Sujet Précédent Sujet Suivant

Ordi infecté, besoin d'aide

Fermé
fab - 24 août 2011 à 20:22
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 3 sept. 2011 à 12:59
Bonjour,

Ordi infecté par un ou plusieurs virus (Security Protection, hello4, herss.exe, ???).
Notebook EeePC S101. Windows XP familial SP3 / Firefox 6.0


Je n'avais aucun anti-virus installé (suite à une expérience avec mon portable précédent, qui a chopé des virus malgré l'antivirus, et sur lequel j'ai réinstallé Windows XP Pro).

Dans un premier temps j'ai installé Microsoft Windows Malicious Removal Tool. Cela a fait un nettoyage partiel.

Je suis passé ensuite à Microsoft Security Essentials, qui a nettoyé un peu plus.

Mais maintenant je ne peux plus lancer MWMRT (bloqué par le/s virus restant je suppose).
Idem pour MSE qui est bloqué (erreur 0x8007005).

Comme indiqué pour ce code erreur de blocage MSE, j'ai installé Malwarebytes'Anti-Malware. Mais comme je n'ai plus d'accès internet (Fn F2 pour réactiver mon wifi ne fonctionne plus), il ne se met pas à jour; et le lancement est de toute façon bloqué (saleté d'virus !)

En bref galère... je n'sais plus quoi faire, je sollicite de l'aide !
Y-a-t'il moyen de rétablir mon système ?
Je ne crois pas avoir de CD de réinstallation du système... Avec mon EeePc il y avait un CD d'installation de Drivers et applications. Il y a un répertoire Recovery avec un fichier EEEPC.GHO : c'est quoi?

Salutations
A voir également:

22 réponses

  • 1
  • 2
Réponse 1 / 22
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
24 août 2011 à 20:24
Salut,

Sauvegarde tes documents importants.


Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
1
Réponse 2 / 22
fab
24 août 2011 à 21:13
Salut Malekal, Merci de ta réponse rapide.
Un p'tit soucis : MSE est bloqué, je ne peux pas accéder à l'onglet paramètres pour l'arrêter.
J'ai supprimé le processus msseces.exe, mais ComboFix trouve quand même que l'antivirus est actif... Est-ce riqué de lancer comme ça ?
Sinon, j'ai essayé en Mode sans échec, mais ça fait 10 minutes que ComboFix est bloqué (phase Extraction); avant même d'avoir la fenêtre contractuelle.
Une idée ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
24 août 2011 à 21:30
vas y lance le en mode normal.
0
fab
24 août 2011 à 23:40
Okay, c'est fait, résultat :
Rapidement, il affiche un virus dans le tcp/ip, puis reboote.
Relancé, Combofix analyse, 50 étapes; puis supprime des fichiers; puis restaure des fichiers infectés (il reste au moins 20 minutes sur un fichier Ioct___.exe)
Puis affiche "Redémarrage de Windows... Merci de patienter
... v. 1.5.6 ComboFix Edition. Syntax Error.
... ça fait plus d'une demi-heure qu'il reste là-dessus... (rien d'accessible ni d'affiché en dehors de cette fenêtre bleue)
0
Réponse 3 / 22
fab
25 août 2011 à 02:43
Suite à une relance ComboFix ayant aboutie, voilà le résultat
(en résumé reste IoctlSvc.exe infecté)
Merci de me dire si tu vois d'autres choses, et quoi faire pour résoudre.
(le démarrage du PC est reste délicat, obligé de passer par F2 - sinon bloqué sur écran noir; ce qui était dans Mes Documents a disparu - déjà avt de lancer Combofix)
ComboFix 11-08-24.04 - F JL M 25/08/2011 2:09.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.____._.____.__.____.__.____.625 [GMT 2:00]
Lancé depuis: c:\documents and settings\F JL M\Bureau\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\$NtUninstallKB16808$\3092113719
.
---- Exécution préalable -------
.
c:\documents and settings\Fabrice JL Mocellin\Application Data\Adobe\plugs
c:\documents and settings\Fabrice JL Mocellin\Application Data\Adobe\plugs\mmc30519421.txt
c:\documents and settings\Fabrice JL Mocellin\Application Data\Adobe\plugs\mmc30541796.txt
c:\documents and settings\Fabrice JL Mocellin\Application Data\Adobe\plugs\mmc30541984.txt
c:\documents and settings\Fabrice JL Mocellin\Application Data\Adobe\shed
c:\documents and settings\Fabrice JL Mocellin\Application Data\Adobe\shed\thr1.chm
c:\windows\$NtUninstallKB16808$
c:\windows\$NtUninstallKB16808$\663263711\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}
c:\windows\$NtUninstallKB16808$\663263711\L\meeqvtjo
c:\windows\$NtUninstallKB16808$\663263711\loader.tlb
c:\windows\$NtUninstallKB16808$\663263711\U\@00000001
c:\windows\$NtUninstallKB16808$\663263711\U\@000000c0
c:\windows\$NtUninstallKB16808$\663263711\U\@000000cb
c:\windows\$NtUninstallKB16808$\663263711\U\@000000cf
c:\windows\$NtUninstallKB16808$\663263711\U\@80000000
c:\windows\$NtUninstallKB16808$\663263711\U\@800000c0
c:\windows\$NtUninstallKB16808$\663263711\U\@800000cb
c:\windows\$NtUninstallKB16808$\663263711\U\@800000cf
c:\windows\system32\561267643.dat
c:\windows\system32\c_72646.nls
.
-- Exécution préalable --
.
Une copie infectée de c:\windows\system32\drivers\i8042prt.sys a été trouvée et désinfectée
Copie restaurée à partir de - The cat found it :)
Une copie infectée de c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075429.exe
.
Une copie infectée de c:\windows\system32\drivers\i8042prt.sys a été trouvée et désinfectée
Copie restaurée à partir de - The cat found it :)
Une copie infectée de c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075429.exe
.
Une copie infectée de c:\program files\Nero\Nero8\InCD\InCDsrv.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075435.exe
.
Une copie infectée de c:\windows\system32\drivers\i8042prt.sys a été trouvée et désinfectée
Copie restaurée à partir de - The cat found it :)
Une copie infectée de c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075429.exe
.
Une copie infectée de c:\program files\Nero\Nero8\InCD\InCDsrv.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075435.exe
.
Une copie infectée de c:\program files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075434.exe
.
Une copie infectée de c:\windows\system32\drivers\i8042prt.sys a été trouvée et désinfectée
Copie restaurée à partir de - The cat found it :)
Une copie infectée de c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075429.exe
.
Une copie infectée de c:\program files\Nero\Nero8\InCD\InCDsrv.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075435.exe
.
Une copie infectée de c:\program files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075434.exe
.
Une copie infectée de c:\program files\Java\jre6\bin\jqs.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075433.exe
.
Une copie infectée de c:\windows\system32\drivers\i8042prt.sys a été trouvée et désinfectée
Copie restaurée à partir de - The cat found it :)
Une copie infectée de c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075429.exe
.
Une copie infectée de c:\program files\Nero\Nero8\InCD\InCDsrv.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075435.exe
.
Une copie infectée de c:\program files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075434.exe
.
Une copie infectée de c:\program files\Java\jre6\bin\jqs.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075433.exe
.
Une copie infectée de c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075432.exe
.
Une copie infectée de c:\windows\system32\drivers\i8042prt.sys a été trouvée et désinfectée
Copie restaurée à partir de - The cat found it :)
Une copie infectée de c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075429.exe
.
Une copie infectée de c:\program files\Nero\Nero8\InCD\InCDsrv.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075435.exe
.
Une copie infectée de c:\program files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075434.exe
.
Une copie infectée de c:\program files\Java\jre6\bin\jqs.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075433.exe
.
Une copie infectée de c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075432.exe
.
Une copie infectée de c:\program files\Nero\Nero8\InCD\NBHRegInCDSrv.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075431.exe
.
Une copie infectée de c:\windows\system32\drivers\i8042prt.sys a été trouvée et désinfectée
Copie restaurée à partir de - The cat found it :)
Une copie infectée de c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075429.exe
.
Une copie infectée de c:\program files\Nero\Nero8\InCD\InCDsrv.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075435.exe
.
Une copie infectée de c:\program files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075434.exe
.
Une copie infectée de c:\program files\Java\jre6\bin\jqs.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075433.exe
.
Une copie infectée de c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075432.exe
.
Une copie infectée de c:\program files\Nero\Nero8\InCD\NBHRegInCDSrv.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{120041FA-1DB1-44EC-9C30-DD9FFCA95DF4}\RP238\A0075431.exe
.
c:\windows\system32\IoctlSvc.exe . . . est infecté!!
.
--------
.
c:\windows\system32\IoctlSvc.exe . . . est infecté!!
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_EAPHOSTLANMANWORKSTATION
-------\Service_278899df
-------\Service_EapHostlanmanworkstation
-------\Service_usnjsvc
-------\Legacy_EAPHOSTLANMANWORKSTATION
-------\Service_278899df
-------\Service_EapHostlanmanworkstation
-------\Service_usnjsvc
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-07-25 au 2011-08-25 ))))))))))))))))))))))))))))))))))))
.
.
2011-08-24 20:22 . 2008-04-13 11:00 54144 ----a-w- c:\windows\system32\drivers\i8042prt.sys
2011-08-24 20:22 . 2008-04-13 11:00 54144 ----a-w- c:\windows\system32\dllcache\i8042prt.sys
2011-08-24 20:15 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2011-08-24 20:15 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2011-08-24 16:21 . 2011-08-24 16:21 -------- d-----w- c:\documents and settings\Fabrice JL Mocellin\Application Data\Malwarebytes
2011-08-24 16:21 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-24 16:21 . 2011-08-24 16:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-08-24 16:21 . 2011-08-24 17:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-08-24 16:21 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-08-24 15:16 . 2011-08-24 15:16 -------- d-----w- c:\documents and settings\Fabrice JL Mocellin\Local Settings\Application Data\PCHealth
2011-08-24 13:07 . 2011-08-16 06:48 7152464 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{6ACC3329-CD40-4281-A3B5-289E63D33E5F}\mpengine.dll
2011-08-24 12:55 . 2011-08-24 12:59 -------- d-----w- c:\program files\Microsoft Security Client
2011-08-24 11:46 . 2011-08-24 11:46 -------- d-s---w- c:\documents and settings\NetworkService\UserData
2011-08-24 11:32 . 2011-05-24 17:14 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-08-24 09:30 . 2011-08-24 09:30 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\PCHealth
2011-08-24 09:22 . 2011-08-24 09:22 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\PCHealth
2011-08-24 04:21 . 2011-08-24 12:19 -------- d-----w- C:\Nettoyage
2011-08-24 04:11 . 2011-08-24 12:41 -------- d-----w- c:\windows\system32\MpEngineStore
2011-08-24 00:18 . 2011-08-24 00:18 -------- d-----w- C:\found.000
2011-08-23 21:24 . 2011-08-23 21:24 -------- d-----w- c:\windows\system32\wbem\Repository
2011-08-23 18:53 . 2011-08-23 18:53 -------- d-----w- c:\documents and settings\Fabrice JL Mocellin\Application Data\Ysyxo
2011-08-22 10:37 . 2001-08-23 15:47 5632 ----a-w- c:\windows\system32\ptpusb.dll
2011-08-22 10:37 . 2008-04-13 17:33 159232 ----a-w- c:\windows\system32\ptpusd.dll
2011-07-26 00:46 . 2011-07-26 00:46 -------- d-----w- c:\program files\Free M4a to MP3 Converter
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-07 08:34 . 2008-09-15 03:05 15523560 -c--a-w- c:\program files\U1 Setup.exe
2011-08-23 10:28 . 2011-05-12 10:17 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
[code]<pre>
c:\program files\EeePC\ACPI\AsAcpiSvr .exe
c:\program files\EeePC\ACPI\AsEPCMon .exe
c:\program files\EeePC\ACPI\AsTray .exe
c:\program files\Elantech\ETDCtrl .exe
c:\program files\Elantech\ETDDect .exe
c:\program files\Fichiers communs\Nero\Lib\NeroCheck .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\Nero\Nero8\InCD\InCD .exe
c:\program files\Nero\Nero8\InCD\NBHGui .exe
c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan .exe
</pre>/code
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NBHShellExt]
@="{8D2223A2-B3C6-4e32-B096-CDD11F628C60}"
[HKEY_CLASSES_ROOT\CLSID\{8D2223A2-B3C6-4e32-B096-CDD11F628C60}]
2008-06-10 10:29 97064 ----a-w- c:\program files\Nero\Nero8\InCD\NBHShx.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SEO Soft"="c:\documents and settings\Fabrice JL Mocellin\Bureau\stat\stat.exe" [N/A]
"BlazeServoTool"="c:\program files\BlazeVideo\BlazeDTV 6.0\MediaDetector.exe" [N/A]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-31 16806912]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
.
c:\documents and settings\Fabrice JL Mocellin\Menu D'marrer\Programmes\D'marrage\
StarOffice 8.lnk - c:\program files\Sun\StarOffice 8\program\quickstart.exe [2007-8-17 122880]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
AutoRun OSCleaner.lnk - c:\program files\ASUS\Asus OS Cleaner\AsOSCleaner.exe [2008-9-15 118784]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-9-15 311296]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-10 19:06 40048 -c--a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2007-10-18 03:34 5724184 -c--a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\IziSpot 4\\IziSpot.exe"=
"c:\\Program Files\\TerraTec\\TerraTec Home Cinema\\InstTool.exe"=
"c:\\Program Files\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Program Files\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
"c:\\Program Files\\TerraTec\\TerraTec Home Cinema\\VersionCheck\\VersionCheck.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Microsoft Security Client\\msseces.exe"=
.
R2 NeroRegInCDSrv;Nero Registry InCD Service;c:\program files\Nero\Nero8\InCD\NBHRegInCDSrv.exe [10/06/2008 12:29 53032]
S1 gjvqjprs;gjvqjprs;\??\c:\windows\system32\drivers\gjvqjprs.sys --> c:\windows\system32\drivers\gjvqjprs.sys [?]
S3 AF9035BDA;AF9035 BDA Devices;c:\windows\system32\drivers\AF9035BDA.SYS [15/12/2010 00:00 459776]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys --> c:\windows\system32\drivers\nmwcdnsu.sys [?]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys --> c:\windows\system32\drivers\nmwcdnsuc.sys [?]
.
Contenu du dossier 'Tâches planifiées'
.
2011-08-24 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 13:39]
.
2011-08-25 c:\windows\Tasks\MpIdleTask.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 13:39]
.
2011-08-24 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 03:20]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.etresoi.biz/
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Trusted Zone: localhost
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Fabrice JL Mocellin\Application Data\Mozilla\Firefox\Profiles\6rsmpi5l.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.etresoi.biz/
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-08-25 02:19
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ASUS-JM_S41_SSD rev.02.10102 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
.
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x870EA31B
user & kernel MBR OK
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(3568)
c:\program files\Nero\Nero8\InCD\NBHShx.dll
c:\program files\Nero\Nero8\InCD\NBHStr.dll
c:\program files\Fichiers communs\Nero\Shared\NL3\AdvrCntr3.dll
c:\windows\system32\btmmhook.dll
c:\windows\Microsoft.NET\Framework\v1.1.4322\fusion.dll
c:\program files\eee storage\xpclient.dll
c:\program files\eee storage\logicnp.eznamespaceextensions.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Nero\Nero8\InCD\InCDsrv.exe
c:\program files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\program files\Sun\StarOffice 8\program\soffice.exe
c:\windows\system32\igfxext.exe
c:\program files\Sun\StarOffice 8\program\soffice.BIN
.
**************************************************************************
.
Heure de fin: 2011-08-25 02:23:52 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-08-25 00:23
.
Avant-CF: 4 385 165 312 octets libres
Après-CF: 4 338 507 776 octets libres
.
- - End Of File - - 634CAFA2401F47B699642F2CC5EFC3BF
0
Réponse 4 / 22
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
25 août 2011 à 08:50
Mon dieu...

Passe ça pour voir : https://www.malekal.com/zeroaccesssirefef-remover/

et repasse un coup de Combofix...
0
fab
25 août 2011 à 11:42
Résultat de ZeroAccess Remover (en résumé)
Check rootkit device : Not found!
System Disk class driver state: OK
Les fichiers en Error!
AF9035BDA.sys
btwsecfl.sys
secdrv.sys
sffp_mmc.sys
wpdusb.sys
WudfPf.sys
Your system is not infected by ZeroAccess/Max++ Rootkit!
0
fab
25 août 2011 à 11:46
Pour être plus clair, voilà le contenu du log ZeroAcces
Webroot AntiZeroAccess 0.8 Log File
Execution time: 25/08/2011 - 11:29
Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 3
11:30:18 - CheckSystem - Begin to check system...
11:30:18 - OpenRootDrive - Opening system root volume and physical drive....
11:30:19 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x01DFF7E7 sectors.
11:30:19 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".
11:30:19 - InstallAndStartDriver - Main driver was installed and now is running.
11:30:19 - CheckSystem - Disk class driver state is OK.
11:30:19 - CheckFile - Unable to send IOCTL_VOLUME_LOGICAL_TO_PHYSICAL to system root volume object. DeviceIoControl last error: 87
11:30:19 - CheckFile - Unable to send IOCTL_VOLUME_LOGICAL_TO_PHYSICAL to system root volume object. DeviceIoControl last error: 87
11:30:20 - CheckFile - Unable to send IOCTL_VOLUME_LOGICAL_TO_PHYSICAL to system root volume object. DeviceIoControl last error: 87
11:30:20 - CheckFile - Unable to send IOCTL_VOLUME_LOGICAL_TO_PHYSICAL to system root volume object. DeviceIoControl last error: 87
11:30:20 - CheckFile - Unable to send IOCTL_VOLUME_LOGICAL_TO_PHYSICAL to system root volume object. DeviceIoControl last error: 87
11:30:20 - CheckFile - Unable to send IOCTL_VOLUME_LOGICAL_TO_PHYSICAL to system root volume object. DeviceIoControl last error: 87
11:30:20 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
11:30:20 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
11:30:20 - Execution Ended!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
25 août 2011 à 11:43
ok bon refais un combofix pour voir :)
0
Réponse 6 / 22
fab
25 août 2011 à 13:06
Et voilà le résultat de nouvelle relance Combofix
(Toujours le c:\windows\system32\IoctlSvc.exe . . . est infecté! )
Et si je lançais MalewareBytes ???

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-- Exécution préalable --
.
c:\windows\system32\IoctlSvc.exe . . . est infecté!!
.
--------
.
c:\windows\system32\IoctlSvc.exe . . . est infecté!!
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-07-25 au 2011-08-25 ))))))))))))))))))))))))))))))))))))
.
.
2011-08-24 20:22 . 2008-04-13 11:00 54144 ----a-w- c:\windows\system32\drivers\i8042prt.sys
2011-08-24 20:22 . 2008-04-13 11:00 54144 ----a-w- c:\windows\system32\dllcache\i8042prt.sys
2011-08-24 20:15 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2011-08-24 20:15 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2011-08-24 16:21 . 2011-08-24 16:21 -------- d-----w- c:\documents and settings\Fabrice JL Mocellin\Application Data\Malwarebytes
2011-08-24 16:21 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-24 16:21 . 2011-08-24 16:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-08-24 16:21 . 2011-08-25 09:43 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-08-24 16:21 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-08-24 15:16 . 2011-08-24 15:16 -------- d-----w- c:\documents and settings\Fabrice JL Mocellin\Local Settings\Application Data\PCHealth
2011-08-24 13:07 . 2011-08-16 06:48 7152464 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{6ACC3329-CD40-4281-A3B5-289E63D33E5F}\mpengine.dll
2011-08-24 12:55 . 2011-08-24 12:59 -------- d-----w- c:\program files\Microsoft Security Client
2011-08-24 11:46 . 2011-08-24 11:46 -------- d-s---w- c:\documents and settings\NetworkService\UserData
2011-08-24 11:32 . 2011-05-24 17:14 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-08-24 09:30 . 2011-08-24 09:30 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\PCHealth
2011-08-24 09:22 . 2011-08-24 09:22 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\PCHealth
2011-08-24 04:21 . 2011-08-24 12:19 -------- d-----w- C:\Nettoyage
2011-08-24 04:11 . 2011-08-24 12:41 -------- d-----w- c:\windows\system32\MpEngineStore
2011-08-24 00:18 . 2011-08-24 00:18 -------- d-----w- C:\found.000
2011-08-23 21:24 . 2011-08-23 21:24 -------- d-----w- c:\windows\system32\wbem\Repository
2011-08-23 18:53 . 2011-08-23 18:53 -------- d-----w- c:\documents and settings\Fabrice JL Mocellin\Application Data\Ysyxo
2011-08-22 10:37 . 2001-08-23 15:47 5632 ----a-w- c:\windows\system32\ptpusb.dll
2011-08-22 10:37 . 2008-04-13 17:33 159232 ----a-w- c:\windows\system32\ptpusd.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-07 08:34 . 2008-09-15 03:05 15523560 -c--a-w- c:\program files\U1 Setup.exe
2011-08-23 10:28 . 2011-05-12 10:17 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
[code]<pre>
c:\program files\EeePC\ACPI\AsAcpiSvr .exe
c:\program files\EeePC\ACPI\AsEPCMon .exe
c:\program files\EeePC\ACPI\AsTray .exe
c:\program files\Elantech\ETDCtrl .exe
c:\program files\Elantech\ETDDect .exe
c:\program files\Fichiers communs\Nero\Lib\NeroCheck .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\Nero\Nero8\InCD\InCD .exe
c:\program files\Nero\Nero8\InCD\NBHGui .exe
c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan .exe
</pre>/code
.
((((((((((((((((((((((((((((( SnapShot@2011-08-25_00.20.01 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-08-25 09:10 . 2011-08-25 09:10 16384 c:\windows\temp\Perflib_Perfdata_748.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NBHShellExt]
@="{8D2223A2-B3C6-4e32-B096-CDD11F628C60}"
[HKEY_CLASSES_ROOT\CLSID\{8D2223A2-B3C6-4e32-B096-CDD11F628C60}]
2008-06-10 10:29 97064 ----a-w- c:\program files\Nero\Nero8\InCD\NBHShx.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SEO Soft"="c:\documents and settings\Fabrice JL Mocellin\Bureau\stat\stat.exe" [N/A]
"BlazeServoTool"="c:\program files\BlazeVideo\BlazeDTV 6.0\MediaDetector.exe" [N/A]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-31 16806912]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
.
c:\documents and settings\Fabrice JL Mocellin\Menu D'marrer\Programmes\D'marrage\
StarOffice 8.lnk - c:\program files\Sun\StarOffice 8\program\quickstart.exe [2007-8-17 122880]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
AutoRun OSCleaner.lnk - c:\program files\ASUS\Asus OS Cleaner\AsOSCleaner.exe [2008-9-15 118784]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-9-15 311296]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-10 19:06 40048 -c--a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2007-10-18 03:34 5724184 -c--a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\IziSpot 4\\IziSpot.exe"=
"c:\\Program Files\\TerraTec\\TerraTec Home Cinema\\InstTool.exe"=
"c:\\Program Files\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Program Files\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
"c:\\Program Files\\TerraTec\\TerraTec Home Cinema\\VersionCheck\\VersionCheck.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Microsoft Security Client\\msseces.exe"=
.
R2 NeroRegInCDSrv;Nero Registry InCD Service;c:\program files\Nero\Nero8\InCD\NBHRegInCDSrv.exe [10/06/2008 12:29 53032]
S1 gjvqjprs;gjvqjprs;\??\c:\windows\system32\drivers\gjvqjprs.sys --> c:\windows\system32\drivers\gjvqjprs.sys [?]
S3 AF9035BDA;AF9035 BDA Devices;c:\windows\system32\drivers\AF9035BDA.SYS [15/12/2010 00:00 459776]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys --> c:\windows\system32\drivers\nmwcdnsu.sys [?]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys --> c:\windows\system32\drivers\nmwcdnsuc.sys [?]
.
Contenu du dossier 'Tâches planifiées'
.
2011-08-24 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 13:39]
.
2011-08-25 c:\windows\Tasks\MpIdleTask.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 13:39]
.
2011-08-25 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 03:20]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.etresoi.biz/
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Trusted Zone: localhost
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Fabrice JL Mocellin\Application Data\Mozilla\Firefox\Profiles\6rsmpi5l.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.etresoi.biz/
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-08-25 12:35
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ASUS-JM_S41_SSD rev.02.10102 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
.
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x8715631B
user & kernel MBR OK
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(1212)
c:\program files\Nero\Nero8\InCD\NBHShx.dll
c:\program files\Nero\Nero8\InCD\NBHStr.dll
c:\program files\Fichiers communs\Nero\Shared\NL3\AdvrCntr3.dll
c:\windows\Microsoft.NET\Framework\v1.1.4322\fusion.dll
c:\program files\eee storage\xpclient.dll
c:\program files\eee storage\logicnp.eznamespaceextensions.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2011-08-25 12:41:11
ComboFix-quarantined-files.txt 2011-08-25 10:41
ComboFix2.txt 2011-08-25 00:23
.
Avant-CF: 4 235 857 920 octets libres
Après-CF: 4 215 885 824 octets libres
.
- - End Of File - - 75C7EA5BE99BA84FE5537ADE614D9087
0
Réponse 7 / 22
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
25 août 2011 à 13:13
nope.

scanne sur https://www.virustotal.com/gui/ ce fichier c:\windows\system32\IoctlSvc.ex
donne le lien.

Fais un scan NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Poste le rapport de scan.
0
Réponse 8 / 22
fab
25 août 2011 à 13:38
Résultat du Scan de IoctlSvc.exe sur VirusTotal
Lien : http://www.virustotal.com/file-scan/report.html?id=fd7b17b09db8caddb79424eec844660a67b3225c2838fd1bd0bbf1d58c6f4b73-1314271047
La suite arrive...

File name: IoctlSvc.exe
Submission date: 2011-08-25 11:17:27 (UTC)
Current status: queued (#7) queued analysing finished


Result: 40/ 44 (90.9%)
VT Community

not reviewed
Safety score: -

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.08.25.00 2011.08.25 Win-Trojan/Patched.DD
AntiVir 7.11.13.227 2011.08.25 TR/Kazy.25098.10
Antiy-AVL 2.0.3.7 2011.08.25 Trojan/Win32.Zbot.gen
Avast 4.8.1351.0 2011.08.24 Win32:Patched-WQ [Trj]
Avast5 5.0.677.0 2011.08.24 Win32:Patched-WQ [Trj]
AVG 10.0.0.1190 2011.08.25 Win32/Katusha.A
BitDefender 7.2 2011.08.25 Trojan.Patched.HE
ByteHero 1.0.0.1 2011.08.22 Trojan.Win32.Heur.Gen
CAT-QuickHeal 11.00 2011.08.25 W32.Patchload.O
ClamAV 0.97.0.0 2011.08.25 Trojan.Patched-167
Commtouch 5.3.2.6 2011.08.25 W32/Patched.G
Comodo 9868 2011.08.25 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.08.25 Trojan.Starter.1695
Emsisoft 5.1.0.10 2011.08.25 Trojan-Spy.Win32.Zbot!IK
eSafe 7.0.17.0 2011.08.24 Win32.TRKazy
eTrust-Vet 36.1.8521 2011.08.25 Win32/Patchload.U
F-Prot 4.6.2.117 2011.08.25 W32/Patched.G
F-Secure 9.0.16440.0 2011.08.25 Trojan.Patched.HE
Fortinet 4.2.257.0 2011.08.24 W32/Patched.MF!tr
GData 22 2011.08.25 Trojan.Patched.HE
Ikarus T3.1.1.107.0 2011.08.25 Trojan-Spy.Win32.Zbot
Jiangmin 13.0.900 2011.08.24 TrojanSpy.Zbot.adxr
K7AntiVirus 9.111.5052 2011.08.24 Trojan
Kaspersky 9.0.0.837 2011.08.25 Trojan.Win32.Patched.mf
McAfee 5.400.0.1158 2011.08.25 W32/Katusha
McAfee-GW-Edition 2010.1D 2011.08.25 Heuristic.LooksLike.Win32.SuspiciousPE.J!88
Microsoft 1.7604 2011.08.25 Virus:Win32/Patchload.O
NOD32 6408 2011.08.25 Win32/Patched.HN
Norman 6.07.10 2011.08.25 W32/Patched.BH
nProtect 2011-08-25.01 2011.08.25 -
Panda 10.0.3.5 2011.08.24 W32/Katusha.BN
PCTools 8.0.0.5 2011.08.25 Trojan.Paccyn
Prevx 3.0 2011.08.25 -
Rising 23.72.03.03 2011.08.25 Win32.Loader.li
Sophos 4.68.0 2011.08.25 W32/Patched-AK
SUPERAntiSpyware 4.40.0.1006 2011.08.24 -
Symantec 20111.2.0.82 2011.08.25 Trojan.Paccyn!inf
TheHacker 6.7.0.1.284 2011.08.25 -
TrendMicro 9.500.0.1008 2011.08.25 PTCH_KATUSHA.W
TrendMicro-HouseCall 9.500.0.1008 2011.08.25 PTCH_KATUSHA.W
VBA32 3.12.16.4 2011.08.24 Trojan-Spy.Zbot.gen
VIPRE 10263 2011.08.25 Virus.Win32.Agent.mpq (v)
ViRobot 2011.8.25.4639 2011.08.25 Win32.Patched.BE
VirusBuster 14.0.183.2 2011.08.24 Win32.Katusha.Gen
Additional informationShow all
MD5 : b3d6e25ddf74950de519fc8423160d11
SHA1 : 2e72ca344bfb165c8daef3bc92f2e8490bfacecd
SHA256: fd7b17b09db8caddb79424eec844660a67b3225c2838fd1bd0bbf1d58c6f4b73
ssdeep: 1536:VosZ7Akv0TNQXye5oOOBf+MKod563MfeLCNtnXO:VosZ7AwDUBmEmLCNtnXO
File size : 81920 bytes
First seen: 2011-06-26 15:48:40
Last seen : 2011-08-25 11:17:27
TrID:
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: Prolific Technology Inc.
copyright....: Copyright (C) 2006 Prolific Technology Inc.
product......: IoctlSvc Application
description..: PLFlash DeviceIoControl Service
original name: IoctlSvc.exe
internal name: IoctlSvc
file version.: 1, 6, 0, 0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x1471C
timedatestamp....: 0x4566BCF9 (Fri Nov 24 09:35:53 2006)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0xB5F2, 0xC000, 6.43, e1c80bbef93b520e0e7ef58911d7e93f
.rdata, 0xD000, 0x31CC, 0x4000, 4.60, 996850acbf0b768768e55c55bade8df1
.data, 0x11000, 0x2C84, 0x2000, 1.41, cfcee594febf71fd2bcf0601446c31ab
.rsrc, 0x14000, 0xE9C, 0x1000, 4.98, c78922e3afb4cce933955839bcb262ec

[[ 3 import(s) ]]
SETUPAPI.dll: SetupDiGetClassDevsA, SetupDiEnumDeviceInfo, SetupDiGetDeviceInstanceIdA, SetupDiSetClassInstallParamsA, SetupDiCallClassInstaller, SetupDiDestroyDeviceInfoList
KERNEL32.dll: GetLastError, GetModuleFileNameA, GetCurrentThreadId, OutputDebugStringA, FlushFileBuffers, DisconnectNamedPipe, SetFilePointer, DeviceIoControl, CreateThread, Sleep, ConnectNamedPipe, LocalAlloc, CreateNamedPipeA, LocalFree, CreateFileA, WriteFile, ReadFile, CloseHandle, GetConsoleOutputCP, WriteConsoleW, InterlockedIncrement, RtlUnwind, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, GetProcAddress, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, InterlockedDecrement, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCPInfo, GetACP, GetOEMCP, ExitProcess, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, DeleteCriticalSection, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, RaiseException, LeaveCriticalSection, EnterCriticalSection, VirtualAlloc, HeapReAlloc, GetConsoleCP, GetConsoleMode, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, LoadLibraryA, InitializeCriticalSection, HeapSize, SetStdHandle, WriteConsoleA
ADVAPI32.dll: FreeSid, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerA, SetServiceStatus, ControlService, DeleteService, CreateServiceA, RegCreateKeyA, StartServiceA, DeregisterEventSource, RegDeleteKeyA, RegCreateKeyExA, RegisterEventSourceA, ReportEventA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, RegDeleteValueA, RegCloseKey, AllocateAndInitializeSid, SetEntriesInAclA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl

ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 49152
CompanyName: Prolific Technology Inc.
EntryPoint: 0x1471c
FileDescription: PLFlash DeviceIoControl Service
FileFlagsMask: 0x0017
FileOS: Win32
FileSize: 80 kB
FileSubtype: 0
FileType: Win32 EXE
FileVersion: 1, 6, 0, 0
FileVersionNumber: 1.6.0.0
ImageVersion: 0.0
InitializedDataSize: 28672
InternalName: IoctlSvc
LanguageCode: Chinese (Traditional)
LegalCopyright: Copyright (C) 2006 Prolific Technology Inc.
LinkerVersion: 8.0
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 5.1
ObjectFileType: Executable application
OriginalFilename: IoctlSvc.exe
PEType: PE32
ProductName: IoctlSvc Application
ProductVersion: 1, 6, 0, 0
ProductVersionNumber: 1.6.0.0
Subsystem: Windows command line
SubsystemVersion: 4.0
TimeStamp: 2006:11:24 10:35:53+01:00
UninitializedDataSize: 0



VT Community
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
25 août 2011 à 13:45
il roupisse ton MSE ?
car Microsoft le détecte.

Bizarre qu'il ne te dise rien :)
0
fab
25 août 2011 à 13:54
Comme je ne peux toujours pas désactiver MSE manuellement (bloqué), j'ai supprimer le processus msseces.exe Mais c'est vrai que MSE est quand même détecté, par ComboFix aussi
Bon je vais lancer le scan NOD 32... @+
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
25 août 2011 à 13:56
okay.

Le PC est plus rapide ?
0
fab
25 août 2011 à 14:08
ça je n'y ai pas prété attention. Comme j'ai installé MSE depuis l'attaque virale, j'avais l'habitude d'une utilisation sans antiVirus, et donc rapide
0
Réponse 9 / 22
fab
25 août 2011 à 14:01
Paramétrage du scan NOD32 : je laisse le coche Supprimer les menaces détectées
Est-ce que je coche Analyser les archives ?

Dans les paramètres avancés, est-ce que je coche Rechercher les applications potentiellement dangeureuses ? (Rechercher les applications potentiellement indésirables est coché)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
25 août 2011 à 14:12
oui aux deux.
0
Réponse 10 / 22
fab
25 août 2011 à 16:25
Et voilà les résultats de l'analyse ESET
(32 fichiers infectés et nettoyés)
Les fichiers infectés supprimés ou mis en quarantaine vont-ils affecter le bon fonctionnement des applications concernées ? (Java, Nero8, Bluetooth, ...)
Et après? Dois-je redémarrer l'ordi, désinstaller ESET, ComboFix ?

C:\Documents and Settings\Fabrice JL Mocellin\Application Data\Sun\Java\Deployment\cache\6.0\48\7efb9430-32c3c640 a variant of Win32/Kryptik.SBN trojan cleaned by deleting - quarantined
C:\Documents and Settings\Fabrice JL Mocellin\Application Data\Sun\Java\Deployment\cache\6.0\48\7efb9430-40e07f13 a variant of Win32/Kryptik.SBN trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0067081.inf Win32/PSW.OnLineGames.OUM trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0067083.exe a variant of Win32/Kryptik.SAE trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0067091.exe a variant of Win32/Kryptik.SAE trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0067092.exe a variant of Win32/Kryptik.SAI trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0067095.dll a variant of Win32/Kryptik.RZJ trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0067103.inf Win32/PSW.OnLineGames.OUM trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0067114.inf Win32/PSW.OnLineGames.OUM trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0068114.inf Win32/PSW.OnLineGames.OUM trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0068123.inf Win32/PSW.OnLineGames.OUM trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0068130.inf Win32/PSW.OnLineGames.OUM trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0068137.inf Win32/PSW.OnLineGames.OUM trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0069136.exe a variant of Win32/Kryptik.QGA trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0069137.inf Win32/PSW.OnLineGames.OUM trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0069152.exe a variant of Win32/Kryptik.QGA trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0069153.inf Win32/PSW.OnLineGames.OUM trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0069167.exe a variant of Win32/Kryptik.QGA trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0069168.inf Win32/PSW.OnLineGames.OUM trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0069175.exe a variant of Win32/Kryptik.QGA trojan cleaned by deleting - quarantined
C:\found.000\dir0000.chk\A0069176.inf Win32/PSW.OnLineGames.OUM trojan cleaned by deleting - quarantined
C:\Qoobox\Quarantine\C\Documents and Settings\Fabrice JL Mocellin\Application Data\Adobe\plugs\mmc30519421.txt.vir a variant of Win32/Kryptik.SAW trojan cleaned by deleting - quarantined
C:\Qoobox\Quarantine\C\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe.vir Win32/Patched.HN trojan cleaned - quarantined
C:\Qoobox\Quarantine\C\Program Files\Java\jre6\bin\jqs.exe.vir Win32/Patched.HN trojan cleaned - quarantined
C:\Qoobox\Quarantine\C\Program Files\Nero\Nero8\InCD\InCDsrv.exe.vir Win32/Patched.HN trojan cleaned - quarantined
C:\Qoobox\Quarantine\C\Program Files\Nero\Nero8\InCD\NBHRegInCDSrv.exe.vir Win32/Patched.HN trojan cleaned - quarantined
C:\Qoobox\Quarantine\C\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe.vir Win32/Patched.HN trojan cleaned - quarantined
C:\Qoobox\Quarantine\C\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe.vir Win32/Patched.HN trojan cleaned - quarantined
C:\Qoobox\Quarantine\C\WINDOWS\assembly\GAC_MSIL\desktop.ini.vir Win32/Sirefef.CH trojan cleaned by deleting - quarantined
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\i8042prt.sys.vir a variant of Win32/Sirefef.CO trojan cleaned by deleting - quarantined
C:\WINDOWS\system32\algh.exe a variant of Win32/Kryptik.SBE trojan cleaned by deleting - quarantined
C:\WINDOWS\system32\IoctlSvc.exe Win32/Patched.HN trojan cleaned - quarantined
0
Réponse 11 / 22
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
25 août 2011 à 16:28
Le PC rame encore ?
0
fab
25 août 2011 à 16:38
Pour redémarrer le PC je suis tjrs obligé de passer par F2 (sinon curseur clignotant sur écran noir)
MSE est tjrs bloqué
Le processus IoctlSvc.exe est de nouveau là au démarrage (je peux éventuellement relancer ComboFix pour voir s'il est encore détecté comme infecté ou pas)
0
fab
25 août 2011 à 16:44
Et Fn F2 ne fonctionne tjrs pas pour remettre en service le wifi (heureusement que le bon vieux cable réseau fonctione, ça dépanne...)
Le contenu de Mes Documents est-il définitivement perdu (il reste 2 dossiers vides : Mes sources de données / Mon papier à lettre)
Je n'ose pas relancer Windows Live Mail pour l'instant...
0
Réponse 12 / 22
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
25 août 2011 à 16:44
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

renomme IoctlSvc.exe en IoctlSvc.old


Faudrait que tu désinstalles et réinstalles MSE.
0
Réponse 13 / 22
fab
25 août 2011 à 17:05
Je peux faire tout ça hors mode sans échec, ou bien c'est important d'être en mode sans échec ?
Pour réinstallant MSE, un message conseille de désactiver tout autre logiciel anti virus, espion, ... Que faire de ComboFix, ESET, Malwarebytes (que je n'ai pas lancé mais quand même installé) ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
25 août 2011 à 18:08
renommer IoctlSvc.exe ça doit pas marcher en mode normal.
L'installation de MSE tu peux la faire en mode normal.

Pour réinstallant MSE, un message conseille de désactiver tout autre logiciel anti virus, espion, ... Que faire de ComboFix, ESET, Malwarebytes (que je n'ai pas lancé mais quand même installé) ?

On s'en fiche dans le cas de l'installation de MSE, ça gène pas.
0
Réponse 14 / 22
fab
26 août 2011 à 01:03
L'analyse rapide post réinstallation de MSE n'a rien donné.
Mais j'ai lancé une analyse complète, et là une vingtaine de fichiers infectés, désinfectés ou supprimés.
J'ai pu redémarrer le pc sans passer par F2.
Mais la réactivation de mon wifi (Fn F2) reste impossible.
Je vais relancer une analyse complète.

Que faire du fichier IoctlSvc.exe.old, ComboFix et ESET ?
0
fab
26 août 2011 à 02:57
Seconde analyse complète MSE, encore une infection détectée : TrojanDownloader:Win32/Unruy.H
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
26 août 2011 à 11:30
Fais les en mode sans échec les scans.
0
Réponse 15 / 22
fab
26 août 2011 à 13:00
Je pensais que la situation s'était un peu améliorée, mais en démarrant le pc ce matin, encore écran noir avec curseur blanc, donc F2 pour démarrer, puis ça rame au niveau des temps de réponse, et certaines pages web me sont inaccessibles (par ex. le site microsoft, y accéder provoque une erreur; peut-être détecte-t-il un virus et m'empeche l'accès ?)
Je vais essayé donc de relancer MSE en mode sans échec.
Question : avec le notebook, acheté neuf, il y avait un CD de fonctionnement, mais pas de CD de réinstallation système.
Y-a-t-il un moyen de ré-installer le système Windows XP familial SP3 sur un Notebook ?
0
Réponse 16 / 22
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
Modifié par Malekal_morte- le 26/08/2011 à 13:24
Je dois partir, je serai pas là du WE je pense.

Essaye Combofix et MSE en mode sans échec... l'un à la suite de l'autre.

Question : avec le notebook, acheté neuf, il y avait un CD de fonctionnement, mais pas de CD de réinstallation système.

Ca réinitialise tout, donc vaut mieux sauvegarder les documents avant.

Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
0
Réponse 17 / 22
fab
26 août 2011 à 13:57
Okay, MERCI de ton aide Malekal, et de ta réactivité.
De toute façon j'ai perdu le contenu de Mes Documents... A moins que restaurer à une date antérieure à l'attaque virale me permette de les récupérer et assurer un bon fonctionnement du système ???
Encore faut-il peut-être s'assurer qu'il n'y ait plus de virus avant ?
Bon week-end
0
Réponse 18 / 22
fab
26 août 2011 à 17:20
ça veut pas en mode sans échec...
Relance ComboFix en mode normal, a priori rien de détecté
Malwarebytes ne détecte rien non plus
Microsoft Security Essentials détecte TrojanDownloader:Win32/Unruy.h ; et malgré le nettoyage (suppression) le détecte encore et encore. Il n'arrive visiblement pas à l'éradiquer...
0
Réponse 19 / 22
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
29 août 2011 à 16:02
Je voudrais voir le dernier rapport Combofix stp.
0
Réponse 20 / 22
fab
3 sept. 2011 à 00:38
Bonjour,
Après plusieurs tentatives, impossible de booter sur le CD fourni avec l'Eeepc, ou sur une clé usb de boot.
Le boot CD a finalement fonctionné, et j'ai pu réinstaller XP en config d'usine. Je réinstalle peu à peu mes applis... Et j'ai installé AntiVir en version gratuite. Ayant activé la protection page web via Internet Explorer, je constate tout de même que cela ralenti considérablement l'accès à des pages chargées (liens publicitaires, ...)
J'ai qqs soucis avec Windows Live Mail, mais c'est plutot l'objet d'un autre forum...
Merci de ton aide.
0