Infection XP internet security 2011

Bonjour à tous,

Voila, il y a environ deux mois j'ai eu l'immense privilège de récupérer ce rogue sur mon ordinateur (Samsung NC10) car j'avais arrêter les mises à jour Windows depuis déjà plusieurs mois :-(

Depuis ces quelques mois j'ai effectué pas mal de recherche à ce propos en trouvant la plupart des cas assez similaire au mien.

Procédons donc par étape afin d'être le plus précis dans les démarches que j'ai effectué:

- Un matin au réveil j'aperçois un petit bouclier dans ma barre de tâches et la je me dis c'est quoi cette "m*rde" --> petit clic droit pour quitter et la, se lance la fameuse fenêtre avec le scan qui se lance. Enfin bref ...

- A chaque redémarrage celle-ci est présente, j'essaye pourtant moult fois de le supprimer mais rien ne va. Du jour au lendemain cette icône ainsi que le rogue a disparut visuellement parlant!.

- En revanche Avira et MBAM ne peuvent toujours pas se lancer et là je me dis que c'est toujours pas fini...

- Depuis peu mon ordinateur ne reconnais pas ce que je branche sur ses ports USB (souris, DD, etc), L'ordinateur est de plus en plus lent (ex: 20sec pour un clic droit)

Le reformatage de la machine serait assez ennuyeux pour mes données mais aussi pour la réinstallation sachant que je ne possède pas de lecteur intégré.

J'ai donc suivi un tuto pour "roguekiller" et je vais vous poster mes rapport d'analyse et de quarantaine.


RAPPORT D'ANALYSE n°1


Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Pierre [Droits d'admin]
Mode: Recherche -- Date : 24/04/2011 18:57:49

Processus malicieux: 0

Entrees de registre: 4
[BLACKLIST] HKLM\[...]\services : vbmad8ae (vbmad8ae.sys) -> FOUND
[BLACKLIST] HKLM\[...]\services : vbmad8ae (vbmad8ae.sys) -> FOUND
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (192.168.1.20) -> FOUND
[HJWBEM] HKCR\[...]\InprocServer32 : (winSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt



RAPPORT DE QUARANTAINE GLOBAL


Time : 24/04/2011 18:57:48
--------------------------
ERROR [vbmad8ae.sys.vir] -> vbmad8ae.sys
ERROR [vbmad8ae.sys.vir] -> vbmad8ae.sys


Time : 24/04/2011 18:59:23
--------------------------
ERROR [vbmad8ae.sys.vir] -> vbmad8ae.sys
ERROR [vbmad8ae.sys.vir] -> vbmad8ae.sys


Time : 24/04/2011 19:05:43
--------------------------


Time : 24/04/2011 19:17:20
--------------------------


Time : 24/04/2011 19:19:35
--------------------------


RAPPORT D'ANALYSE n°2


Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Pierre [Droits d'admin]
Mode: Suppression -- Date : 24/04/2011 18:59:23

Processus malicieux: 0

Entrees de registre: 4
[BLACKLIST] HKLM\[...]\services : vbmad8ae (vbmad8ae.sys) -> DELETED
[BLACKLIST] HKLM\[...]\services : vbmad8ae (vbmad8ae.sys) -> DELETED
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (192.168.1.20) -> NOT REMOVED, USE PROXYFIX
[HJWBEM] HKCR\[...]\InprocServer32 : (winSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll) -> REPLACED : (C:\WINDOWS\system32\wbem\wbemcore.dll)

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt



RAPPORT D'ANALYSE n°3, 4 et 5

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Pierre [Droits d'admin]
Mode: Recherche -- Date : 24/04/2011 19:05:43

Processus malicieux: 0

Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (192.168.1.20) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt




Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Pierre [Droits d'admin]
Mode: Recherche -- Date : 24/04/2011 19:17:20

Processus malicieux: 0

Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (192.168.1.20) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt



Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Pierre [Droits d'admin]
Mode: Suppression -- Date : 24/04/2011 19:19:35

Processus malicieux: 0

Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (192.168.1.20) -> NOT REMOVED, USE PROXYFIX

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt






Après la première suppression j'ai lancé MBAM et le scan est resté actif plus de 1min30 mais sans faire la moindre analyse de fichier et si je veux maintenant utiliser MBAM ou avira je suis obligé de les réinstaller pour y avoir accès à la fin de l'installation (même problème qu'avant).

J'ai essayé de résoudre le problème par moi-même et je dois bien avouer que je suis un peu désespérer!
Si quelqu'un ou quelqu'une pour me venir en aide je lui serai extrêmement reconnaissant.

Merci à tous

Pierre

PS: comment dois-je faire pour laisser mes saut de ligne apparent lorsque je post