Malware ou virus récurent / besoin d'aide

Salut alex139a

Poste tes rapports de Combofix de chaque machine...

@++ :)

Salut,

Voici un des rapports Combofix :

ComboFix 08-12-18.03 - Rm.cormontreuil 2010-04-28 12:46:20.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.652 [GMT 2:00]
Lancé depuis: c:\documents and settings\rm.cormontreuil\Bureau\ComboFix.exe
.
- Mode FONCTIONNALITES REDUITES -
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-28 au 2010-04-28 ))))))))))))))))))))))))))))))))))))
.

2010-04-05 17:14 . 2004-08-04 00:54 159,232 --a------ c:\windows\system32\ptpusd.dll
2010-04-05 17:14 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2010-04-05 17:14 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-26 07:42 46,080 ----a-w c:\windows\system32\ftp.exe
2010-04-26 07:42 --------- d-----w c:\documents and settings\rm.cormontreuil\Application Data\OpenOffice.org2
2010-02-12 17:56 9,758,152 ----a-w C:\windows-kb890830-v3.4.exe
2008-10-21 17:35 76,800 --sh--r c:\windows\system32\drivers\btwdins.exe
.

((((((((((((((((((((((((((((( snapshot@2010-02-12_11.42.37,51 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 18:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
- 2000-08-31 07:00:00 28,672 ----a-w c:\windows\NIRCMD.exe
+ 2000-08-31 06:00:00 28,672 ----a-w c:\windows\NIRCMD.exe
- 2000-08-31 07:00:00 161,792 ----a-w c:\windows\SWREG.exe
+ 2000-08-31 06:00:00 161,792 ----a-w c:\windows\SWREG.exe
- 2009-12-05 11:03:04 46,080 -c--a-w c:\windows\system32\dllcache\ftp.exe
+ 2010-04-26 07:42:35 46,080 -c--a-w c:\windows\system32\dllcache\ftp.exe
+ 2010-01-07 15:07:04 19,160 ----a-w c:\windows\system32\drivers\mbam.sys
+ 2010-01-07 15:07:14 38,224 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
+ 2010-02-01 10:26:22 30,364,104 ----a-w c:\windows\system32\MRT.exe
- 2009-10-31 18:28:03 39,992 ----a-w c:\windows\system32\perfc009.dat
+ 2010-04-24 08:46:16 39,992 ----a-w c:\windows\system32\perfc009.dat
- 2009-10-31 18:28:03 48,616 ----a-w c:\windows\system32\perfc00C.dat
+ 2010-04-24 08:46:16 48,616 ----a-w c:\windows\system32\perfc00C.dat
- 2009-10-31 18:28:03 311,604 ----a-w c:\windows\system32\perfh009.dat
+ 2010-04-24 08:46:16 311,604 ----a-w c:\windows\system32\perfh009.dat
- 2009-10-31 18:28:03 367,658 ----a-w c:\windows\system32\perfh00C.dat
+ 2010-04-24 08:46:16 367,658 ----a-w c:\windows\system32\perfh00C.dat
+ 2010-04-26 07:42:05 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_594.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="c:\program files\UltraVNC\WinVNC.exe" [2006-06-18 712704]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-23 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"btwdins.exe"="c:\windows\system32\drivers\btwdins.exe" [2008-10-21 76800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\cormontreuil\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

c:\documents and settings\rm.cormontreuil\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe %WINDIR%\\system32\\drivers\\btwdins.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-4038425909-613715726-4027953422-2295\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=ocs.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7089:TCP"= 7089:TCP:WWW
"17079:TCP"= 17079:TCP:NortonAV

R2 vnccom;vnccom;c:\windows\system32\Drivers\vnccom.SYS [2009-07-03 6016]
S2 pfbjhs;pfbjhs;c:\windows\system32\svchost.exe -k netsvcs [2004-08-05 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
pfbjhs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2270090f-e34e-11de-b102-0007e926eb58}]
\Shell\Auto\command - G:\AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22700910-e34e-11de-b102-0007e926eb58}]
\Shell\Auto\command - D:\AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4bfcdbf3-7b57-11de-b0fe-0007e926eb58}]
\Shell\Auto\command - D:\AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7031f859-369f-11df-b105-0007e926eb58}]
\Shell\AutoRun\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
\Shell\open\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{914ca81f-ac13-11de-b100-0007e926eb58}]
\Shell\AutoRun\command - g:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
\Shell\open\command - g:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{914ca829-ac13-11de-b100-0007e926eb58}]
\Shell\AutoRun\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
\Shell\open\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0f0561e-1ad6-11df-b104-0007e926eb58}]
\Shell\Auto\command - D:\AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0f05630-1ad6-11df-b104-0007e926eb58}]
\Shell\AutoRun\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
\Shell\open\command - d:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\runshell.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://fr.gdark.com
uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
mStart Page = hxxp://fr.gdark.com
uSearchURL,(Default) = hxxp://fr.gdark.com
TCP: {D3E0ABA9-E063-44EE-A4AE-02E024E4E456} = 192.168.0.102,192.168.0.100

c:\windows\system32\atl.dll - c:\windows\Downloaded Program Files\gp.ocx
O16 -: {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
c:\windows\Downloaded Program Files\gp.inf
FF - ProfilePath - c:\documents and settings\rm.cormontreuil\Application Data\Mozilla\Firefox\Profiles\[u]0/uchbrex6.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-28 12:46:29
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-04-28 12:47:20
ComboFix-quarantined-files.txt 2010-04-28 10:47:05
ComboFix2.txt 2010-04-26 12:25:00
ComboFix3.txt 2010-04-26 09:21:04
ComboFix4.txt 2010-02-12 10:43:11

Avant-CF: 29,090,787,328 octets libres
Après-CF: 29,087,150,080 octets libres

138

Le rapport est un peu ancien mais ce sont tous les mêmes car mon problème est récurent, j'en poste un autre dès que possible.
Merci

Salut alex139a

Effectivement, trop ancien comme rapport, a première vu l'infection ce propage via tes disques amovibles et réinfecte ton PC.

On va faire un nouveau diagnostique du PC :

Télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
Vista - Clique droit sur RSIT.exe qui est sur le bureau et choisir exécuter en tant qu'administrateur

- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Et fais la même chose avec l'autre rapport C:\rsit\info.txt

@++ :)