KuCo.exe et Mpilatro.scr Résolu/Fermé

Question

Bonjour, 

Configuration: Windows XP / Firefox 3.6.12
Voila, j'ai une config un peu particulière :
J'ai 2 HDD, 1 partitionné pour 2 OS (Win XP Pro et Win 7) et un autre pour les données.
Je ne sais pas si c'est important de préciser ?
Je tourne principalement sur Win Xp et j'ai ESET NOD32 (à jour) et Malwarebytes (à jour) sur cette partition.
Depuis hier, quand je mets une clé USB lorsque je suis sur Win XP, j'ai les dossiers qui se dédouble avec l'extension .exe. Au début, je croyais que ça venait de ma clé et j'ai cherché plein de soluces en vain.
Après avoir regardé dans le gestionnaire des tâches, j'ai vu un processus bizarre (KuCo.exe). Après une recherche sur le Net, j'ai vu que ce processus était à virer et je l'ai supprimé manuellement.
Après redémarrage, ce processus était revenu.
J'ai lancé des scans avec NOD32 et Malwarebytes mais ils n'ont rien trouvé.
J'ai lancé combofix (fraichement téléchargé) et il m'a viré Kuco.exe (qui se trouve dans C:\Windows\Inf) et Mplilatro.scr (qui se trouve dans C:\Windows\System32).
Quand j'ai lancé combofix sur Win 7 (par acquis de conscience) il n'a rien trouvé.
Je pensais que l'affaire était résolu mais nada, après redémarrage ils réapparaissent toujours.
Je me suis dit qu'il pouvait migrer dans RECYCLER ou SYSTEM VOLUME INFORMATION, alors, après les avoir viré manuellement, j'ai supprimé ces dossiers avec unlocker.
Après redémarrage, toujours la même.
Ca fait longtemps que je n'ai pas demandé d'aide, mais je ne vois pas d'autre solution après toutes les cartouches que j'ai utilisées. Un peu honteusement, je me résilie à demander de l'aide.
Si quelqu'un à une solution, merci d'avance.
Bonne journée.

Meldja · Answer

Apparemment, cette daube de virus peut prendre les formes suivantes :
KUCO.EXE peut également utiliser les noms de fichiers suivants: 
*	SMSS.EXE 
*	DOS OPTIMIZER.PIF
*	LSASS.EXE LSASS.EXE 
*	SVCHOST.EXE
*	MPILATRO.SCR
*	BACKUP-20090607-200014-109-DOS OPTIMIZER.PIF
*	BACKUP-20090607-200046-441-DOS OPTIMIZER.PIF
*	BACKUP-20090607-204623-698-DOS OPTIMIZER.PIF
*	JJG,FRANCIS GABREL ET PATRICK BRUEL.EXE
*	REAL.EXE
*	PROJET GED SGF PNUD VERS FINALE.EXE
*	POUCHI_FICHIERS.EXE
*	HERBIE.EXE
*	TUNAP.EXE
*	CONTACTS.EXE
*	WAKOMORE.EXE
*	MES FICHIERS REçUS.EXE
*	FACTURES MOIFAKA.EXE
*	GESTION HOTEL.EXE
*	NABAOUIYAT.EXE
*	AUDIO.EXE
*	CRéATIONS.EXE
*	PHOTO HISSANE.EXE
*	47259534.EXE

J'ai téléchargé le fichier suivant : prevxcsifree.exe en espérant que ça va solutionner mon problème.
J'ai déjà un rapport HiJackThis, mais en attendant une réponse, je vais tenter avec le soft téléchargé. Je croise les doigts...

Meldja · Answer

Bonjour,
Je n'ai pas de réponse, mais j'ai solutionné le problème avec Prevx (logiciel payant qui cohabite sans problème pour l'instant avec NOD32).
Il a viré toutes les infections que ne détectaient pas malwarebytes et Nod32.
Je me retrouve avec un autre soucis, j'ai un compte administrateur mais je n'ai plus aucun droit. Je ne peux plus utiliser les outils d'administration (restrictions).
J'ai trouvé un fichier .reg sur le Net pour rétablir les autorisation de l'utilisateur courant (current_user) mais lorsque j'essaye de fusionner les clés de registre, j'ai à nouveau des restrictions et la fusion est refusée.
Je ne peux aller dans la base de registre que par le fichier regedit.exe (dans c:\Windows) que j'ai dû renommé regedit.com.
Je suis bien embêté pour rester poli.
Je continue de chercher en attendant que quelqu'un me réponde.
Merci d'avance et bonne journée

Meldja · Answer

Décidément, je fais les questions réponses.
Mon problème est résolu grâce à Zeb_Restore (soft qui restaure certaines clés de registre après infection) trouvé sur le site Zebulon.
Si ça intéresse quelqu'un, voici le lien de téléchargement :
http://telechargement.zebulon.fr/telecharger-zeb-restore.html

Merci, je me suis bien pris la tête avec cette saleté d'infection. J'espère que c'est bien fini. Bonne journée