[2] Une autre machine infectée... Fermé

Question

Bonjour, 

Je fais encore face à une autre machine super infectée du aux multiples clés usb qui s'y balladent. j'ai fais un usbfix, voici le résultat. j'attends vos précieux conseils pour la suite. cordialement, 

############################## | UsbFix V 7.077 | [Suppression]

Utilisateur: User (Administrateur) # USER-2241F426BB
Mis à jour le 28/12/2011 par El Desaparecido
Lancé à 14:40:39 | 29/12/2011

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Hewlett-Packard (Compaq 500B Microtower) (X86-based PC) # Desktop Computer
CPU: Processeur Intel Pentium III Xeon (2699)
CPU: Processeur Intel Pentium III Xeon (2700)
RAM -> [ Total : 989 | Free : 391 ]
BIOS: BIOS Date: 03/03/10 09:57:57 Ver: 5.13
BOOT: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 6.0.2900.2180

SC: Security Center Service [ (!) Disabled ]
WU: Windows Update Service [ (!) Disabled ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 103 Go (84 Go libre(s) - 82%) [] # NTFS
D:\ -> Disque fixe # 195 Go (195 Go libre(s) - 100%) [] # NTFS
E:\ -> CD-ROM

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (752)
C:\WINDOWS\system32\csrss.exe (800)
C:\WINDOWS\system32\winlogon.exe (824)
C:\WINDOWS\system32\services.exe (868)
C:\WINDOWS\system32\lsass.exe (880)
C:\WINDOWS\system32\svchost.exe (1052)
C:\WINDOWS\system32\svchost.exe (1120)
C:\WINDOWS\System32\svchost.exe (1200)
C:\WINDOWS\system32\svchost.exe (1324)
C:\WINDOWS\system32\svchost.exe (1372)
C:\Program Files\AVG\AVG9\avgchsvx.exe (1516)
C:\WINDOWS\system32\spoolsv.exe (1548)
C:\WINDOWS\System32\SCardSvr.exe (1596)
C:\Program Files\AVG\AVG9\avgrsx.exe (1624)
C:\WINDOWS\explorer.exe (1876)
C:\Program Files\AVG\AVG9\avgcsrvx.exe (1992)
C:\WINDOWS\RTHDCPL.EXE (260)
C:\WINDOWS\system32\svchost.exe (284)
C:\WINDOWS\system32\igfxtray.exe (292)
C:\WINDOWS\system32\hkcmd.exe (304)
C:\WINDOWS\system32\igfxpers.exe (332)
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe (340)
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe (352)
C:\Program Files\LP\8829\7D1.exe (208)
C:\Netscape.exe (520)
C:\Classes.exe (576)
C:\PROGRA~1\AVG\AVG9\avgtray.exe (644)
C:\WINDOWS\system32\ctfmon.exe (788)
C:\Program Files\SuperCopier2\SuperCopier2.exe (792)
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe (932)
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (2148)
C:\Program Files\AVG\AVG9\avgwdsvc.exe (2168)
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe (2252)
C:\Program Files\AVG\AVG9\avgnsx.exe (2564)
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (2824)
C:\WINDOWS\system32\drivers\wvchatts.exe (3112)
C:\WINDOWS\System32\alg.exe (3596)
C:\WINDOWS\system32\msiexec.exe (3732)
C:\Program Files\3B650\lvvm.exe (2796)
C:\Documents and Settings\User\Application Data\9093B\D0B88.exe (3976)
C:\Documents and Settings\User\viikou.exe (3856)
C:\Documents and Settings\User\2cmd.exe (3768)
C:\Program Files\Internet Explorer\iexplore.exe (448)
C:\Documents and Settings\User\calc.exe (1848)
C:\WINDOWS\System32\ping.exe (2296)
C:\UsbFix\Go.exe (3848)
C:\WINDOWS\system32\wbem\wmiprvse.exe (4020)
C:\Program Files\AVG\AVG9\avgui.exe (540)

################## | Processus Stoppés |

Stoppé! C:\Program Files\AVG\AVG9\avgchsvx.exe (1516)
Stoppé! C:\WINDOWS\system32\spoolsv.exe (1548)
Stoppé! C:\WINDOWS\System32\SCardSvr.exe (1596)
Stoppé! C:\Program Files\AVG\AVG9\avgrsx.exe (1624)
Stoppé! C:\WINDOWS\explorer.exe (1876)
Stoppé! C:\Program Files\AVG\AVG9\avgcsrvx.exe (1992)
Stoppé! C:\WINDOWS\RTHDCPL.EXE (260)
Stoppé! C:\WINDOWS\system32\igfxtray.exe (292)
Stoppé! C:\WINDOWS\system32\hkcmd.exe (304)
Stoppé! C:\WINDOWS\system32\igfxpers.exe (332)
Stoppé! C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe (340)
Stoppé! C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe (352)
Stoppé! C:\Program Files\LP\8829\7D1.exe (208)
Stoppé! C:\Netscape.exe (520)
Stoppé! C:\Classes.exe (576)
Stoppé! C:\PROGRA~1\AVG\AVG9\avgtray.exe (644)
Stoppé! C:\WINDOWS\system32\ctfmon.exe (788)
Stoppé! C:\Program Files\SuperCopier2\SuperCopier2.exe (792)
Stoppé! C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe (932)
Stoppé! C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (2148)
Stoppé! C:\Program Files\AVG\AVG9\avgwdsvc.exe (2168)
Stoppé! C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe (2252)
Stoppé! C:\Program Files\AVG\AVG9\avgnsx.exe (2564)
Stoppé! C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (2824)
Stoppé! C:\WINDOWS\system32\drivers\wvchatts.exe (3112)
Stoppé! C:\WINDOWS\System32\alg.exe (3596)
Stoppé! C:\WINDOWS\system32\msiexec.exe (3732)
Stoppé! C:\Program Files\3B650\lvvm.exe (2796)
Stoppé! C:\Documents and Settings\User\Application Data\9093B\D0B88.exe (3976)
Stoppé! C:\Documents and Settings\User\viikou.exe (3856)
Stoppé! C:\Documents and Settings\User\2cmd.exe (3768)
Stoppé! C:\Program Files\Internet Explorer\iexplore.exe (448)
Stoppé! C:\Documents and Settings\User\calc.exe (1848)
Stoppé! C:\WINDOWS\System32\ping.exe (2296)
Stoppé! C:\Program Files\AVG\AVG9\avgui.exe (540)

################## | Éléments infectieux |

Supprimé! C:\Documents and Settings\User\Local Settings\Application Data\AresXZ
Supprimé! C:\Documents and Settings\User\Application Data\LimeRunner
Supprimé! C:\Documents and Settings\User\Application Data\smss.exe
Supprimé! C:\Program Files\LP
Supprimé! C:\Documents and Settings\User\fjg.exe
Supprimé! C:\Documents and Settings\User\achost.exe
Supprimé! C:\Documents and Settings\User\aehost.exe
Supprimé! C:\Documents and Settings\User\afhost.exe
Supprimé! C:\Documents and Settings\User\aghost.exe
Supprimé! C:\Documents and Settings\User\aihost.exe
Supprimé! C:\Documents and Settings\User\ajhost.exe
Supprimé! C:\Documents and Settings\User\athost.exe
Supprimé! C:\Documents and Settings\User\ayhost.exe
Supprimé! C:\Documents and Settings\User\behost.exe
Supprimé! C:\Documents and Settings\User\bghost.exe
Supprimé! C:\Documents and Settings\User\bihost.exe
Supprimé! C:\Documents and Settings\User\bjhost.exe
Supprimé! C:\Documents and Settings\User\bthost.exe
Supprimé! C:\Documents and Settings\User\bzhost.exe
Supprimé! C:\Documents and Settings\User\cfhost.exe
Supprimé! C:\Documents and Settings\User\cthost.exe
Supprimé! C:\Documents and Settings\User\dchost.exe
Supprimé! C:\Documents and Settings\User\dghost.exe
Supprimé! C:\Documents and Settings\User\echost.exe
Supprimé! C:\Documents and Settings\User\ehhost.exe
Supprimé! C:\Documents and Settings\User\eihost.exe
Supprimé! C:\Documents and Settings\User\fjhost.exe
Supprimé! C:\Documents and Settings\User\calc.exe
Supprimé! C:\Documents and Settings\User\spkpod
Supprimé! C:\Recycler\S-1-5-21-861567501-2139871995-1801674531-1003
Supprimé! D:\Recycler\S-1-5-21-861567501-2139871995-1801674531-1003

(!) Fichiers temporaires supprimés.

################## | Registre |

Supprimé! HKCU\Software\AresXZ

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4b9cb294-0c5f-11e1-8fef-78e7d1d0b882}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{56bf309a-2a2b-11e1-900c-78e7d1d0b882}

################## | Listing |

[24/09/2010 - 10:18:37 | N | 0] 	C:\AUTOEXEC.BAT
[24/09/2010 - 10:13:59 | N | 212] 	C:\boot.ini
[28/09/2001 - 13:00:00 | N | 4952] 	C:\Bootfont.bin
[20/12/2011 - 09:17:39 | N | 44544] 	C:\Classes.exe
[24/09/2010 - 10:18:37 | N | 0] 	C:\CONFIG.SYS
[24/09/2010 - 10:22:04 | D ] 	C:\Documents and Settings
[14/06/2011 - 19:09:43 | N | 1739] 	C:\fwdownload.log
[27/09/2010 - 09:48:44 | D ] 	C:\Intel
[24/09/2010 - 10:18:37 | N | 0] 	C:\IO.SYS
[24/09/2010 - 10:18:37 | N | 0] 	C:\MSDOS.SYS
[27/09/2010 - 09:55:51 | RHD ] 	C:\MSOCache
[20/12/2011 - 09:17:34 | N | 29696] 	C:\Netscape.exe
[03/08/2004 - 22:38:34 | N | 47564] 	C:\NTDETECT.COM
[03/08/2004 - 22:59:44 | N | 251712] 	C:
tldr
[29/12/2011 - 14:33:20 | ASH | 1560281088] 	C:\pagefile.sys
[29/12/2011 - 14:19:40 | D ] 	C:\Program Files
[19/12/2011 - 16:07:04 | N | 217088] 	C:\RCX76.tmp
[29/12/2011 - 14:51:45 | SHD ] 	C:\RECYCLER
[25/09/2010 - 14:27:34 | D ] 	C:\SWSetup
[28/12/2011 - 14:50:35 | SHD ] 	C:\System Volume Information
[29/12/2011 - 14:51:45 | D ] 	C:\UsbFix
[29/12/2011 - 14:52:53 | A | 7071] 	C:\UsbFix.txt
[29/12/2011 - 14:19:28 | D ] 	C:\WINDOWS
[29/12/2011 - 14:51:45 | SHD ] 	D:\RECYCLER
[24/09/2010 - 10:28:20 | SHD ] 	D:\System Volume Information
[27/09/2010 - 09:46:13 | N | 18335760] 	D:\winxp_14425(2).exe

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_USER-2241F426BB.zip
http://eldesaparecido.com/upload.html
Merci de votre contribution.

################## | E.O.F |




Configuration: Windows XP / Firefox 3.5.6

mika0000 · Answer

voici le zhpdiag

http://ww38.toofiles.com/fr/oip/documents/txt/7060_zhpdiag.html

Utilisateur anonyme · Answer

re,

pas cool, ce pc est Rootkité aussi !

*	Télécharge TDSSKiller sur ton bureau :

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

*  Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " ) 

*  Clique sur [Start Scan] pour démarrer l'analyse. 

*  Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now] 

*  Un rapport s'ouvrira au redémarrage du PC. 

*  Copie/Colle son contenu dans ta prochaine réponse. 

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

note : Si Tdsskiller trouve un fichier nommé "Sptd.sys", tu sélectionnes skip :D

[2] Une autre machine infectée...

2 réponses

Discussions similaires