pc lent et arrëts intempestifs

Plusieurs infections serieuses dont Vundo.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

Double-clique VundoFix.exe afin de le lancer

Clique sur le bouton Scan for Vundo

Lorsque le scan est complété, clique sur le bouton Remove Vundo

Une invite te demandera si tu veux supprimer les fichiers, clique YES

Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

----------
-> Démarrer
-> Exécuter...
Tape Services.msc puis valide
Double clique sur " Local Security Authority Subsystem Service "
Type de démarrage : " Désactiver "
Clique en bas sur " Arrêter "
Valide les changements.
-----
Ouvre Hijackthis puis:
-> Open the Misc Tools Section
-> Delete an NT Service
Tape " lsass " puis valide.
----------
-> ca devrait calmer les reboot

Télécharge combofix.exe (par sUBs) sur ton Bureau

Double clique combofix.exe et suis les invites.

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

voici le rapport de vundo


VundoFix V5.1.5

Checking Java version...

Java version is 1.4.2.4

Scan started at 20:36:06 27/07/2006

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V5.1.5

Checking Java version...

Java version is 1.4.2.4

Scan started at 21:10:01 27/07/2006

Listing files found while scanning....

No infected files were found.


VundoFix V6.1.4

Checking Java version...

Java version is 1.4.2.4

Scan started at 21:23:43 21/09/2006

Listing files found while scanning....

C:\WINNT\system32\cbxwutr.dll
C:\WINNT\system32\nnnlllj.dll
C:\WINNT\system32\ssqnm.dll
C:\WINNT\system32\mnqss.ini
C:\WINNT\system32\mnqss.bak1
C:\WINNT\system32\mnqss.bak2
C:\WINNT\system32\mnqss.ini2
C:\WINNT\system32\mnqss.tmp
C:\WINNT\system32\bxwvtpup.exe
C:\WINNT\system32\cdvwvitd.exe

Beginning removal...

Attempting to delete C:\WINNT\system32\cbxwutr.dll
C:\WINNT\system32\cbxwutr.dll Has been deleted!

Attempting to delete C:\WINNT\system32\nnnlllj.dll
C:\WINNT\system32\nnnlllj.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ssqnm.dll
C:\WINNT\system32\ssqnm.dll Has been deleted!

Attempting to delete C:\WINNT\system32\mnqss.ini
C:\WINNT\system32\mnqss.ini Has been deleted!

Attempting to delete C:\WINNT\system32\mnqss.bak1
C:\WINNT\system32\mnqss.bak1 Has been deleted!

Attempting to delete C:\WINNT\system32\mnqss.bak2
C:\WINNT\system32\mnqss.bak2 Has been deleted!

Attempting to delete C:\WINNT\system32\mnqss.ini2
C:\WINNT\system32\mnqss.ini2 Has been deleted!

Attempting to delete C:\WINNT\system32\mnqss.tmp
C:\WINNT\system32\mnqss.tmp Has been deleted!

Attempting to delete C:\WINNT\system32\bxwvtpup.exe
C:\WINNT\system32\bxwvtpup.exe Has been deleted!

Attempting to delete C:\WINNT\system32\cdvwvitd.exe
C:\WINNT\system32\cdvwvitd.exe Has been deleted!

Performing Repairs to the registry.
Done!

voici le HJT

Logfile of HijackThis v1.99.1
Scan saved at 21:44:39, on 21/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ssmc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\lsiss.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\kybrdff_e10.exe
C:\dfndrff_e10.exe
C:\WINNT\system32\VrX.exe
C:\nwnmff_e10.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Documents and Settings\Cathe\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
O2 - BHO: (no name) - {78E1EBA8-0B3C-4C42-BA7D-608B9A6215E1} - C:\WINNT\system32\ssqnm.dll (file missing)
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Program Files\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [Trirot] Trirot.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Prolific_PLUtil] C:\Program Files\Prolific\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINNT\system32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINNT\system32\iexplore.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e10.exe
O4 - HKLM\..\Run: [RPC Service] VrX.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e10.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e10.exe
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\RunServices: [RPC Service] VrX.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: officejet 6100.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
O15 - Trusted Zone: http://www.amaena.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com
O20 - AppInit_DLLs: dxclib303562752.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINNT\lsass.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Remote Reader Machine - Unknown owner - C:\WINNT\system32\ssmc.exe
O23 - Service: Windows Remote Manager - Unknown owner - C:\WINNT\system32\lsiss.exe

voici le combofix

Cathe - jeu. 21/09/2006 21:48:09,53 Service Pack 4
ComboFix 06.09.21 - Running from: "C:\Documents and Settings\Cathe\Bureau"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\dfndrff_17.exe
C:\dfndrff_e1.exe
C:\dfndrff_e10.exe
C:\drsmartload.exe
C:\drsmartload45a45a45c.exe
C:\drsmartload45a45q.exe
C:\drsmartload45a45r.exe
C:\drsmartload45a45u.exe
C:\drsmartload46a46q.exe
C:\drsmartload46a46r.exe
C:\drsmartload46a46u.exe
C:\drsmartload849a849q.exe
C:\drsmartload849a849r.exe
C:\drsmartload849a849u.exe
C:\deskbar.exe
C:\deskbar3.exe
C:\kybrdff_18.exe
C:\kybrdff_e10.exe
C:\MTE3NDI6ODoxNg.exe
C:\MTE3NDI6ODoxNgnew.exe
C:\nwnmff_17.exe
C:\nwnmff_18.exe
C:\nwnmff_e10.exe
C:\nwnmff_e9.exe
C:\warebundlenewer.exe
C:\ac3_0010.exe
C:\Installer3.exe
C:\mte3ndi6odoxng.exe
C:\ucmoreiex.exe
C:\winde.exe
C:\WINNT\secure32.html
C:\Program Files\Deskbar


((((((((((((((((((((((((((((((( Files Created from 2006-08-21 to 2006-09-21 ))))))))))))))))))))))))))))))))))


2006-09-21 17:34 0 --a------ C:\WINNT\system32\eraseme_10526.exe
2006-09-21 16:48 578,560 --a------ C:\Installer4.exe
2006-09-21 16:45 0 --a------ C:\WINNT\system32\Msvm3.exe
2006-09-21 08:31 96,768 --a------ C:\WINNT\system32\dxclib303562752.dll
2006-09-21 08:30 365,568 --a------ C:\WINNT\system32\bkd.exe
2006-09-21 08:30 32,768 --a------ C:\DXC1205b.exe
2006-09-21 07:50 680,177 --a------ C:\deskbar_e10.exe
2006-09-20 19:29 28,672 --a------ C:\ddqwdo.exe
2006-09-13 14:55 229,376 --a------ C:\WINNT\system32\VrX.exe
2006-09-13 14:25 76,288 -r-hs---- C:\WINNT\system32\lsiss.exe
2006-09-13 14:25 20,480 --a------ C:\doc.exe
2006-09-11 19:55 4,908 --a------ C:\dwv.exe
2006-09-11 16:04 4,984 --a------ C:\den.exe
2006-09-11 16:01 76,800 -r-hs---- C:\WINNT\system32\ssmc.exe
2006-09-11 12:25 0 --a------ C:\WINNT\system32\eraseme_01434.exe
2006-09-09 20:43 47,104 --a------ C:\WINNT\system32\WinzAPI32.exe
2006-09-09 00:08 0 --a------ C:\WINNT\system32\eraseme_67622.exe
2006-09-04 12:23 7,168 --a------ C:\WINNT\system32\rdriv.sys
2006-09-04 12:22 1,012,736 -r-hs---- C:\WINNT\lsass.exe
2006-08-30 18:17 20,480 --a------ C:\aol.exe
2006-08-30 17:14 173,056 --a------ C:\WINNT\system32\00073_netapi.exe
2006-08-30 16:29 23,040 --a------ C:\WINNT\system32\irisco32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-21 21:41 -------- d-------- C:\Program Files\Microsoft AntiSpyware
2006-09-21 20:19 554139 --a------ C:\Documents and Settings\Cathe\Application Data\Dxcknwrd.dll
2006-09-21 17:42 -------- d-------- C:\Documents and Settings\Cathe\Application Data\OpenOffice.org1.9.100
2006-09-21 08:31 -------- d-a------ C:\Program Files\DeluxeCommunications
2006-09-20 20:07 -------- d-------- C:\Documents and Settings\Cathe\Application Data\Google
2006-09-20 19:59 -------- d-------- C:\Program Files\Google
2006-09-20 19:43 -------- d-a------ C:\Program Files\ewido anti-spyware 4.0
2006-09-13 15:58 0 --a------ C:\WINNT\system32\hqghumea.dll
2006-09-11 12:34 -------- d-------- C:\Documents and Settings\Cathe\Application Data\AdobeUM
2006-08-30 16:29 -------- d-------- C:\Program Files\ReadIris
2006-08-30 16:27 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-08-30 16:27 -------- d-------- C:\Program Files\Fichiers communs\InstallShield
2006-08-30 16:20 -------- d-a------ C:\Program Files\Fichiers communs
2006-08-30 16:20 -------- d-------- C:\Program Files\Fichiers communs\Hewlett-Packard
2006-08-30 16:17 -------- d-------- C:\Documents and Settings\Cathe\Application Data\Dossier de t‚l‚chargement Share-to-Web
2006-08-30 16:17 -------- d-------- C:\Documents and Settings\Cathe\Application Data\Dossier de t‚l‚chargement Share-to-Web
2006-08-30 16:12 -------- d-------- C:\Program Files\Hewlett-Packard
2006-08-30 16:11 -------- d-------- C:\Program Files\Fichiers communs\MSSoap
2006-08-30 16:06 82380 --a------ C:\WINNT\system32\drivers\AFS2K.SYS
2006-08-17 11:45 20480 --a------ C:\ddsmart.exe
2006-08-14 21:47 22460 --ah----- C:\WINNT\system32\jthtni.exe
2006-08-14 21:04 0 --a------ C:\WINNT\system32\wins32a.exe
2006-08-14 18:38 -------- d-------- C:\Program Files\Mozilla Firefox
2006-08-12 23:31 0 --a------ C:\WINNT\system32\scandisk32.exe
2006-08-11 22:45 -------- d-a------ C:\Program Files\Fichiers communs\Microsoft Shared
2006-08-11 22:45 -------- d-------- C:\Program Files\Outlook Express
2006-08-11 22:45 -------- d-------- C:\Program Files\Fichiers communs\Services
2006-08-08 18:53 635520 --a------ C:\WINNT\system32\aswBoot.exe
2006-08-05 17:25 85952 --a------ C:\WINNT\system32\drivers\aswmon.sys
2006-08-05 17:24 16352 --a------ C:\WINNT\system32\drivers\aswRdr.sys
2006-08-05 17:22 36176 --a------ C:\WINNT\system32\drivers\aswTdi.sys
2006-08-05 17:20 24304 --a------ C:\WINNT\system32\drivers\aavmker4.sys
2006-08-05 08:18 90112 --a------ C:\WINNT\system32\AVASTSS.scr
2006-07-25 20:57 -------- d-------- C:\Documents and Settings\Cathe\Application Data\WinPatrol
2006-07-25 20:56 -------- d-------- C:\Program Files\BillP Studios
2006-07-25 20:41 -------- d-------- C:\Program Files\CCleaner
2006-07-25 09:35 0 --a------ C:\WINNT\system32\eraseme_61046.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"DeluxeCommunications"="C:\\Program Files\\DeluxeCommunications\\Dxc.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"AcerPowerkey"="\"C:\\Program Files\\Acer\\Powerkey\\Powerkey.exe\""
"Trirot"="Trirot.exe"
"gcasServ"="\"C:\\Program Files\\Microsoft AntiSpyware\\gcasServ.exe\""
"Prolific_PLUtil"="C:\\Program Files\\Prolific\\USB Flash Disk Utility\\PLBkMon.exe"
"PLFFAP"="C:\\WINNT\\system32\\HotfixQ0306270.exe"
"WinPatrol"="C:\\Program Files\\BillP Studios\\WinPatrol\\winpatrol.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Microsoft Internet Explorer"="C:\\WINNT\\system32\\iexplore.exe"
"Share-to-Web Namespace Daemon"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
"RPC Service"="VrX.exe"
"DeluxeCommunications"="C:\\Program Files\\DeluxeCommunications\\Dxc.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"RPC Service"="VrX.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"shellbn"="C:\\WINNT\\system32\\shellbn.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"^SetupICWDesktop"=""

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Windows Kernel System Service"="wkssvr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{9EF34FF2-3396-4527-9D27-04C8C1C67806}"="Microsoft AntiSpyware Service Hook"
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINNT\tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1156948902.job

Completion time: Thu 2006-09-21 21:50:32.63
ComboFix.txt

commetn en etre sur???

Bonsoir

Encore plusieurs infections.

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

1 Télécharge
RdrivRem.zip
http://www.atribune.org/downloads/rdrivrem.zip
Dézippe-le sur ton Bureau

DelDomains.inf
http://www.mvps.org/winhelp2002/DelDomains.inf
Enregistre le sur le Bureau.

clean.zip
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier Clean.

2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

3 Ouvre le dossier Clean qui se trouve sur ton bureau
Double-clic sur clean.cmd.
Une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

4 Lance DelDomains.inf.
Utilisation : clic droit / Installer
L'installation est silencieuse.

5 Ouvre le dossier Rdrivrem.
Double-clique sur rdrivRem.bat pour lancer le programme - suis les instructions à l'écran. Une fois terminé, un fichier rdriv.txt sera créé dans le dossier rdrivRem.

6 Redémarre normalement

Poste les rapports :
C:\rapport_clean.txt
rdriv.txt
Nouveau HijackThis.
Nouveau Combofix

Salut,

j'ai fait les opérations que tu m'as dites mais:
- Je n'ai pas pu lancer Deldomaine.ex, un message d'erreur s'affichait: "impossible de trouver rundll32.exe"
- Quand j'ai voulu faire un JHThis un message est apparu comme quoi il était infecté
- Quand j'ai voulu me connecter sur IE, le même message d'infection est apparu. Du coup, je n'ai plus accès à IE (plus d'icône,...)

Heureusement que les clés USB existent.

Voici le rapport_clean

Script clean par Malekal_morte - http://www.malekal.com

Microsoft Windows 2000 [Version 5.00.2195]
Script execute en mode sans echec

*** Suppression de fichiers sur C:
C:\dfndr*.exe FOUND
C:\drsmartload*.exe FOUND
C:\Installer*.exe FOUND
C:\M*DoxNg.exe FOUND

*** Suppression des fichiers dans C:\WINNT\
C:\WINNT\country.exe FOUND
C:\WINNT\kl?.exe FOUND
C:\WINNT\lsass.exe FOUND
C:\WINNT\ms?.exe FOUND
C:\WINNT\toolbar.exe FOUND
C:\WINNT\tool?.exe FOUND

*** Suppression des fichiers dans C:\WINNT\system32
C:\WINNT\system32\?????_netapi.exe FOUND
C:\WINNT\system32\eraseme_?????.exe FOUND
C:\WINNT\system32\i FOUND
C:\WINNT\system32\lsiss.exe FOUND
C:\WINNT\system32\o FOUND
C:\WINNT\system32\rdriv.sys FOUND
C:\WINNT\system32\scandisk32.exe FOUND
C:\WINNT\system32\VrX?.exe FOUND
C:\WINNT\system32\wins32a.exe FOUND
C:\WINNT\system32\wkssvr.exe FOUND
C:\WINNT\system32\hqghumea.dll FOUND

"C:\Program Files\WinAntiVirus Pro 2006\" FOUND

*** Suppression des clefs du registre effectuee..

voici le rdriv

RDrivRem Log 19:59:49,94 ven. 22/09/2006


~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~

WinRep.exe present!


~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~

voici le HJThis

Logfile of HijackThis v1.99.1
Scan saved at 23:49:07, on 22/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\system32\ssmc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
O2 - BHO: (no name) - {78E1EBA8-0B3C-4C42-BA7D-608B9A6215E1} - C:\WINNT\system32\ssqnm.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Program Files\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [Trirot] Trirot.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Prolific_PLUtil] C:\Program Files\Prolific\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINNT\system32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\RunServices: [RPC Service] VrX.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O15 - Trusted Zone: http://www.amaena.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com
O20 - AppInit_DLLs: dxclib303562752.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Remote Reader Machine - Unknown owner - C:\WINNT\system32\ssmc.exe
O23 - Service: Windows Remote Manager - Unknown owner - C:\WINNT\system32\lsiss.exe (file missing)

Cathe - ven. 22/09/2006 21:10:10,20 Service Pack 4
ComboFix 06.09.21 - Running from: "C:\Documents and Settings\Cathe\Bureau"

((((((((((((((((((((((((((((((( Files Created from 2022-08-06 to 2022/09/2006 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))




(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"DeluxeCommunications"="C:\\Program Files\\DeluxeCommunications\\Dxc.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"AcerPowerkey"="\"C:\\Program Files\\Acer\\Powerkey\\Powerkey.exe\""
"Trirot"="Trirot.exe"
"gcasServ"="\"C:\\Program Files\\Microsoft AntiSpyware\\gcasServ.exe\""
"Prolific_PLUtil"="C:\\Program Files\\Prolific\\USB Flash Disk Utility\\PLBkMon.exe"
"PLFFAP"="C:\\WINNT\\system32\\HotfixQ0306270.exe"
"WinPatrol"="C:\\Program Files\\BillP Studios\\WinPatrol\\winpatrol.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Share-to-Web Namespace Daemon"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
"DeluxeCommunications"="C:\\Program Files\\DeluxeCommunications\\Dxc.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"RPC Service"="VrX.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"shellbn"="C:\\WINNT\\system32\\shellbn.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"^SetupICWDesktop"=""

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Windows Kernel System Service"="wkssvr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{9EF34FF2-3396-4527-9D27-04C8C1C67806}"="Microsoft AntiSpyware Service Hook"
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINNT\tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1156948902.job

Completion time: ven. 22/09/2006 21:11:57,82
ComboFix.txt
ComboFix2.txt

Dans ajout/suppression de programmes du panneau de configuration, désinstalle :
DeluxeCommunications

Sur HijackThis, coche ces lignes :

O15 - Trusted Zone: http://www.amaena.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com

--> clic sur fix checked

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".
Toujours sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

Pour effectuer les scans, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).

Scan en ligne avec Kaspersky :
- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas!.
- Si tu es perdu, tu peux suivre cette aide pour les scans en ligne
- Scan le poste de travail
- Copie/colle le rapport du scan ici

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

ET :


- Fais un scan avec panda en désactivant ton antivirus pendant le scan!
(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)
- Copie/colle le rapport panda ici

Voici Kapersky

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, September 28, 2006 7:39:51 PM
Système d'exploitation : Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 28/09/2006
Enregistrements dans la base antivirus Kaspersky : 213922
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\

Statistiques de l'analyse:
Total d'objets analysés: 23401
Nombre de virus trouvés: 17
Nombre d'objets infectés: 78 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:34:17

Nom de l'objet infecté / Nom du virus / Dernière action
C:\ac3_0010.exe Infecté : Trojan-Downloader.Win32.Small.cyh ignoré
C:\aol.exe Infecté : Trojan-Downloader.Win32.Adload.db ignoré
C:\audiograbber\audiograbber.exe Infecté : Virus.Win32.Virut.a ignoré
C:\bintheredunthat\9ryl2l.exe Infecté : Trojan-Downloader.Win32.Adload.s ignoré
C:\dddko.exe Infecté : Trojan-Downloader.Win32.Adload.fu ignoré
C:\ddsmart.exe Infecté : Trojan-Downloader.Win32.Adload.ek ignoré
C:\ddv.exe Infecté : Trojan-Downloader.Win32.Adload.fu ignoré
C:\den.exe Infecté : Trojan-Downloader.Win32.VB.ji ignoré
C:\doc.exe Infecté : Trojan-Downloader.Win32.Adload.fo ignoré
C:\Documents and Settings\Cathe\Application Data\Mozilla\Firefox\Profiles\vetrgy5c.default\cookiesnew.txt L'objet est verrouillé ignoré
C:\Documents and Settings\Cathe\Bureau\Cookies Manager.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Documents and Settings\Cathe\Bureau\vundofix_vundofix_6.1.4_anglais_25107.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Documents and Settings\Cathe\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Cathe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Cathe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Cathe\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Cathe\Local Settings\Historique\History.IE5\MSHist012006092820060929\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Cathe\Local Settings\Temp\~DF193F.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Cathe\Local Settings\Temporary Internet Files\Content.IE5\012RSTU7\loader[1].exe Infecté : Trojan-Downloader.Win32.Adload.fv ignoré
C:\Documents and Settings\Cathe\Local Settings\Temporary Internet Files\Content.IE5\012RSTU7\MTE3NDI6ODoxNg[1].exe Infecté : Trojan-Downloader.Win32.Small.buy ignoré
C:\Documents and Settings\Cathe\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Cathe\Local Settings\Temporary Internet Files\Content.IE5\U5S9MLWX\drsmartload45a[1].exe Infecté : Trojan-Downloader.Win32.Adload.fu ignoré
C:\Documents and Settings\Cathe\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Cathe\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\078FSZCJ\drsmartload195a[1].exe Infecté : Trojan-Downloader.Win32.Adload.fu ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\23STC7W3\loader[1].exe Infecté : Trojan-Downloader.Win32.Adload.fv ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\CTCNW9WR\dr[1].exe Infecté : Trojan-Downloader.Win32.Adload.fu ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\drsmartload.exe Infecté : Trojan-Downloader.Win32.Adload.fv ignoré
C:\drsmartload45a45a45k.exe Infecté : Trojan-Downloader.Win32.Adload.fu ignoré
C:\drsmartload45a45a45l.exe Infecté : Trojan-Downloader.Win32.Adload.fu ignoré
C:\dwdv.exe Infecté : Trojan-Downloader.Win32.Adload.cw ignoré
C:\dwv.exe Infecté : Trojan-Downloader.Win32.Adload.fu ignoré
C:\MTE3NDI6ODoxNg.exe Infecté : Trojan-Downloader.Win32.Small.buy ignoré
C:\MTE3NDI6ODoxNgnew.exe Infecté : Trojan-Downloader.Win32.Small.buy ignoré
C:\Program Files\Acer\Powerkey\Powerkey.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\CCleaner\ccleaner.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\DivX\DivX Player 2.1\DivX Player 2.1.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\ewido anti-spyware 4.0\ewido.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Fichiers communs\Microsoft Shared\MSInfo\msinfo32.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Google\Google Earth\googleearth.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\Hpqdirec.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Hewlett-Packard\Digital Imaging\DocProc\regipe.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\IrfanView\i_view32.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Java\j2re1.4.2_04\bin\javaw.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Java\j2re1.4.2_04\javaws\javaws.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Mozilla Firefox\xpicleanup.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\MSN Messenger\msnmsgr.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\NetMeeting\conf.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\OpenOffice.org 1.9.100\program\soffice.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Prolific\USB Flash Disk Utility\PLBkMon.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Prolific\USB Flash Disk Utility\PLUtil.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\ReadIris\readiris.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Winamp\winamp.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Windows Media Player\wmplayer.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Windows NT\Accessoires\ImageVue\kodakimg.exe Infecté : Virus.Win32.Virut.a ignoré
C:\Program Files\Windows NT\Accessoires\wordpad.exe Infecté : Virus.Win32.Virut.a ignoré
C:\VundoFix Backups\bxwvtpup.exe Infecté : Trojan.Win32.Small.ju ignoré
C:\VundoFix Backups\cdvwvitd.exe Infecté : Trojan.Win32.Small.ju ignoré
C:\windows\cdrun.exe/c.exe Infecté : Backdoor.Win32.Rbot.bja ignoré
C:\windows\cdrun.exe/d.exe Infecté : Trojan-Downloader.Win32.Adload.dg ignoré
C:\windows\cdrun.exe RAR: infecté - 2 ignoré
C:\windows\dxsr.exe Infecté : Trojan-Downloader.Win32.Adload.fu ignoré
C:\windows\fsys\c.exe Infecté : Backdoor.Win32.Rbot.bja ignoré
C:\windows\fsys\d.exe Infecté : Trojan-Downloader.Win32.Adload.dg ignoré
C:\WINNT\CSC\00000001 L'objet est verrouillé ignoré
C:\WINNT\Debug\ipsecpa.log L'objet est verrouillé ignoré
C:\WINNT\Debug\oakley.log L'objet est verrouillé ignoré
C:\WINNT\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINNT\hh.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\Installer\{82DFB852-9594-4668-9C66-28BB6E94BCB2}\_73A08744BE78_4C68_91E8_AE13955031AE.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\Installer\{A904C00C-30B0-4029-9048-7791E598208A}\sbase.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\Installer\{A904C00C-30B0-4029-9048-7791E598208A}\scalc.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\Installer\{A904C00C-30B0-4029-9048-7791E598208A}\sdraw.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\Installer\{A904C00C-30B0-4029-9048-7791E598208A}\simpress.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\Installer\{A904C00C-30B0-4029-9048-7791E598208A}\smath.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\Installer\{A904C00C-30B0-4029-9048-7791E598208A}\swriter.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINNT\security\logs\scepol.log L'objet est verrouillé ignoré
C:\WINNT\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINNT\system32\ActiveScan\pav.zip L'objet est verrouillé ignoré
C:\WINNT\system32\calc.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINNT\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINNT\system32\config\default L'objet est verrouillé ignoré
C:\WINNT\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\SAM L'objet est verrouillé ignoré
C:\WINNT\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINNT\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINNT\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\software L'objet est verrouillé ignoré
C:\WINNT\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINNT\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINNT\system32\config\system L'objet est verrouillé ignoré
C:\WINNT\system32\config\SYSTEM.ALT L'objet est verrouillé ignoré
C:\WINNT\system32\faxcover.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\system32\grpconv.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\system32\HotFixQ0306270.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\system32\i Infecté : Trojan-Downloader.BAT.Ftp.ab ignoré
C:\WINNT\system32\internat.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\system32\loadadv711.exe Infecté : Trojan-Downloader.Win32.Small.ckj ignoré
C:\WINNT\system32\mplay32.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\system32\msiexec.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\system32\MSPAINT.EXE Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\system32\NTBACKUP.EXE Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\system32\Perflib_Perfdata_1fc.dat L'objet est verrouillé ignoré
C:\WINNT\system32\perfmon.exe Infecté : Virus.Win32.Virut.a ignoré
C:\WINNT\system32\ssmc.exe Infecté : Backdoor.Win32.SdBot.qo ignoré
C:\WINNT\system32\trirot.exe Infecté : Virus.Win32.Virut.a ignoré

Analyse terminée.

Virus.Win32.Virut.a
-> Malheuresement je pense qu'il va falloir formater.
Ce virus atteind des fichiers lié au systeme, programme.

Atteind d'autres avis.

voici le rapport panda


Incident Status Location

Virus:W32/Virutas.B Disinfected Operating system
Adware:Adware/ActiveSearch Not disinfected C:\Program Files\Deskbar\deskbar.dll
Adware:Adware/CommAd Not disinfected C:\WINNT\Q2F0aGU\asappsrv.dll
Adware:Adware/SearchAid Not disinfected C:\Program Files\Network Monitor\netmon.exe
Adware:Adware/CommAd Not disinfected C:\WINNT\Q2F0aGU\command.exe
Adware:adware/cws.loadadv Not disinfected C:\WINNT\system32\loadadv711.exe
Adware:adware/commad Not disinfected c:\winnt\system32\atmtd.dll
Adware:adware/cashdeluxe Not disinfected c:\winnt\system32\loadadv711.exe
Adware:adware/dollarrevenue Not disinfected c:\drsmartload.exe
Adware:adware/ucmore Not disinfected c:\ucmoreiex.exe
Adware:adware/cws.searchmeup Not disinfected c:\winnt\uniq
Potentially unwanted tool:application/winantivirus2006 Not disinfected c:\program files\fichiers communs\WinAntiVirus Pro 2006
Adware:adware/xplugin Not disinfected Windows Registry
Adware:Adware/DollarRevenue Not disinfected C:\ac3_0010.exe
Virus:W32/Virutas.B Disinfected C:\audiograbber\audiograbber.exe
Adware:Adware/DollarRevenue Not disinfected C:\bintheredunthat\9ryl2l.exe
Adware:Adware/DollarRevenue Not disinfected C:\ddsmart.exe
Adware:Adware/ActiveSearch Not disinfected C:\deskbar.exe
Adware:Adware/ActiveSearch Not disinfected C:\deskbar_e10.exe[deskbar.exe]
Adware:Adware/ActiveSearch Not disinfected C:\deskbar_e10.exe[deskbar.exe][deskbar.dll]
Adware:Adware/ActiveSearch Not disinfected C:\deskbar_e13.exe
Adware:Adware/ActiveSearch Not disinfected C:\deskbar_e15.exe
Potentially unwanted tool:Application/Pskill.K Not disinfected C:\Documents and Settings\Cathe\Bureau\clean\pskill.exe
Virus:W32/Virutas.B Disinfected C:\Documents and Settings\Cathe\Bureau\Cookies Manager.exe
Virus:W32/Virutas.B Disinfected C:\Documents and Settings\Cathe\Bureau\vundofix_vundofix_6.1.4_anglais_25107.exe
Spyware:Cookie/Advertising Not disinfected C:\Documents and Settings\Cathe\Cookies\cathe@advertising[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Cathe\Cookies\cathe@atdmt[1].txt
Spyware:Cookie/Bluestreak Not disinfected C:\Documents and Settings\Cathe\Cookies\cathe@bluestreak[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Cathe\Cookies\cathe@doubleclick[2].txt
Spyware:Cookie/Maxserving Not disinfected C:\Documents and Settings\Cathe\Cookies\cathe@maxserving[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Documents and Settings\Cathe\Cookies\cathe@mediaplex[1].txt
Spyware:Cookie/Searchportal Not disinfected C:\Documents and Settings\Cathe\Cookies\cathe@searchportal.information[1].txt
Spyware:Cookie/Serving-sys Not disinfected C:\Documents and Settings\Cathe\Cookies\cathe@serving-sys[2].txt
Spyware:Cookie/Reliablestats Not disinfected C:\Documents and Settings\Cathe\Cookies\cathe@stats1.reliablestats[1].txt
Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\Cathe\Cookies\cathe@weborama[2].txt
Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Cathe\Cookies\cathe@xiti[1].txt
Adware:Adware/CommAd Not disinfected C:\Documents and Settings\Cathe\Local Settings\Temp\cmdinst.exe
Adware:Adware/ISearch Not disinfected C:\Documents and Settings\Cathe\Local Settings\Temporary Internet Files\Content.IE5\012RSTU7\MTE3NDI6ODoxNg[1].exe
Adware:Adware/CommAd Not disinfected C:\Documents and Settings\Cathe\Local Settings\Temporary Internet Files\Content.IE5\5VMYMMLB\installer[1].exe
Adware:Adware/DollarRevenue Not disinfected C:\Documents and Settings\Cathe\Local Settings\Temporary Internet Files\Content.IE5\U5S9MLWX\drsmartload45a[1].exe
Adware:Adware/DollarRevenue Not disinfected C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\23STC7W3\loader[1].exe
Adware:Adware/DollarRevenue Not disinfected C:\drsmartload45a45a45k.exe
Adware:Adware/DollarRevenue Not disinfected C:\drsmartload45a45a45l.exe
Virus:Trj/Prutec.AB Disinfected C:\dwdv.exe
Adware:Adware/Look2Me Not disinfected C:\Installer4.exe
Adware:Adware/ISearch Not disinfected C:\MTE3NDI6ODoxNg.exe
Adware:Adware/ISearch Not disinfected C:\MTE3NDI6ODoxNgnew.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\CCleaner\ccleaner.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\DivX\DivX Player 2.1\DivX Player 2.1.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\ewido anti-spyware 4.0\ewido.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\MSInfo\msinfo32.exe
Potentially unwanted tool:Application/Winantivirus2006 Not disinfected C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\WapCHK.dll
Virus:W32/Virutas.B Disinfected C:\Program Files\Google\Google Earth\googleearth.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Hewlett-Packard\Digital Imaging\bin\Hpqdirec.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Hewlett-Packard\Digital Imaging\DocProc\regipe.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\IrfanView\i_view32.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Java\j2re1.4.2_04\bin\javaw.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Java\j2re1.4.2_04\javaws\javaws.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Mozilla Firefox\xpicleanup.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\MSN Messenger\msnmsgr.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\NetMeeting\conf.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\OpenOffice.org 1.9.100\program\soffice.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Prolific\USB Flash Disk Utility\PLBkMon.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Prolific\USB Flash Disk Utility\PLUtil.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\ReadIris\readiris.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Winamp\winamp.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Windows Media Player\wmplayer.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Windows NT\Accessoires\ImageVue\kodakimg.exe
Virus:W32/Virutas.B Disinfected C:\Program Files\Windows NT\Accessoires\wordpad.exe
Adware:Adware/SecurityError Not disinfected C:\VundoFix Backups\bxwvtpup.exe
Possible Virus. Not disinfected C:\VundoFix Backups\cbxwutr.dll
Adware:Adware/SystemDoctor Not disinfected C:\VundoFix Backups\cdvwvitd.exe
Possible Virus. Not disinfected C:\VundoFix Backups\nnnlllj.dll
Adware:Adware/Look2Me Not disinfected C:\warebundlenewer.exe
Virus:W32/Oscarbot.LC.worm Not disinfected C:\windows\cdrun.exe[c.exe]
Virus:W32/Oscarbot.LC.worm Disinfected C:\windows\fsys\c.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\hh.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\Installer\{82DFB852-9594-4668-9C66-28BB6E94BCB2}\_73A08744BE78_4C68_91E8_AE13955031AE.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\Installer\{A904C00C-30B0-4029-9048-7791E598208A}\sbase.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\Installer\{A904C00C-30B0-4029-9048-7791E598208A}\scalc.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\Installer\{A904C00C-30B0-4029-9048-7791E598208A}\sdraw.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\Installer\{A904C00C-30B0-4029-9048-7791E598208A}\simpress.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\Installer\{A904C00C-30B0-4029-9048-7791E598208A}\smath.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\Installer\{A904C00C-30B0-4029-9048-7791E598208A}\swriter.exe
Adware:Adware/CommAd Not disinfected C:\WINNT\Q2F0aGU\kZIXu3o.vbs
Virus:W32/Virutas.B Disinfected C:\WINNT\system32\calc.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\system32\faxcover.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\system32\grpconv.exe
Virus:W32/Sdbot.ftp.worm Disinfected C:\WINNT\system32\i
Spyware:Spyware/Virtumonde Not disinfected C:\WINNT\system32\i9.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\system32\internat.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\system32\mplay32.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\system32\msiexec.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\system32\MSPAINT.EXE
Virus:W32/Virutas.B Disinfected C:\WINNT\system32\NTBACKUP.EXE
Virus:W32/Virutas.B Disinfected C:\WINNT\system32\perfmon.exe
Virus:W32/SdBot.IFY.worm Disinfected C:\WINNT\system32\ssmc.exe
Virus:W32/Virutas.B Disinfected C:\WINNT\system32\trirot.exe
Adware:Adware/SearchAid Not disinfected C:\WINNT\uninstall_nmon.vbs
Virus:Trj/Mitglieder.GO Disinfected Local Folders\Deleted Items\Nathaniel\Josias.zip[S3700026.exe]

Regarde mon message en haut.

Oui j'ai vu, merci ... si quelqu'un peut donner un avis pour confirmer le diagnostic.

merci

sopiette

Bonjour

Beaucoup d'infections différentes.
On fait un peu de nettoyage avec Alcanshorty.bfu et on essaye la réparation des fichiers avec Escan.

Étape 1: Télécharge Brute Force Uninstaller (de Merijn).
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)


Étape 2:
FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger Alcanshorty.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : Alcanshorty.bfu et BFU.exe (très important).


Étape 3:
Télécharge eScan Antivirus Toolkit
http://www.spywareinfo.dk/download/mwav.exe
Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 4.


Étape 4:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

Ne pas lancer le scan tout de suite !


Étape 5:
Redémarre en mode Sans Échec
Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.


Étape 6:
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

alcanshorty.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.


Étape 7:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option
Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

 

Tu penses qu'on peut faire quelque chose ?

  Angeldark


Escan est un outil qui répare les fichiers infectés au lieu de les supprimer.
Cela permet d'éviter le formatage, dans la plupart des cas.

Je pensais avoir proposer la soluce.

De toute facon je suis maudit avec Escan, a chaque moi message :
****.exe est infecte...
-> Impossible de faire la desinfection

Voici le rapport


File C:\PROGRA~1\Deskbar\deskbar.dll tagged as not-a-virus:AdWare.Win32.Softomate.r. No Action Taken.
File C:\WINNT\system32\i9.exe tagged as not-a-virus:AdWare.Win32.Virtumonde.bj. No Action Taken.
File C:\WINNT\system32\loadadv711.exe infected by "Trojan-Downloader.Win32.Small.ckj" Virus. Action Taken: File Deleted.
File C:\WINNT\system32\qrcmshxg.exe tagged as not-a-virus:AdWare.Win32.HotBar.bq. No Action Taken.
File C:\bintheredunthat\9ryl2l.exe infected by "Trojan-Downloader.Win32.Adload.s" Virus. Action Taken: File Deleted.
File C:\bintheredunthat\deskbar.exe tagged as not-a-virus:AdWare.Win32.Softomate.r. No Action Taken.
File C:\deskbar_e10.exe tagged as not-a-virus:AdWare.Win32.Softomate.r. No Action Taken.
File C:\deskbar_e13.exe tagged as not-a-virus:AdWare.Win32.Softomate.r. No Action Taken.
File C:\deskbar_e15.exe tagged as not-a-virus:AdWare.Win32.Softomate.r. No Action Taken.
File C:\deskbar_e18.exe tagged as not-a-virus:AdWare.Win32.Softomate.r. No Action Taken.
File C:\Documents and Settings\Cathe\Bureau\Antivirus\clean\pskill.exe tagged as not-a-virus:RiskTool.Win32.PsKill.k. No Action Taken.
File C:\Program Files\Deskbar\deskbar.dll tagged as not-a-virus:AdWare.Win32.Softomate.r. No Action Taken.
File C:\VundoFix Backups\bxwvtpup.exe infected by "Trojan.Win32.Small.ju" Virus. Action Taken: File Deleted.
File C:\VundoFix Backups\cdvwvitd.exe infected by "Trojan.Win32.Small.ju" Virus. Action Taken: File Deleted.
File C:\VundoFix Backups\ssqnm.dll tagged as not-a-virus:AdWare.Win32.Virtumonde.da. No Action Taken.
File C:\WINNT\system32\i9.exe tagged as not-a-virus:AdWare.Win32.Virtumonde.bj. No Action Taken.
File C:\WINNT\system32\qrcmshxg.exe tagged as not-a-virus:AdWare.Win32.HotBar.bq. No Action Taken.

Bonjour

Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.z...

Redémarre en mode sans échec.

Fais un clic droit sur SDFix.zip et choisis "Extraire tout"
Double-clique sur RunThis.bat
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer
Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche
Ouvre le dossier SDFix et copie/colle ici le contenu du fichier "Report.txt"

Poste aussi un nouveau rapport Combofix.

Bonjour,

voici les 2 rapports


SDFix: Version 1.28
-------------------

Scan run on:
ven. 06/10/2006

Time:
23:47


Microsoft Windows 2000 [Version 5.00.2195]

Running from: C:\Documents and Settings\Cathe\Bureau\Antivirus\SDFix

Stage One...

Checking Services...

Name:
-----


Path:
----





Repairing Registry...

Restoring Default Hosts File...

Stage One Complete

Rebooting!

Stage Two...

Registry Cleaning Finished...

Checking For Malware Files:
--------------------------

C:\WINNT\system32\lviss.exe

Backing Up and Removing any Files Found...

Final Check:

Remaining Services:
------------------

Remaining Files:
--------------



*Any removed Files are saved in the SDFix\backups Folder*

*FINISHED*
Cathe - sam. 07/10/2006 0:06:44,58 Service Pack 4
ComboFix 06.09.21 - Running from: "C:\Documents and Settings\Cathe\Bureau\Antivirus"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINNT\system32\atmtd.dll
C:\WINNT\system32\atmtd.dll._
C:\Documents and Settings\Default User\Application Data\NetMon
C:\Program Files\Deskbar


((((((((((((((((((((((((((((((( Files Created from 2006-09-07 to 2006-10-07 ))))))))))))))))))))))))))))))))))


2006-09-30 18:24 223,232 --a------ C:\WINNT\system32\VrX.exe
2006-09-30 16:28 676,081 --a------ C:\deskbar_e18.exe
2006-09-27 20:09 676,081 --a------ C:\deskbar_e15.exe
2006-09-27 20:06 676,081 --a------ C:\deskbar_e13.exe
2006-09-27 20:05 6,976 --a------ C:\ddv.exe
2006-09-22 20:20 90,112 --a------ C:\WINNT\system32\AVASTSS.scr
2006-09-21 16:45 0 --a------ C:\WINNT\system32\Msvm3.exe
2006-09-21 07:50 680,177 --a------ C:\deskbar_e10.exe
2006-09-11 19:55 4,908 --a------ C:\dwv.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-07 00:05 -------- d-------- C:\Program Files\Microsoft AntiSpyware
2006-09-30 18:47 -------- d-------- C:\Program Files\Internet Explorer
2006-09-30 18:46 -------- d-a------ C:\Program Files\Fichiers communs\Microsoft Shared
2006-09-30 18:46 -------- d-a------ C:\Program Files\Fichiers communs
2006-09-30 18:46 -------- d-------- C:\Program Files\Outlook Express
2006-09-30 18:46 -------- d-------- C:\Program Files\Fichiers communs\System
2006-09-30 18:46 -------- d-------- C:\Program Files\Fichiers communs\Services
2006-09-28 21:10 -------- d-a------ C:\Program Files\ewido anti-spyware 4.0
2006-09-28 20:53 -------- d-------- C:\Program Files\Google
2006-09-28 20:17 36864 --a------ C:\WINNT\system32\trirot.exe
2006-09-28 19:54 -------- d-------- C:\Program Files\NetMeeting
2006-09-28 19:38 45056 --a------ C:\WINNT\system32\HotFixQ0306270.exe
2006-09-27 21:12 53 --a------ C:\Documents and Settings\Cathe\Application Data\Dxcuknwrd.dll
2006-09-27 21:12 44 --a------ C:\Documents and Settings\Cathe\Application Data\Dxccwrd.dll
2006-09-27 20:45 554265 --a------ C:\Documents and Settings\Cathe\Application Data\Dxcknwrd.dll
2006-09-21 17:42 -------- d-------- C:\Documents and Settings\Cathe\Application Data\OpenOffice.org1.9.100
2006-09-20 20:07 -------- d-------- C:\Documents and Settings\Cathe\Application Data\Google
2006-09-11 12:34 -------- d-------- C:\Documents and Settings\Cathe\Application Data\AdobeUM
2006-08-30 16:29 -------- d-------- C:\Program Files\ReadIris
2006-08-30 16:27 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-08-30 16:27 -------- d-------- C:\Program Files\Fichiers communs\InstallShield
2006-08-30 16:20 -------- d-------- C:\Program Files\Fichiers communs\Hewlett-Packard
2006-08-30 16:17 -------- d-------- C:\Documents and Settings\Cathe\Application Data\Dossier de t‚l‚chargement Share-to-Web
2006-08-30 16:17 -------- d-------- C:\Documents and Settings\Cathe\Application Data\Dossier de t‚l‚chargement Share-to-Web
2006-08-30 16:12 -------- d-------- C:\Program Files\Hewlett-Packard
2006-08-30 16:11 -------- d-------- C:\Program Files\Fichiers communs\MSSoap
2006-08-30 16:06 82380 --a------ C:\WINNT\system32\drivers\AFS2K.SYS
2006-08-14 18:38 -------- d-------- C:\Program Files\Mozilla Firefox
2006-08-08 18:53 635520 --a------ C:\WINNT\system32\aswBoot.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"AcerPowerkey"="\"C:\\Program Files\\Acer\\Powerkey\\Powerkey.exe\""
"Trirot"="Trirot.exe"
"gcasServ"="\"C:\\Program Files\\Microsoft AntiSpyware\\gcasServ.exe\""
"Prolific_PLUtil"="C:\\Program Files\\Prolific\\USB Flash Disk Utility\\PLBkMon.exe"
"PLFFAP"="C:\\WINNT\\system32\\HotfixQ0306270.exe"
"WinPatrol"="C:\\Program Files\\BillP Studios\\WinPatrol\\winpatrol.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Share-to-Web Namespace Daemon"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"shellbn"="C:\\WINNT\\system32\\shellbn.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"^SetupICWDesktop"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{9EF34FF2-3396-4527-9D27-04C8C1C67806}"="Microsoft AntiSpyware Service Hook"
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINNT\tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1156948902.job

Completion time: Sat 2006-10-07 0:09:32.65
ComboFix.txt
ComboFix2.txt
ComboFix3.txt

Bonsoir

On continue.

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.


2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

3 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

4 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\Documents and Settings\Cathe\Application Data\Dxcuknwrd.dll
C:\Documents and Settings\Cathe\Application Data\Dxccwrd.dll
C:\Documents and Settings\Cathe\Application Data\Dxcknwrd.dll
C:\WINNT\system32\shellbn.exe
C:\WINNT\system32\Msvm3.exe
C:\WINNT\system32\i9.exe
C:\WINNT\system32\qrcmshxg.exe
C:\deskbar_e18.exe
C:\deskbar_e15.exe
C:\deskbar_e13.exe
C:\deskbar_e10.exe
C:\dwv.exe
C:\ddv.exe
C:\bintheredunthat

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

5 Lance le nettoyage avec CCleaner.

6 Redémarre normalement et poste un nouveau log HijackThis.

SAlut,

voici le dernier HJT ... par contre je l'ai fait tjs en mode sans échec. C'est ok comme ca ou je t'en remets un en démarrage normal?

Logfile of HijackThis v1.99.1
Scan saved at 1:58:26, on 8/10/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\Cathe\Bureau\Antivirus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Program Files\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [Trirot] Trirot.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Prolific_PLUtil] C:\Program Files\Prolific\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINNT\system32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Windows Remote Manager - Unknown owner - C:\WINNT\system32\lsiss.exe (file missing)

Bonjour

Encore une manip.
Si le fichier résiste, fais l'opération en mode sans échac.
Et poste le nouveau HijackThis en mode normal.

1 Relance un scan HijackThis et coche les lignes ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
O23 - Service: Windows Remote Manager - Unknown owner - C:\WINNT\system32\lsiss.exe (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

2 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

3 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.

Dans la liste des services, cherche et sélectionne
"Windows Remote Manager" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINNT\system32\lsiss.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.

4 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINNT\system32\lsiss.exe

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

5 Lance le nettoyage avec CCleaner.

Poste un nouveau log HijackThis.

Voici le dernier HJT


Logfile of HijackThis v1.99.1
Scan saved at 16:47:52, on 8/10/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Acer\Powerkey\Powerkey.exe
C:\WINNT\system32\Trirot.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Prolific\USB Flash Disk Utility\PLBkMon.exe
C:\WINNT\system32\HotfixQ0306270.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Documents and Settings\Cathe\Bureau\Antivirus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Program Files\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [Trirot] Trirot.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Prolific_PLUtil] C:\Program Files\Prolific\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINNT\system32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

Bien, HijackThis est propre.

Poste un nouveau Combofix.

Voilà

Cathe - lun. 09/10/2006 11:25:54,24 Service Pack 4
ComboFix 06.09.21 - Running from: "C:\Documents and Settings\Cathe\Bureau\Antivirus"

((((((((((((((((((((((((((((((( Files Created from 2006-09-09 to 2006-10-09 ))))))))))))))))))))))))))))))))))


2006-09-22 20:20 90,112 --a------ C:\WINNT\system32\AVASTSS.scr


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-09 11:18 -------- d-------- C:\Program Files\Microsoft AntiSpyware
2006-10-08 16:52 -------- d-------- C:\Documents and Settings\Cathe\Application Data\OpenOffice.org1.9.100
2006-09-30 18:47 -------- d-------- C:\Program Files\Internet Explorer
2006-09-30 18:46 -------- d-a------ C:\Program Files\Fichiers communs\Microsoft Shared
2006-09-30 18:46 -------- d-a------ C:\Program Files\Fichiers communs
2006-09-30 18:46 -------- d-------- C:\Program Files\Outlook Express
2006-09-30 18:46 -------- d-------- C:\Program Files\Fichiers communs\System
2006-09-30 18:46 -------- d-------- C:\Program Files\Fichiers communs\Services
2006-09-28 21:10 -------- d-a------ C:\Program Files\ewido anti-spyware 4.0
2006-09-28 20:53 -------- d-------- C:\Program Files\Google
2006-09-28 20:17 36864 --a------ C:\WINNT\system32\trirot.exe
2006-09-28 19:54 -------- d-------- C:\Program Files\NetMeeting
2006-09-28 19:38 45056 --a------ C:\WINNT\system32\HotFixQ0306270.exe
2006-09-20 20:07 -------- d-------- C:\Documents and Settings\Cathe\Application Data\Google
2006-09-11 12:34 -------- d-------- C:\Documents and Settings\Cathe\Application Data\AdobeUM
2006-08-30 16:29 -------- d-------- C:\Program Files\ReadIris
2006-08-30 16:27 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-08-30 16:27 -------- d-------- C:\Program Files\Fichiers communs\InstallShield
2006-08-30 16:20 -------- d-------- C:\Program Files\Fichiers communs\Hewlett-Packard
2006-08-30 16:17 -------- d-------- C:\Documents and Settings\Cathe\Application Data\Dossier de t‚l‚chargement Share-to-Web
2006-08-30 16:17 -------- d-------- C:\Documents and Settings\Cathe\Application Data\Dossier de t‚l‚chargement Share-to-Web
2006-08-30 16:12 -------- d-------- C:\Program Files\Hewlett-Packard
2006-08-30 16:11 -------- d-------- C:\Program Files\Fichiers communs\MSSoap
2006-08-30 16:06 82380 --a------ C:\WINNT\system32\drivers\AFS2K.SYS
2006-08-14 18:38 -------- d-------- C:\Program Files\Mozilla Firefox
2006-08-08 18:53 635520 --a------ C:\WINNT\system32\aswBoot.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"AcerPowerkey"="\"C:\\Program Files\\Acer\\Powerkey\\Powerkey.exe\""
"Trirot"="Trirot.exe"
"gcasServ"="\"C:\\Program Files\\Microsoft AntiSpyware\\gcasServ.exe\""
"Prolific_PLUtil"="C:\\Program Files\\Prolific\\USB Flash Disk Utility\\PLBkMon.exe"
"PLFFAP"="C:\\WINNT\\system32\\HotfixQ0306270.exe"
"WinPatrol"="C:\\Program Files\\BillP Studios\\WinPatrol\\winpatrol.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Share-to-Web Namespace Daemon"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"shellbn"="C:\\WINNT\\system32\\shellbn.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"^SetupICWDesktop"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{9EF34FF2-3396-4527-9D27-04C8C1C67806}"="Microsoft AntiSpyware Service Hook"
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINNT\tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1156948902.job

Completion time: Mon 2006-10-09 11:27:07.51
ComboFix.txt
ComboFix2.txt
ComboFix3.txt

Bonjour

On fait encore une vérification avec Kaspersky
http://webscanner.kaspersky.fr/

Colle son rapport ici.

Salut,

big problème avec IE. Chaque fois que je clique sur l'îcone, on me dit "accès au périphérique non reconnu" ou quelque chose de ce genre là.
Comment désinstaller IE totalement pour le réinstaller ensuite?

Je pense que je ne peux pas faire un scan kapersky avec firefox?

Merci

Bonjour

Pour réparer IE, essaye avec cet outil.
http://www.technicland.com/powerie6.php3

Si cela ne marche toujours pas, fais le scan avec Firefox sur TrendMicro
http://fr.trendmicro-europe.com/consumer/products/house...

Salut,

j'ai enfin réussi, après quelques prises de tête à faire remarcher IE.

Voici le rapport de kapersky. Il a encore trouver 6 virus infectant 11 objets. Le pc a recommencé ses arrêts intempestifs

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Monday, October 16, 2006 8:14:59 PM
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 16/10/2006
Kaspersky Anti-Virus database records: 218696
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 22075
Number of viruses found: 6
Number of infected objects: 11 / 0
Number of suspicious objects: 0
Duration of the scan process: 01:13:43

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\Cathe\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Cathe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Cathe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Cathe\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Cathe\Local Settings\Historique\History.IE5\MSHist012006101620061017\index.dat Object is locked skipped
C:\Documents and Settings\Cathe\Local Settings\Temp\~DF2C1B.tmp Object is locked skipped
C:\Documents and Settings\Cathe\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Cathe\Local Settings\Temporary Internet Files\Content.IE5\KVPO925T\dr[1].gif Infected: Trojan-Downloader.Win32.Adload.gd skipped
C:\Documents and Settings\Cathe\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Cathe\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Cathe\UserData\index.dat Object is locked skipped
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\23STC7W3\a20[1].exe Infected: Backdoor.Win32.SdBot.ayg skipped
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\CTCNW9WR\dr[1].exe Infected: Trojan-Downloader.Win32.Adload.fu skipped
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt Object is locked skipped
C:\Program Files\Windows Media Player\wmplayer.exe Infected: Virus.Win32.Virut.a skipped
C:\WINNT\CSC\00000001 Object is locked skipped
C:\WINNT\Debug\ipsecpa.log Object is locked skipped
C:\WINNT\Debug\oakley.log Object is locked skipped
C:\WINNT\Debug\PASSWD.LOG Object is locked skipped
C:\WINNT\hh.exe Infected: Virus.Win32.Virut.a skipped
C:\WINNT\security\logs\scepol.log Object is locked skipped
C:\WINNT\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINNT\system32\accwiz.exe Infected: Virus.Win32.Virut.a skipped
C:\WINNT\system32\config\Antivirus.Evt Object is locked skipped
C:\WINNT\system32\config\AppEvent.Evt Object is locked skipped
C:\WINNT\system32\config\default Object is locked skipped
C:\WINNT\system32\config\default.LOG Object is locked skipped
C:\WINNT\system32\config\SAM Object is locked skipped
C:\WINNT\system32\config\SAM.LOG Object is locked skipped
C:\WINNT\system32\config\SecEvent.Evt Object is locked skipped
C:\WINNT\system32\config\SECURITY Object is locked skipped
C:\WINNT\system32\config\SECURITY.LOG Object is locked skipped
C:\WINNT\system32\config\software Object is locked skipped
C:\WINNT\system32\config\software.LOG Object is locked skipped
C:\WINNT\system32\config\SysEvent.Evt Object is locked skipped
C:\WINNT\system32\config\system Object is locked skipped
C:\WINNT\system32\config\SYSTEM.ALT Object is locked skipped
C:\WINNT\system32\fhm.exe Infected: Backdoor.Win32.Wootbot.dh skipped
C:\WINNT\system32\mssmp.exe Infected: Virus.Win32.Virut.a skipped
C:\WINNT\system32\Perflib_Perfdata_228.dat Object is locked skipped
C:\WINNT\system32\spoolsvc.exe Infected: Backdoor.Win32.PoeBot.i skipped
C:\WINNT\system32\Écran de veille des chaînes.scr Infected: Virus.Win32.Virut.a skipped
C:\WINNT\Temp\VRT2F.tmp Infected: Trojan-Downloader.Win32.Adload.gd skipped
C:\WINNT\Temp\_avast4_\Webshlock.txt Object is locked skipped
C:\WINNT\WindowsUpdate.log Object is locked skipped

Scan process completed.

Au secours, j'ai encore des alertes de trojans.... qui peut m'aider???

chercheurpca a sûrement pris quelques jours de vacances

C:\WINNT\system32\accwiz.exe Infected: Virus.Win32.Virut.a skipped
-> Pas bon...

Étape 1 :

Télécharge eScan Antivirus Toolkit. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2 :

Voici comment mettre l'outil à jour :

1. Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2. Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3. Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

Ne pas lancer le scan tout de suite !

Étape 3 :

Redémarre en mode Sans Echec

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

1. Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2. Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3. Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4. Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5. Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6. Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7. Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Voici la réponse

File C:\WINNT\hh.exe infected by "Virus.Win32.Virut.a" Virus. Action Taken: File Disinfected.
File C:\WINNT\system32\accwiz.exe infected by "Virus.Win32.Virut.a" Virus. Action Taken: File Disinfected.
File C:\WINNT\system32\ivkuldey.exe infected by "Backdoor.Win32.IRCBot.ul" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\ktxiu.exe infected by "Backdoor.Win32.VanBot.g" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\mssmp.exe infected by "Virus.Win32.Virut.a" Virus. Action Taken: File Disinfected.
File C:\WINNT\system32\mssmp.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\o infected by "Trojan-Downloader.BAT.Ftp.ab" Virus. Action Taken: File Deleted.
File C:\WINNT\system32\spoolsvc.exe infected by "Backdoor.Win32.PoeBot.i" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\Écran de veille des chaînes.scr infected by "Virus.Win32.Virut.a" Virus. Action Taken: File Disinfected.
File C:\Documents and Settings\Cathe\Bureau\Antivirus\clean\pskill.exe tagged as not-a-virus:RiskTool.Win32.PsKill.k. No Action Taken.
File C:\Documents and Settings\Cathe\Local Settings\Temporary Internet Files\Content.IE5\SDCTGZG1\Setup[1].exe tagged as not-a-virus:AdWare.Win32.180Solutions.as. No Action Taken.
File C:\Program Files\ZangoToolbar\Bin\4.8.2.0\ZbAds.dll tagged as not-a-virus:AdWare.Win32.HotBar.be. No Action Taken.
File C:\VundoFix Backups\ssqnm.dll tagged as not-a-virus:AdWare.Win32.Virtumonde.da. No Action Taken.

Désinstalle Zango Toolbar, supprime :
C:\Program Files\ZangoToolbar\

D'autres problèmes ?

Encore des virus

Voici un nouveau Kapersky

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Thursday, October 26, 2006 7:29:48 PM
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 26/10/2006
Kaspersky Anti-Virus database records: 221737
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 21906
Number of viruses found: 10
Number of infected objects: 12 / 0
Number of suspicious objects: 0
Duration of the scan process: 01:01:12

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\Cathe\Application Data\Mozilla\Firefox\Profiles\vetrgy5c.default\cookiesnew.txt Object is locked skipped
C:\Documents and Settings\Cathe\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Cathe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Cathe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Cathe\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Cathe\Local Settings\Historique\History.IE5\MSHist012006102620061027\index.dat Object is locked skipped
C:\Documents and Settings\Cathe\Local Settings\Temp\~DF2FFF.tmp Object is locked skipped
C:\Documents and Settings\Cathe\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Cathe\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Cathe\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Cathe\UserData\index.dat Object is locked skipped
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\078FSZCJ\1[1].exe Infected: Backdoor.Win32.SdBot.aya skipped
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\23STC7W3\a20[1].exe Infected: Backdoor.Win32.SdBot.ayg skipped
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\CTCNW9WR\dr[1].exe Infected: Trojan-Downloader.Win32.Adload.fu skipped
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\K349IVCT\IRQconf[1].exe Infected: Backdoor.Win32.Rbot.bmo skipped
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt Object is locked skipped
C:\WINNT\CSC\00000001 Object is locked skipped
C:\WINNT\Debug\ipsecpa.log Object is locked skipped
C:\WINNT\Debug\oakley.log Object is locked skipped
C:\WINNT\Debug\PASSWD.LOG Object is locked skipped
C:\WINNT\lsass.exe Infected: Backdoor.Win32.SdBot.aya skipped
C:\WINNT\security\logs\scepol.log Object is locked skipped
C:\WINNT\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINNT\system32\a.exe Infected: Backdoor.Win32.SdBot.aya skipped
C:\WINNT\system32\config\Antivirus.Evt Object is locked skipped
C:\WINNT\system32\config\AppEvent.Evt Object is locked skipped
C:\WINNT\system32\config\default Object is locked skipped
C:\WINNT\system32\config\default.LOG Object is locked skipped
C:\WINNT\system32\config\SAM Object is locked skipped
C:\WINNT\system32\config\SAM.LOG Object is locked skipped
C:\WINNT\system32\config\SecEvent.Evt Object is locked skipped
C:\WINNT\system32\config\SECURITY Object is locked skipped
C:\WINNT\system32\config\SECURITY.LOG Object is locked skipped
C:\WINNT\system32\config\software Object is locked skipped
C:\WINNT\system32\config\software.LOG Object is locked skipped
C:\WINNT\system32\config\SysEvent.Evt Object is locked skipped
C:\WINNT\system32\config\system Object is locked skipped
C:\WINNT\system32\config\SYSTEM.ALT Object is locked skipped
C:\WINNT\system32\drivers\ndisfilter.sys Infected: Backdoor.Win32.Zosu.a skipped
C:\WINNT\system32\fhm.exe Infected: Backdoor.Win32.Wootbot.dh skipped
C:\WINNT\system32\ivkuldey.exe.mwt Infected: Backdoor.Win32.IRCBot.ul skipped
C:\WINNT\system32\ktxiu.exe.mwt Infected: Backdoor.Win32.VanBot.g skipped
C:\WINNT\system32\mssmp.exe.mwt Infected: Backdoor.Win32.Rbot.gen skipped
C:\WINNT\system32\Perflib_Perfdata_220.dat Object is locked skipped
C:\WINNT\system32\spoolsvc.exe.mwt Infected: Backdoor.Win32.PoeBot.i skipped
C:\WINNT\Temp\_avast4_\Webshlock.txt Object is locked skipped
C:\WINNT\WindowsUpdate.log Object is locked skipped

Scan process completed.

voici un HJT

Logfile of HijackThis v1.99.1
Scan saved at 19:44:02, on 26/10/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Acer\Powerkey\Powerkey.exe
C:\Program Files\Prolific\USB Flash Disk Utility\PLBkMon.exe
C:\WINNT\system32\HotfixQ0306270.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\cmd.exe
C:\WINNT\system32\rundll32.exe
C:\Documents and Settings\Cathe\Bureau\Antivirus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Program Files\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Prolific_PLUtil] C:\Program Files\Prolific\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINNT\system32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe (file missing)
O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINNT\lsass.exe
O23 - Service: Still Image Service (StiSvc) - Unknown owner - C:\WINNT\system32\stisvc.exe (file missing)

Re,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Redémarre en mode sans échec

Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

J'essaie d'installer Kerio firewall mais j'ai chaque fois un message me disant "Impossible d'accéder au service windows Installer. Ceci peut se produire si windows est en mode sans échec ou si le programme d'installation de windows n'est pas bien installé. Contactez votre support technique pour assistance."

Au secoooours

Fais ce que je t'ai dit  

Voici le HJT, je poste le sdfix demain

Logfile of HijackThis v1.99.1
Scan saved at 0:10:37, on 5/11/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Acer\Powerkey\Powerkey.exe
C:\Program Files\Prolific\USB Flash Disk Utility\PLBkMon.exe
C:\WINNT\system32\HotfixQ0306270.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Documents and Settings\Cathe\Bureau\Antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AcerPowerkey] "C:\Program Files\Acer\Powerkey\Powerkey.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Prolific_PLUtil] C:\Program Files\Prolific\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINNT\system32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe (file missing)
O23 - Service: Still Image Service (StiSvc) - Unknown owner - C:\WINNT\system32\stisvc.exe (file missing)
O23 - Service: Print Spooler Service (viiaeice) - Unknown owner - C:\x.exe

Voici le sdfix

SDFix: Version 1.28
-------------------

Scan run on:
sam. 04/11/2006

Time:
20:37


Microsoft Windows 2000 [Version 5.00.2195]

Running from: C:\Documents and Settings\Cathe\Bureau\Antivirus\SDFix

Stage One...

Checking Services...

Name:
-----

sdk

Path:
----

"C:\WINNT\lsass.exe"


sdk ... deleted


Repairing Registry...

Restoring Default Hosts File...

Stage One Complete

Rebooting!

Stage Two...

Registry Cleaning Finished...

Checking For Malware Files:
--------------------------

C:\DRSMAR~1.EXE
C:\WINNT\lsass.exe

Backing Up and Removing any Files Found...

Final Check:

Remaining Services:
------------------

Remaining Files:
--------------



*Any removed Files are saved in the SDFix\backups Folder*

*FINISHED*