Bonjour,
 
Je suis sous Win Xp SP3, et je me paye à nouveau un virus bien relou qu'il me semble avoir déjà eu il y a 18 à 24 mois. A priori, bien que l'ayant traité à l'époque, il s'est réactivé à la faveur d'une restauration système (je ne peux plus faire de reinstall vu que mon lecteur CD est mort...).
 
Principaux symptômes:
- spam toutes les champs de saisie dès le lancement de Win (impossible de rentrer le mdp d'admin, impossible de taper une url, etc.)
- contourne le diagnostic d'intégrité du DD après redémarrage forcé
- invisible à Avira à jour, en cession sans échec (pagefile.sys non scanable)
- toujours actif en sans échec a priori (j'ai tenté un sans échec avec prise en charge réseau pour diagnostic/dl de solutions en ligne, mais impossible d'utiliser un navigateur web)
 
Faute de pouvoir accéder à la cession d'admin, comment faire?
Si j'installe des apps de diagnostics sur DD externe, puis-je les faire fonctionner en cession sans échec ou en mode "invité"?
 
Je suis évidemment sur un autre PC en ce moment...

vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:48:05, on 27/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Notebook Hardware Control\nhc.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ASUS\Wireless Console\wcourier.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\Backup Données\Utilitaires_07_2009\Sécurité\Hijack This 2.0.2\HiJackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AuditMode] C:\sysprep\factory.exe -logon
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Program Files\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Wireless Console] C:\Program Files\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [OpenDNS Update] "C:\Program Files\OpenDNS U
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-3308748808-4173638288-3012834092-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Net')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4D90EDF-32E3-4CAC-B636-3C1D965F697E}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
 

au secours....
 
lis la charte / vire rapidement ce log (ou héberge le ailleurs) sous peine de voir ton post très rapidement fermé par les modérateurs.
 
pas la peine de copier/coller 6 fois le log c'est déja assez lourd comme ça  

 
Gros malin, c'est le virus qui l'a dupliqué (je suis sur un autre poste maintenant). 'Faut regarder les fiches persos, hein.
 

Aucune idée pour ce virus de boot sector? Je ne trouve rien...

Je vois rien de suspicieux dans ton log.
 
Essaye de faire un scan avec Malwarebytes' Anti-Malware pour commencer

 
Bon, premier indice: le fait d'avoir pu désactiver in extremis la restauration système neutralise cette saloperie. Reste plus qu'à la trouver pour l'éradiquer.
 
Je lance le scan malware. Pas besoin d'être en sans échec?

Rien trouvé avec Malwarebyte's sous session admin'.

Bon je suis pas un pro mais d'après les infos que tu donnes je dirais que soit t'as un virus qui se cache très bien (type rootkit, que tu peux éventuellement détecter avec RootkitRevealer), soit c'est tout simplement ton clavier qui déconne

Bon ben go pour RootkitRevealer.
 
Maintenant que tu le dis, j'ai des problèmes de port USB...

Alors:
 

 
...mais il s'est figé sur "HKLM\SYSTEM\WPA\SigningHash-V44KQMCFXKQCTQ": impossible d'aller plus loin...

Il est pas censé se figer  
En tout cas les 2 premières lignes c'est rien d'important et la dernière de OpenDNS manifestement donc rien de suspicieux encore une fois.
 
Mais mis à part le fait que ça te pourrisse les saisies au clavier il se passe quoi? Si c'est le seul symptôme apparent y'a de grandes chances que ça vienne de ton clavier ou de ton port USB qui foire...
 
Le plus simple à faire change de clavier et regarde si ça remarche, tu seras vite fixé

 
Ah ouais 'y avait aussi: UN BIP TRES AIGU ET QUASI CONTINU§§§
 
Je ne l'avais pas entendu les premières fois, les enceintes n'étaient pas allumées.

Le bip est peut être lié au clavier aussi

Arf, ce serait donc un problème de matos: ben merde alors.

Enfin j'en sais rien mais comme je t'ai dit met un autre clavier à la place et tu seras vite fixé

 
Sauf si ce sont les ports USB eux-mêmes qui merdent (j'en ai 2 sur 4 qui merdent régulièrement).

+1 c'est le clavier
Et le bip est dû au fait que plusieurs touches sont enfoncées simultanément
 
Aucun rapport avec une infection

Arf, dans ce cas ce sont les ports: je ne suis pas n00b au point d'enfoncer plusieurs touches au démarrage, sans compter que le problème perdurait..., pour disparaître une dizaine de minutes, et réapparaître à nouveau.

 
Et le virus t'a empêché de lire les règles de postage du forum, "gros malin"?... Ah oui il a généré seul le log, s'est loggé ici, et a posté à ta place, je m'incline.
 
   
 

La répétition de touche que je ne controllais pas à dupliqué le ctrl+v: ça y est, c'est clair?  
C'est ton boulot de faire chier pour rien sans doute.

 
J'ai juste tenté de t'éviter de voir ton topic fermé (logs hijackthis interdits, dupliqués ou pas). Je t'en prie, ce fut un plaisir (partagé semble-t-il)...
 
Et puisque tu as réussi à éradiquer le virus de ton clavier/doigts, tout va bien.

 
C'est vrai, j'en avais grand besoin... avec 3 fois plus de posts que toi.
 
Tu te prends pour qui?

 
Je suis un con qui lit et essaie de respecter les règles du forum.... Tu as 12001 posts (la quantité fait tout c'est bien connu) et pas foutu de lire les règles et d'être un minimum courtois, la classe vraiment.
 
Au plaisir de ne pas te recroiser    

 
Ah oui, et tu es le seul à faire cet effort...  

 
Ca va faire drôlement plaisir aux Modos quand ils liront ça, tiens... ^^

Logs hijackthis interdits.