 22:37 310784 ----a-w- c:\windows\system32\drivers\srv.sys
    2010-06-22 02:47 . 2010-08-11 22:37 307200 ----a-w- c:\windows\system32\drivers\srv2.sys
    2010-06-22 02:47 . 2010-08-11 22:37 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
    2010-06-19 06:33 . 2010-08-11 22:37 3955080 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2010-06-19 06:33 . 2010-08-11 22:37 3899784 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-06-19 06:23 . 2010-08-11 22:37 37376 ----a-w- c:\windows\system32\rtutils.dll
    2010-06-19 04:07 . 2010-08-11 22:37 2326016 ----a-w- c:\windows\system32\win32k.sys
    2010-06-16 05:48 . 2010-08-11 22:37 224256 ----a-w- c:\windows\system32\schannel.dll
    2010-06-14 06:12 . 2010-08-11 22:37 1286016 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2010-06-08 06:02 . 2010-08-11 22:37 1233920 ----a-w- c:\windows\system32\msxml3.dll
    2010-05-27 07:24 . 2010-06-10 16:11 34304 ----a-w- c:\windows\system32\atmlib.dll
    2010-05-27 03:49 . 2010-06-10 16:11 293888 ----a-w- c:\windows\system32\atmfd.dll
    2010-05-21 12:14 . 2010-02-15 19:17 221568 ------w- c:\windows\system32\MpSigStub.exe
    2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
    2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
    .

    ------- Sigcheck -------

    [-] 2009-10-31 06:00 . !HASH: COULD NOT OPEN FILE !!!!! . 2614272 . . [------] . . c:\windows\explorer.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
    @="{CC5FC992-B0AA-47CD-9DC2-83445083CBB8}"
    [HKEY_CLASSES_ROOT\CLSID\{CC5FC992-B0AA-47CD-9DC2-83445083CBB8}]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
    @="{618A47A2-528B-4D9A-AFC8-97D3233511E2}"
    [HKEY_CLASSES_ROOT\CLSID\{618A47A2-528B-4D9A-AFC8-97D3233511E2}]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-05 186904]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-07-20 1545512]
    "HotkeyMon"="AsusSender.exe" [2009-09-11 33768]
    "HotkeyService"="AsusSender.exe" [2009-09-11 33768]
    "SuperHybridEngine"="AsusSender.exe" [2009-09-11 33768]
    "ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2009-12-07 3058304]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
    "Eee Docking"="c:\program files\ASUS\Eee Docking\Eee Docking.exe" [2009-11-17 414384]
    "LiveUpdate"="AsusSender.exe" [2009-09-11 33768]
    "SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-07-20 83240]
    "ASUSPRP"="c:\program files\ASUS\APRP\APRP.EXE" [2009-12-07 1385712]
    "EeeStorageBackup"="c:\program files\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe" [2009-11-26 1732608]
    "UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
    "EeeSplendidAgent"="c:\program files\ASUS\EPC\EeeSplendid\AsAgent.exe" [2009-11-18 104960]
    "LivCam"="c:\program files\ASUS\LivCam\LivCam.exe" [2009-11-19 284160]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-10-05 141848]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-10-05 173592]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2009-10-05 150552]
    "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-09-29 7744032]
    "Boingo Wi-Fi"="c:\program files\Boingo\Boingo Wi-Fi\Boingo.lnk" [2010-02-15 2429]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
    "CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
    "ASUS VIBE"="c:\program files\ASUS\ASUS VIBE\ASUS VIBE.exe" [2010-01-20 425984]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

    c:\users\c'line\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-07-01 43944]
    R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
    R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-11-13 95744]
    R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-11-13 51968]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-11 1343400]
    S1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [2009-07-06 11448]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
    S2 AsusService;Asus Launcher Service;c:\windows\System32\AsusService.exe [2009-08-19 219136]
    S2 OberonGameConsoleService;Oberon Media Game Console service;c:\program files\Asus\Game Park\GameConsole\OberonGameConsoleService.exe [2009-09-15 44312]
    S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x86.sys [2009-07-27 51712]
    S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - worczy

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.orange.fr/portail
    uInternet Settings,ProxyServer = hxxp://127.0.0.1:8080
    uInternet Settings,ProxyOverride = <local>
    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    FF - ProfilePath - c:\users\céline\AppData\Roaming\Mozilla\Firefox\Profiles\nllna7b3.default\
    FF - prefs.js: network.proxy.type - 0
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    Toolbar-Locked - (no file)

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\worczy]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'Explorer.exe'(3388)
    c:\progra~1\ASUS\ASUSWE~1\service\ASUSWS~1.DLL
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
    c:\windows\system32\taskhost.exe
    c:\windows\servicing\TrustedInstaller.exe
    c:\windows\system32\conhost.exe
    c:\program files\EeePC\HotkeyService\HotKeyMon.exe
    c:\program files\EeePC\SHE\SuperHybridEngine.exe
    c:\program files\EeePC\HotkeyService\HotkeyService.exe
    c:\program files\Asus\LiveUpdate\LiveUpdate.exe
    c:\windows\system32\igfxsrvc.exe
    c:\program files\Boingo\Boingo Wi-Fi\Boingo Wi-Fi.exe
    c:\program files\Synaptics\SynTP\SynTPHelper.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\program files\OpenOffice.org 3\program\soffice.exe
    c:\program files\OpenOffice.org 3\program\soffice.bin
    c:\windows\system32\sppsvc.exe
    c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
    .
    **************************************************************************
    .
    Heure de fin: 2010-08-17 13:35:56 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-08-17 11:35

    Avant-CF: 82 262 888 448 octets libres
    Après-CF: 82 242 621 440 octets libres

    - - End Of File - - E2C1EEB3F87477976617F6366FA93755
    0
  13. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok.

    -+-+-+-+-> CFScript <-+-+-+-+-

    /!\ Attention : Cette procédure n'est valable que pour Hardin /!\

    [x] Copie le texte en gras ci dessous :


    KillAll::

    DDS::

    uInternet Settings,ProxyServer = hxxp://127.0.0.1:8080
    uInternet Settings,ProxyOverride = <local>


    [x] Ouvre le bloc-note puis colle le texte ci dessus dedans.

    [x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).

    [x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.

    [x] Combofix va se lancer, patiente le temps du scan.

    /!\ Ne fais rien pendant le scan ( clavier/souris ) /!\

    [x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
    0
    1. Hardin Messages postés 18 Statut Membre
       
      En avant ! :)
      Par contre le lien me renvoie à une page non trouvé (erreur 404) je vais voir comment faire le glisser déposer
      0
  14. Hardin Messages postés 18 Statut Membre
     
    Voilà le dernier rapport de combofix :

    ComboFix 10-08-16.04 - céline 17/08/2010 15:12:11.2.2 - x86
    Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.2038.1133 [GMT 2:00]
    Lancé depuis: c:\users\céline\Downloads\ComboFix.exe
    Commutateurs utilisés :: c:\users\céline\Desktop\CFScript.txt
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe

    Une copie infectée de c:\windows\System32\wininit.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-07-17 au 2010-08-17 ))))))))))))))))))))))))))))))))))))
    .

    2010-08-17 13:24 . 2010-08-17 13:24 -------- d-----w- c:\users\Public\AppData\Local\temp
    2010-08-17 13:24 . 2010-08-17 13:24 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-08-17 02:26 . 2010-08-17 02:26 -------- d-----w- c:\program files\CCleaner
    2010-08-16 21:15 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-08-16 21:15 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2010-08-16 21:14 . 2010-08-16 21:14 -------- d-----w- c:\programdata\Avira
    2010-08-16 21:14 . 2010-08-16 21:14 -------- d-----w- c:\program files\Avira
    2010-08-16 21:01 . 2010-08-16 21:01 -------- d-----w- c:\windows\system32\log
    2010-08-16 17:49 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-08-16 17:49 . 2010-08-16 17:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-08-16 17:49 . 2010-08-16 17:49 -------- d-----w- c:\programdata\Malwarebytes
    2010-08-16 17:49 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-08-16 16:54 . 2010-08-17 01:44 -------- d-----w- c:\program files\ZHPDiag
    2010-08-16 13:56 . 2010-08-16 13:56 -------- d-----w- c:\programdata\Alwil Software
    2010-08-16 13:56 . 2010-08-16 13:56 -------- d-----w- c:\program files\Alwil Software
    2010-07-18 15:16 . 2010-07-18 15:16 -------- d-----w- c:\program files\BitTorrent

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-08-17 11:35 . 2009-07-26 22:23 704480 ----a-w- c:\windows\system32\perfh00C.dat
    2010-08-17 11:35 . 2009-07-26 22:23 130754 ----a-w- c:\windows\system32\perfc00C.dat
    2010-08-17 08:49 . 2009-12-07 19:17 -------- d-----w- c:\program files\Trend Micro
    2010-08-16 13:21 . 2010-06-07 09:38 -------- d-----w- c:\program files\Messenger Plus! Live
    2010-08-13 06:29 . 2009-12-07 19:25 -------- d-----w- c:\program files\Microsoft Works
    2010-07-29 06:30 . 2010-08-11 22:37 197632 ----a-w- c:\windows\system32\ir32_32.dll
    2010-07-29 06:30 . 2010-08-11 22:37 82944 ----a-w- c:\windows\system32\iccvid.dll
    2010-06-30 06:25 . 2010-08-11 22:37 978432 ----a-w- c:\windows\system32\wininet.dll
    2010-06-29 06:50 . 2010-06-29 06:50 -------- d-----w- c:\program files\Microsoft.NET
    2010-06-22 09:24 . 2010-02-17 09:37 -------- d-----w- c:\program files\Paint.NET
    2010-06-22 02:47 . 2010-08-11 22:37 310784 ----a-w- c:\windows\system32\drivers\srv.sys
    2010-06-22 02:47 . 2010-08-11 22:37 307200 ----a-w- c:\windows\system32\drivers\srv2.sys
    2010-06-22 02:47 . 2010-08-11 22:37 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
    2010-06-19 06:33 . 2010-08-11 22:37 3955080 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2010-06-19 06:33 . 2010-08-11 22:37 3899784 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-06-19 06:23 . 2010-08-11 22:37 37376 ----a-w- c:\windows\system32\rtutils.dll
    2010-06-19 04:07 . 2010-08-11 22:37 2326016 ----a-w- c:\windows\system32\win32k.sys
    2010-06-16 05:48 . 2010-08-11 22:37 224256 ----a-w- c:\windows\system32\schannel.dll
    2010-06-14 06:12 . 2010-08-11 22:37 1286016 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2010-06-08 06:02 . 2010-08-11 22:37 1233920 ----a-w- c:\windows\system32\msxml3.dll
    2010-05-27 07:24 . 2010-06-10 16:11 34304 ----a-w- c:\windows\system32\atmlib.dll
    2010-05-27 03:49 . 2010-06-10 16:11 293888 ----a-w- c:\windows\system32\atmfd.dll
    2010-05-21 12:14 . 2010-02-15 19:17 221568 ------w- c:\windows\system32\MpSigStub.exe
    2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
    2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
    .

    ------- Sigcheck -------

    [-] 2009-10-31 06:00 . !HASH: COULD NOT OPEN FILE !!!!! . 2614272 . . [------] . . c:\windows\explorer.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
    @="{CC5FC992-B0AA-47CD-9DC2-83445083CBB8}"
    [HKEY_CLASSES_ROOT\CLSID\{CC5FC992-B0AA-47CD-9DC2-83445083CBB8}]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
    @="{618A47A2-528B-4D9A-AFC8-97D3233511E2}"
    [HKEY_CLASSES_ROOT\CLSID\{618A47A2-528B-4D9A-AFC8-97D3233511E2}]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-05 186904]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-07-20 1545512]
    "HotkeyMon"="AsusSender.exe" [2009-09-11 33768]
    "HotkeyService"="AsusSender.exe" [2009-09-11 33768]
    "SuperHybridEngine"="AsusSender.exe" [2009-09-11 33768]
    "ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2009-12-07 3058304]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
    "Eee Docking"="c:\program files\ASUS\Eee Docking\Eee Docking.exe" [2009-11-17 414384]
    "LiveUpdate"="AsusSender.exe" [2009-09-11 33768]
    "SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-07-20 83240]
    "ASUSPRP"="c:\program files\ASUS\APRP\APRP.EXE" [2009-12-07 1385712]
    "EeeStorageBackup"="c:\program files\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe" [2009-11-26 1732608]
    "UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
    "EeeSplendidAgent"="c:\program files\ASUS\EPC\EeeSplendid\AsAgent.exe" [2009-11-18 104960]
    "LivCam"="c:\program files\ASUS\LivCam\LivCam.exe" [2009-11-19 284160]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-10-05 141848]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-10-05 173592]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2009-10-05 150552]
    "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-09-29 7744032]
    "Boingo Wi-Fi"="c:\program files\Boingo\Boingo Wi-Fi\Boingo.lnk" [2010-02-15 2429]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
    "CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]
    "ASUS VIBE"="c:\program files\ASUS\ASUS VIBE\ASUS VIBE.exe" [2010-01-20 425984]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

    c:\users\c'line\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-07-01 43944]
    R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
    R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-11-13 95744]
    R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-11-13 51968]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-11 1343400]
    S1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [2009-07-06 11448]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
    S2 AsusService;Asus Launcher Service;c:\windows\System32\AsusService.exe [2009-08-19 219136]
    S2 OberonGameConsoleService;Oberon Media Game Console service;c:\program files\Asus\Game Park\GameConsole\OberonGameConsoleService.exe [2009-09-15 44312]
    S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x86.sys [2009-07-27 51712]
    S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - worczy

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.orange.fr/portail
    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    FF - ProfilePath - c:\users\céline\AppData\Roaming\Mozilla\Firefox\Profiles\nllna7b3.default\
    FF - prefs.js: network.proxy.type - 0
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\worczy]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'Explorer.exe'(3356)
    c:\progra~1\ASUS\ASUSWE~1\service\ASUSWS~1.DLL
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
    c:\windows\system32\taskhost.exe
    c:\windows\servicing\TrustedInstaller.exe
    c:\windows\system32\conhost.exe
    c:\program files\EeePC\HotkeyService\HotKeyMon.exe
    c:\program files\EeePC\HotkeyService\HotkeyService.exe
    c:\program files\EeePC\SHE\SuperHybridEngine.exe
    c:\program files\Asus\LiveUpdate\LiveUpdate.exe
    c:\windows\system32\igfxsrvc.exe
    c:\program files\Boingo\Boingo Wi-Fi\Boingo Wi-Fi.exe
    c:\program files\Synaptics\SynTP\SynTPHelper.exe
    c:\program files\OpenOffice.org 3\program\soffice.exe
    c:\program files\OpenOffice.org 3\program\soffice.bin
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\windows\system32\sppsvc.exe
    c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
    .
    **************************************************************************
    .
    Heure de fin: 2010-08-17 15:32:34 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-08-17 13:32
    ComboFix2.txt 2010-08-17 11:35

    Avant-CF: 82 296 582 144 octets libres
    Après-CF: 82 250 235 904 octets libres

    - - End Of File - - 45E464C3FF36E893E0BA3FBFFFD3BD37
    0
  15. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok, les fichiers sont encore infectés, combofix ne parvient pas à les désinfecter. On va tenter de les piocher dans la restauration système voir ce que ça donne.

    Fais ceci :

    -+-+-+-+-> CFScript <-+-+-+-+-

    /!\ Attention : Cette procédure n'est valable que pour Hardin /!\

    [x] Copie le texte en gras ci dessous :


    SRPeek::

    c:\windows\explorer.exe
    c:\windows\System32\wininit.exe


    [x] Ouvre le bloc-note puis colle le texte ci dessus dedans.

    [x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).

    [x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.

    [x] Combofix va se lancer, patiente le temps du scan.

    /!\ Ne fais rien pendant le scan ( clavier/souris ) /!\

    [x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
    0
  16. Hardin Messages postés 18 Statut Membre
     
    Bon après quelques minutes, le rapport semble être assez lourd pour le poster directement, voilà donc le rapport joint :

    http://cjoint.com/data/irqJ7dq5ZP.htm

    Les notifications sont toujours présentes au démarrage. Est-ce censé être si coriace ?

    Merci pour ton précieux suivi ;)
    0
  17. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    C'est coriace je confirme.

    Fais ceci s'il te plait :

    -+-+-+-+-> SystemLook <-+-+-+-+-

    [x] Télécharge SystemLook ( de jpshortstuff ) sur ton bureau.

    [x] Lance le, puis copie/colle le texte ci-dessous dans l'encadré blanc :

    :filefind
    
    explorer.exe
    wininit.exe
    


    [x] Clique sur " Look " puis copie/colle le contenu du rapport obtenu dans ta prochaine réponse.
    0
  18. Hardin Messages postés 18 Statut Membre
     
    Voici :

    SystemLook v1.0 by jpshortstuff (11.01.10)
    Log created at 17:06 on 17/08/2010 by céline (Administrator - Elevation successful)

    ========== filefind ==========

    Searching for "explorer.exe"
    C:\Windows\explorer.exe --a--- 2614272 bytes [09:38 16/02/2010] [06:00 31/10/2009] (Unable to calculate MD5)
    C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe --a--- 2613248 bytes [23:41 13/07/2009] [01:14 14/07/2009] 15BC38A7492BEFE831966ADB477CF76F
    C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe --a--- 2613248 bytes [19:19 07/12/2009] [05:35 03/08/2009] B95EEB0F4E5EFBF1038A35B3351CF047
    C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe --a--- 2614272 bytes [09:38 16/02/2010] [05:45 31/10/2009] 2626FC9755BE22F805D3CFA0CE3EE727
    C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe --a--- 2613248 bytes [19:19 07/12/2009] [05:49 03/08/2009] 9FF6C4C91A3711C0A3B18F87B08B518D
    C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe --a--- 2614272 bytes [09:38 16/02/2010] [06:00 31/10/2009] C76153C7ECA00FA852BB0C193378F917

    Searching for "wininit.exe"
    C:\Windows\System32\wininit.exe --a--- 96256 bytes [23:36 13/07/2009] [01:14 14/07/2009] (Unable to calculate MD5)
    C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe --a--- 96256 bytes [23:36 13/07/2009] [01:14 14/07/2009] B5C5DCAD3899512020D135600129D665

    -=End Of File=-
    0
  19. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Tu as ton CD de Seven? On va en avoir besoin pour remplacer les fichiers.
    0
  20. Hardin Messages postés 18 Statut Membre
     
    J'ai un CD qui s'apparente à ça, c'est le CD du constructeur (Asus) mais j'imagine qu'il y a le système d'exploitation dessus (étant donné la mention Windows 7 Home Premium).
    Par contre pas de lecteur DVD donc je vais faire ça par clé USB j'imagine, faut sécuriser tout ça d'abord ? :)
    0
  21. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Fais ceci avant , ca va peut être marcher :

    -+-+-+-> Dr.Web CureIt! <-+-+-+-

    [x] Télécharge Dr.Web CureIt

    [x] Lance le, puis clique sur " Commencer le scan "

    [x] Il commencera une analyse des processus, s'il trouve des processus infectés, clique sur " Oui pour tout ".

    [x] A la fin du scan rapide, clique sur Option > Changer la configuration

    [x] A l'onglet Scanner, décoche " Analyse heuristique ".

    [x] De retour à la fenêtre principale, choisis " Analyse complète "

    [x] Clique sur la flèche verte pour que le scan débute.

    [x] Si un fichier est détécté, clique sur " Oui pour tout "

    [x] A la fin du scan, si des infections sont trouvées, clique sur Tout séléctionner > Désinfecter

    [x] Si la désinfection est impossible, mettre en quarantaine.

    [x] De retour au menu principal, clique sur Fichier > Enregistrer le rapport

    [x] Sauvegarde le sur ton bureau, puis ferme Dr.Web et redémarre ton ordinateur ( important )

    [x] Au redémarrage, poste le contenu du rapport de DrWeb ( DrWeb.csv ) dans ta prochaine réponse.
    0
    1. Hardin Messages postés 18 Statut Membre
       
      Ça marche j'essaie ça tout de suite merci.
      0