Se connecter avec
S'enregistrer | Connectez-vous

[RESOLU]Gros probleme <_< help svp

Dernière réponse : dans Sécurité

Donc voilà j'ai attrapé un virus sur msn je l'ai dl par erreur. Ensuite ca l'envoyait automatiquement à mes contacts. Depuis j'ai attraper plus sieurs trojan qui sont les suivants:
-Win32:trojan-gen {Other}
-Win32:trojano
et deux autres Win32:

J'ai avaste je les detecte les suprimes mais ils reviennes à chaque fois. J'ai essayer d'autre antivirus j'ai scan en mode sans echec mais ils reviennent à chaque fois.
je crois que le fichier infecté c'est 888Bar.dll

Autres pages sur : resolu gros probleme help svp

Lassé par la pub ? Créez un compte

Voilà ^^
_______________________
Logfile of HijackThis v1.99.1
Scan saved at 16:53:53, on 02/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\msasvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\slrundll.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\RMC.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WiFiConnector\NintendoWFCReg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\msrr.exe
c:\pdwpamt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Way of Elendil\Way of Elendil.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\{54AE6F05-07D0-1036-0930-050503310021}\Update.exe
C:\Documents and Settings\Loïc\Bureau\scanner.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://format.packardbell.com/cgi-bin/redirect?country=...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{34AE6~1\888Bar.dll
O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{34AE6~1\888Bar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RMC] C:\WINDOWS\system32\drivers\RMC.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [PCDAS] C:\Program Files\Defenza\pcd-as.exe /10001
O4 - HKLM\..\Run: [WINDOWS] c:\pdwpamt.exe
O4 - HKLM\..\Run: [SunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\APPS\skype\phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Lancer l'utilitaire d'enregistrement.lnk = C:\Program Files\WiFiConnector\NintendoWFCReg.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

Re,

Les manipulations sont à faire sans interruption et dans l'ordre
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

Enregistre cette page pour avoir accès à la procédure en mode sans échec :
- Fichier
- Enregistrer Sous...
- Nom du fichier : Procédure
- Type : Page Web, complète
- Pour l'emplacement, choisis ton Bureau
- Clique maintenant sur Enregistrer

Télécharge:

Ccleaner
Installe le dans un répertoire dédié.
Lors de l'installation décoche: "Ajouter la Barre d'Outils Yahoo! Ccleaner"
AIDE : Tuto sur Ccleaner

Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.

Redémarre en mode sans échec

Ferme TOUTES les fenêtres ouvertes (sauf Hijackthis)
et les logiciels de protection en temps réel (Antivirus, TeaTimer...)

- Lance Hijackthis ->Do a system scan only
->Coche les lignes ci-dessous :

O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{34AE6~1\888Bar.dll
O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{34AE6~1\888Bar.dll
O4 - HKLM\..\Run: [WINDOWS] c:\pdwpamt.exe

Clique sur Fix checked (en bas à gauche)

-- Lance Ccleaner :
- Clique sur le bouton "Analyse"
- Clique maintenant sur le bouton "Lancer le Néttoyage".

- Clique sur l'onglet "Erreurs"
- Clique successivement sur "Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées".

- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clique sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

Redémarre normalement.

- Poste un nouveau rapport Hijackthis.

- Le rapport clean : Poste de travail / C: / rapport_clean.txt puis copie/colle son contenu ici.

NB : Merci à Malekal pour ses tutos.

Re rapport de hijackthis.
___________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 17:18:47, on 02/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\slrundll.exe
C:\WINDOWS\system32\drivers\RMC.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\{54AE6F05-07D0-1036-0930-050503310021}\Update.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
C:\Program Files\WiFiConnector\NintendoWFCReg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\Documents and Settings\Loïc\Bureau\scanner.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://format.packardbell.com/cgi-bin/redirect?country=...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RMC] C:\WINDOWS\system32\drivers\RMC.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [SunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\APPS\skype\phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Lancer l'utilitaire d'enregistrement.lnk = C:\Program Files\WiFiConnector\NintendoWFCReg.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

Et voilà le rapport_clean merci pour ton aide ^^.
_____________________________________________________
Script clean par Malekal_morte - http://www.malekal.com

Microsoft Windows XP [version 5.1.2600]
Script execute en mode sans echec

*** Suppression de fichiers sur C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\msasvc.exe FOUND


*** Suppression des clefs du registre effectuee..

Voilà le rapport =o
_____________________________
Lo‹c - 06-12-02 17:26:56,50 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Documents and Settings\Lo‹c\Bureau"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Program Files\Fichiers communs\{34AE6F05-07D0-1036-0930-050503310021}
C:\Program Files\Fichiers communs\{54AE6F05-07D0-1036-0930-050503310021}


((((((((((((((((((((((((((((((( Files Created from 2006-11-02 to 2006-12-02 ))))))))))))))))))))))))))))))))))


2006-12-02 17:27 118,798 --a------ C:\Documents and Settings\Lo‹c\winstall.exe
2006-12-02 17:11 <REP> dr-h----- C:\Documents and Settings\Lo‹c\Recent
2006-12-02 17:04 <REP> d-------- C:\Program Files\CCleaner
2006-12-02 16:41 138,565 --a------ C:\Documents and Settings\Lo‹c\mcc.exe
2006-12-02 16:33 85,504 --a------ C:\pdwpamt.exe
2006-12-02 15:25 <REP> d-------- C:\Program Files\Sunbelt Software
2006-12-02 15:24 <REP> d-------- C:\WINDOWS\Downloaded Installations
2006-12-02 14:20 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2006-12-02 14:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2006-12-02 11:26 8,570 --a------ C:\WINDOWS\system32\telebos.exe
2006-12-02 11:26 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2006-12-02 11:26 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2006-12-02 11:26 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2006-12-02 11:26 <REP> d-------- C:\Program Files\Defenza
2006-12-02 11:24 68,968 --a------ C:\WINDOWS\system32\lzx32.sys
2006-12-01 22:50 <REP> d-------- C:\Program Files\Spyware Doctor
2006-12-01 22:23 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2006-12-01 22:23 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2006-12-01 22:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TEMP
2006-11-30 19:57 <REP> d--h----- C:\WINDOWS\PIF
2006-11-29 14:27 <REP> d-------- C:\Documents and Settings\All Users\SonicStage
2006-11-29 14:21 27,255 --------- C:\WINDOWS\system32\drivers\NWWMUSB.sys
2006-11-29 14:21 11,510 --------- C:\WINDOWS\system32\drivers\VMCUSB.sys
2006-11-29 14:21 <REP> d-------- C:\Program Files\Sony Corporation
2006-11-29 14:20 90,112 --------- C:\WINDOWS\snymsico.dll
2006-11-29 14:20 38,951 --------- C:\WINDOWS\system32\drivers\NETMDUSB.sys
2006-11-29 14:20 36,232 --------- C:\WINDOWS\system32\drivers\NETMD033.sys
2006-11-29 14:20 35,319 --------- C:\WINDOWS\system32\drivers\NETMD031.sys
2006-11-29 14:19 757,760 --a------ C:\WINDOWS\system32\CDDBUI.dll
2006-11-29 14:19 630,784 --a------ C:\WINDOWS\system32\CDDBControl.dll
2006-11-29 14:19 110,592 --a------ C:\WINDOWS\system32\CddbLangFR.dll
2006-11-29 14:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sony Corporation
2006-11-29 14:18 <REP> d-------- C:\Program Files\Sony
2006-11-29 14:18 <REP> d-------- C:\Program Files\Fichiers communs\Sony Shared
2006-11-29 14:18 <REP> d-------- C:\Documents and Settings\Lo‹c\Application Data\Sony Corporation
2006-11-28 21:23 <REP> d-------- C:\Documents and Settings\Lo‹c\Shared
2006-11-28 19:46 <REP> d-------- C:\Documents and Settings\Lo‹c\Incomplete
2006-11-28 19:05 <REP> d-------- C:\Program Files\LimeWire
2006-11-28 19:05 <REP> d-------- C:\Documents and Settings\Lo‹c\.limewire
2006-11-24 20:34 <REP> d-------- C:\Program Files\Gravity
2006-11-19 00:31 <REP> d-------- C:\Program Files\MSXML 4.0
2006-11-18 16:43 <REP> d-------- C:\Program Files\Way of Elendil
2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

Rootkit driver pe386 is present. A rootkit scan is required

2006-12-02 17:29 -------- d-------- C:\Program Files\Fichiers communs
2006-12-02 17:27 -------- d-------- C:\Documents and Settings\Lo‹c\Application Data\Skype
2006-12-02 17:19 -------- d-------- C:\Program Files\Mozilla Firefox
2006-12-02 11:45 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-11-30 19:59 -------- d-------- C:\Program Files\MSN Messenger
2006-11-29 14:27 -------- d-------- C:\Documents and Settings\Lo‹c\Application Data\Sony Corporation
2006-11-29 14:18 -------- d-------- C:\Program Files\Fichiers communs\InstallShield
2006-11-28 19:26 -------- d-------- C:\Program Files\Java
2006-11-26 17:19 -------- d-------- C:\Program Files\Dreams in Midgard Online
2006-11-24 20:34 65536 --a------ C:\WINDOWS\IFinst27.exe
2006-11-20 13:29 -------- d-------- C:\Documents and Settings\Lo‹c\Application Data\Azureus
2006-11-19 00:31 -------- d-------- C:\Program Files\Internet Explorer
2006-10-29 10:53 -------- d-------- C:\Program Files\Alwil Software
2006-10-28 12:00 -------- d-------- C:\Program Files\Azureus
2006-10-13 13:36 145920 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-09-25 17:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-09-25 17:37 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2006-09-13 06:03 1084416 --a------ C:\WINDOWS\system32\msxml3.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
"Skype"="\"C:\\APPS\\skype\\phone\\Skype.exe\" /nosplash /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"RMC"="C:\\WINDOWS\\system32\\drivers\\RMC.exe"
"SynTPLpr"="C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"PCMService"="\"c:\\Apps\\Powercinema\\PCMService.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"SsAAD.exe"="C:\\PROGRA~1\\Sony\\SONICS~1\\SsAAD.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,20,01,00,00,00,00,00,00,80,04,00,00,66,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\HDReg.job

Completion time: 06-12-02 17:29:28.87
C:\ComboFix.txt ... 06-12-02 17:29

On s'occupe du du rootkit.

Télécharge Rustbfix (par ejvindh)
Sauvegarde-le sur ton Bureau.

Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer le PC. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (C:\avenger.txt & C:\rustbfix\pelog.txt).
Copie/Colle le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

Premier rapport.
_____________________________________________
************************* Rustock.b-fix -- By ejvindh *************************
02/12/2006 17:37:28,84


******************* Pre-run Status of system *******************

Rootkit driver PE386 is found. Starting the unload-procedure....
Examine the Avenger-logfile in order to assess the success of the unload-procedure

Rustock.b-ADS attached to the System32-folder:
:lzx32.sys 68968
Total size: 68968 bytes.
Attempting to remove ADS...
system32: deleted 68968 bytes in 1 streams.


******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:
No streams found.


******************************* End of Logfile ********************************

second rapport
_______________________________________________________
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\khtkmtcw

*******************

Script file located at: \??\C:\peonoblk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

Rapport Hijackthis
____________________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 17:44:29, on 02/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\slrundll.exe
C:\WINDOWS\system32\drivers\RMC.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
C:\Program Files\WiFiConnector\NintendoWFCReg.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\{54AE6F05-07D0-1036-0930-050503310021}\Update.exe
C:\Documents and Settings\Loïc\Bureau\scanner.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://format.packardbell.com/cgi-bin/redirect?country=...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{34AE6~1\888Bar.dll
O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{34AE6~1\888Bar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RMC] C:\WINDOWS\system32\drivers\RMC.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\APPS\skype\phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Lancer l'utilitaire d'enregistrement.lnk = C:\Program Files\WiFiConnector\NintendoWFCReg.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

Fixe ces lignes :
O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{34AE6~1\888Bar.dll
O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{34AE6~1\888Bar.dll

Supprime ce fichier :
C:\Program Files\Fichier Commun\{34AE6~1\888Bar.dll

Donc il est revenu là le fichier 888Bar.dll.
sinon dans C:\Program Files\Fichiers Communs\ j'ai different dossier:
-adobe
-aolshare
-InstalShield
-Java
-Logitech
-Microsoft Shared
-MSSoap
-Nullsoft
-ODBC
-Real
-Services
-AOL
-Sonic Shared
-SOny Shared
-SpeechEngines
-Sure Thing Shared
-System
-VCAMeye
-xing shared
-{34AE6F05-07D0-1036-0930-050503310021}
c'est le fichier avec 888Bar.dll et il ya aussi une application nommé UnInstall dedans
-{54AE6F05-07D0-1036-0930-050503310021}
ce fichier est assez bizzard quand je supprime le virus via avast je le retrouve dans la corbeille et il réapparait à chaque foi.

Il manque rien...

Ah oui j'arrive pas à supprimé le fichier 888Bar.dll quand j'essaye ca me marque:Impossible de suprimmer 888Bar.dll: Accès refusé

Vérifiez que le disque n'est pas plein ou protégé en écriture,et que le fichier n'est pas utilisé actuellement.

et un fichier LZMA et apparue dans{34AE6F05-07D0-1036-0930-050503310021}
il est nommé toolbardll.lzma .
voilà

Re,

Télécharge puis installe AVG Anti-Spyware (AVG AS)
Une fois AVG AS lancé, clique sur "Mise à jour"
Ferme le programme.
AIDE : Tuto sur Avg Antispyware (Malekal)

Redémarre en mode sans échec

Relance AVG AS puis choisis l'onglet "Analyse"
Puis l'onglet "Paramètres"
Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

/!\ Si un fichier est infecté en fin d'analyse /!\
Clique sur "Appliquer toutes les actions "

Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
Enregistre ce fichier texte sur ton bureau.

Redémarre normalement
Copie/Colle le rapport AVG AS ainsi qu'un rapport Hijackthis.

rapport scan
____________________________________________________________
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 19:50:53 02/12/2006

+ Résultat de l'analyse:



HKU\S-1-5-21-362923178-1576784023-856930862-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> Adware.2020Search : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP72\A0005986.dll -> Adware.PowerSearch : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Loïc\Local Settings\Temporary Internet Files\Content.IE5\2L09KH0J\webinstall[1].exe -> Adware.PurityScan : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Loïc\Local Settings\Temporary Internet Files\Content.IE5\6DEIJ5IS\webinstall[1].exe -> Adware.PurityScan : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Loïc\winstall.exe -> Adware.PurityScan : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011050.exe -> Adware.PurityScan : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP93\A0012154.exe -> Adware.PurityScan : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP93\A0012156.exe -> Adware.PurityScan : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP94\A0012280.exe -> Adware.PurityScan : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\winstall.ex0 -> Adware.PurityScan : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011013.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011014.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011015.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011016.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011017.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011018.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011019.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011020.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011021.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011022.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011023.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011024.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011025.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011026.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011027.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011028.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011029.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011030.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011031.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011032.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011033.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011034.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011036.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011037.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011038.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011039.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011040.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011041.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011042.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011043.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011044.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011045.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011046.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011047.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011067.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011068.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011170.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011171.exe -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\MSN Messenger\msnmsgr.exe -> Backdoor.MSNMaker.ab : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011000.pif -> Backdoor.MSNMaker.ab : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\msvcrt.exe -> Downloader.Agent.azg : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0010996.exe -> Downloader.Agent.bca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0010998.exe -> Downloader.Agent.bca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0010999.exe -> Downloader.Agent.bca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011007.exe -> Downloader.Agent.bca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011035.exe -> Downloader.Agent.bca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011048.exe -> Downloader.Agent.bca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP92\A0011160.exe -> Downloader.Agent.bca : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.22:C:\Documents and Settings\Loïc\Application Data\Mozilla\Firefox\Profiles\xkxvness.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.19:C:\Documents and Settings\Loïc\Application Data\Mozilla\Firefox\Profiles\xkxvness.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.20:C:\Documents and Settings\Loïc\Application Data\Mozilla\Firefox\Profiles\xkxvness.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
:mozilla.10:C:\Documents and Settings\Loïc\Application Data\Mozilla\Firefox\Profiles\xkxvness.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.11:C:\Documents and Settings\Loïc\Application Data\Mozilla\Firefox\Profiles\xkxvness.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.12:C:\Documents and Settings\Loïc\Application Data\Mozilla\Firefox\Profiles\xkxvness.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.21:C:\Documents and Settings\Loïc\Application Data\Mozilla\Firefox\Profiles\xkxvness.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Loïc\Cookies\loïc@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP94\A0012209.exe -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP94\A0012210.exe -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP94\A0012211.exe -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP94\A0012212.exe -> Trojan.ProcKill.DJ : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP93\A0012151.exe -> Trojan.Sinowal.bh : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP94\A0012214.dll -> Trojan.Sinowal.bh : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP94\A0012288.exe -> Trojan.Sinowal.bh : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP95\A0012348.exe -> Trojan.Sinowal.bh : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP95\A0012591.exe -> Trojan.Sinowal.bh : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\msasvc.exe -> Trojan.Sinowal.bh : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Loïc\Local Settings\Temporary Internet Files\Content.IE5\2L09KH0J\do[1].mp3 -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Loïc\Local Settings\Temporary Internet Files\Content.IE5\VHUXN210\do[1].mp3 -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Loïc\gotgo.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP93\A0012152.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP93\A0012162.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP94\A0012281.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

rapport hijackthis
_______________________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 19:54:38, on 02/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\slrundll.exe
C:\WINDOWS\system32\drivers\RMC.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
C:\Program Files\Fichiers communs\{54AE6F05-07D0-1036-0930-050503310021}\Update.exe
C:\Program Files\Messenger\msmsgs.exe
C:\APPS\skype\phone\Skype.exe
C:\Program Files\WiFiConnector\NintendoWFCReg.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Loïc\Bureau\scanner.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://format.packardbell.com/cgi-bin/redirect?country=...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{34AE6~1\888Bar.dll
O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{34AE6~1\888Bar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RMC] C:\WINDOWS\system32\drivers\RMC.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\APPS\skype\phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Lancer l'utilitaire d'enregistrement.lnk = C:\Program Files\WiFiConnector\NintendoWFCReg.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

Voilà le scan
_____________________________________________________


Lo‹c - 06-12-02 20:05:30,67 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Documents and Settings\Lo‹c\Bureau"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Program Files\Fichiers communs\{34AE6F05-07D0-1036-0930-050503310021}
C:\Program Files\Fichiers communs\{54AE6F05-07D0-1036-0930-050503310021}


((((((((((((((((((((((((((((((( Files Created from 2006-11-02 to 2006-12-02 ))))))))))))))))))))))))))))))))))


2006-12-02 18:35 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-12-02 18:35 <REP> d-------- C:\Program Files\Grisoft
2006-12-02 18:28 8,570 --a------ C:\Documents and Settings\Lo‹c\telebos.exe
2006-12-02 18:28 138,565 --a------ C:\Documents and Settings\Lo‹c\mcc.exe
2006-12-02 17:43 <REP> d-------- C:\avenger
2006-12-02 17:37 <REP> d-------- C:\Rustbfix
2006-12-02 17:11 <REP> dr-h----- C:\Documents and Settings\Lo‹c\Recent
2006-12-02 17:04 <REP> d-------- C:\Program Files\CCleaner
2006-12-02 15:25 <REP> d-------- C:\Program Files\Sunbelt Software
2006-12-02 15:24 <REP> d-------- C:\WINDOWS\Downloaded Installations
2006-12-02 14:20 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2006-12-02 14:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2006-12-02 11:26 8,570 --a------ C:\WINDOWS\system32\telebos.exe
2006-12-02 11:26 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2006-12-02 11:26 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2006-12-02 11:26 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2006-12-02 11:26 <REP> d-------- C:\Program Files\Defenza
2006-12-02 11:24 68,968 --a------ C:\WINDOWS\system32\lzx32.sys
2006-12-01 22:50 <REP> d-------- C:\Program Files\Spyware Doctor
2006-12-01 22:23 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2006-12-01 22:23 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2006-12-01 22:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TEMP
2006-11-30 19:57 <REP> d--h----- C:\WINDOWS\PIF
2006-11-29 14:27 <REP> d-------- C:\Documents and Settings\All Users\SonicStage
2006-11-29 14:21 27,255 --------- C:\WINDOWS\system32\drivers\NWWMUSB.sys
2006-11-29 14:21 11,510 --------- C:\WINDOWS\system32\drivers\VMCUSB.sys
2006-11-29 14:21 <REP> d-------- C:\Program Files\Sony Corporation
2006-11-29 14:20 90,112 --------- C:\WINDOWS\snymsico.dll
2006-11-29 14:20 38,951 --------- C:\WINDOWS\system32\drivers\NETMDUSB.sys
2006-11-29 14:20 36,232 --------- C:\WINDOWS\system32\drivers\NETMD033.sys
2006-11-29 14:20 35,319 --------- C:\WINDOWS\system32\drivers\NETMD031.sys
2006-11-29 14:19 757,760 --a------ C:\WINDOWS\system32\CDDBUI.dll
2006-11-29 14:19 630,784 --a------ C:\WINDOWS\system32\CDDBControl.dll
2006-11-29 14:19 110,592 --a------ C:\WINDOWS\system32\CddbLangFR.dll
2006-11-29 14:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sony Corporation
2006-11-29 14:18 <REP> d-------- C:\Program Files\Sony
2006-11-29 14:18 <REP> d-------- C:\Program Files\Fichiers communs\Sony Shared
2006-11-29 14:18 <REP> d-------- C:\Documents and Settings\Lo‹c\Application Data\Sony Corporation
2006-11-28 21:23 <REP> d-------- C:\Documents and Settings\Lo‹c\Shared
2006-11-28 19:46 <REP> d-------- C:\Documents and Settings\Lo‹c\Incomplete
2006-11-28 19:05 <REP> d-------- C:\Program Files\LimeWire
2006-11-28 19:05 <REP> d-------- C:\Documents and Settings\Lo‹c\.limewire
2006-11-24 20:34 <REP> d-------- C:\Program Files\Gravity
2006-11-19 00:31 <REP> d-------- C:\Program Files\MSXML 4.0
2006-11-18 16:43 <REP> d-------- C:\Program Files\Way of Elendil
2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

Rootkit driver pe386 is present. A rootkit scan is required

2006-12-02 20:07 -------- d-------- C:\Program Files\Fichiers communs
2006-12-02 19:59 -------- d-------- C:\Program Files\MSN Messenger
2006-12-02 19:55 -------- d-------- C:\Program Files\Mozilla Firefox
2006-12-02 19:54 -------- d-------- C:\Documents and Settings\Lo‹c\Application Data\Skype
2006-12-02 11:45 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-11-29 14:27 -------- d-------- C:\Documents and Settings\Lo‹c\Application Data\Sony Corporation
2006-11-29 14:18 -------- d-------- C:\Program Files\Fichiers communs\InstallShield
2006-11-28 19:26 -------- d-------- C:\Program Files\Java
2006-11-26 17:19 -------- d-------- C:\Program Files\Dreams in Midgard Online
2006-11-24 20:34 65536 --a------ C:\WINDOWS\IFinst27.exe
2006-11-20 13:29 -------- d-------- C:\Documents and Settings\Lo‹c\Application Data\Azureus
2006-11-19 00:31 -------- d-------- C:\Program Files\Internet Explorer
2006-10-29 10:53 -------- d-------- C:\Program Files\Alwil Software
2006-10-28 12:00 -------- d-------- C:\Program Files\Azureus
2006-10-13 13:36 145920 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-09-25 17:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-09-25 17:37 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2006-09-13 06:03 1084416 --a------ C:\WINDOWS\system32\msxml3.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
"Skype"="\"C:\\APPS\\skype\\phone\\Skype.exe\" /nosplash /minimized"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"RMC"="C:\\WINDOWS\\system32\\drivers\\RMC.exe"
"SynTPLpr"="C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"PCMService"="\"c:\\Apps\\Powercinema\\PCMService.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"SsAAD.exe"="C:\\PROGRA~1\\Sony\\SONICS~1\\SsAAD.exe"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,20,01,00,00,00,00,00,00,80,04,00,00,66,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\HDReg.job

Completion time: 06-12-02 20:07:37.28
C:\ComboFix.txt ... 06-12-02 20:07
C:\ComboFix2.txt ... 06-12-02 17:29

Pe386 est toujours là :/ 

Télécharge http://202.38.64.10/~jfpan/download/IceSword120_en.zip

- Double-clic sur IceSword1.18en.rar et extrait tous les fichiers sur ton bureau.
- Déconnecte toi d'internet et ferme tous les programmes.
- Ouvre le dossier IceSword1.18en sur ton bureau et double-clic sur IceSword.exe.
- Clic sur le bureau "Registry button" dans le panel de gauche.
- Navigue dans l'arboresce à la clef HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services.
Ensuite localise la clef toujours à gauche : pe386 comme dans la capture ci-dessous.



Fais un clic droit sur cette clef pe386 et clic sur delete dans le menu déroulant.

NOTE : si Pe386 n'est pas présent, regarde si tu n'as pas un msguard à la place de pe386

Ferme IceSword et redémarre l'ordinateur.

Une fois l'ordinateur redémarre :

Ouvre HiJackThis, puis "Open the Misc Tools Section"
Clic sur Open ADS Spy
Décoche "Quick Scan"
Décoche "Ignore safe system info data streams"
Lance le scan à partir du bouton scan

Dans la liste, trouve chaque occurence de :

C:\WINDOWS\system32 : lzx32.sys (69616 bytes)
C:\WINDOWS\system32 : lzx32.sys (69616 bytes)

coche les

clic sur Remove selected.

Puis :
Ouvre HijakThis, puis "Open the Misc Tools Section"
Clic sur Open ADS Spy
Décoche "Quick Scan"
Décoche "Ignore safe system info data streams"
Lance le scan à partir du bouton scan et colle le rapport ici.

Voilou ^^.
-------------------------------------------------------------
C:\Documents and Settings\All Users\Documents\Ma musique\Échantillons de musique\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\All Users\Documents\Mes images\Échantillons d'images\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Loïc\.limewire\xml\misc\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Loïc\Bureau\dimonline_client-v1.1b.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\Loïc\Bureau\DST_Tour3_winner.avi : Zone.Identifier (26 bytes)
C:\Documents and Settings\Loïc\Bureau\gvg_mf-is.wmv : Zone.Identifier (26 bytes)
C:\Documents and Settings\Loïc\Bureau\mut_tu_rox__.wmv : Zone.Identifier (26 bytes)
C:\Documents and Settings\Loïc\Mes documents\CA1KED1R.htm : Zone.Identifier (26 bytes)
C:\Documents and Settings\Loïc\Mes documents\Mes images\Mes photos Logitech\Photos et vidéos\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Loïc\Mes documents\Mes images\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\Loïc\Mes documents\My Skype Pictures\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Dreams in Midgard Online\ScreenShot\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Dreams in Midgard Online\skin\Exhaust Shooting Star\basic_interface\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Dreams in Midgard Online\skin\Exhaust Shooting Star\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Dreams in Midgard Online\skin\legacy\basic_interface\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Dreams in Midgard Online\skin\legacy\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Dreams in Midgard Online\skin\Midgard\basic_interface\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Dreams in Midgard Online\skin\Midgard\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Dreams in Midgard Online\skin\Scribbling Kid\basic_interface\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Dreams in Midgard Online\skin\Scribbling Kid\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Dreams in Midgard Online\skin\Tatami\basic_interface\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Dreams in Midgard Online\skin\Tatami\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Gravity\RO\Emblem\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Way of Elendil\default\Skin\basic_interface\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Way of Elendil\default\Skin\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Way of Elendil\ScreenShot\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Way of Elendil\skin\Skin\basic_interface\Thumbs.db : encryptable (0 bytes)
C:\Program Files\Way of Elendil\skin\Skin\Thumbs.db : encryptable (0 bytes)

Voilà
_________________________________________________________
Lo‹c - 06-12-02 20:46:58,76 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Documents and Settings\Lo‹c\Bureau"

((((((((((((((((((((((((((((((( Files Created from 2006-11-02 to 2006-12-02 ))))))))))))))))))))))))))))))))))


2006-12-02 18:35 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-12-02 18:35 <REP> d-------- C:\Program Files\Grisoft
2006-12-02 18:28 8,570 --a------ C:\Documents and Settings\Lo‹c\telebos.exe
2006-12-02 18:28 138,565 --a------ C:\Documents and Settings\Lo‹c\mcc.exe
2006-12-02 17:43 <REP> d-------- C:\avenger
2006-12-02 17:37 <REP> d-------- C:\Rustbfix
2006-12-02 17:11 <REP> dr-h----- C:\Documents and Settings\Lo‹c\Recent
2006-12-02 17:04 <REP> d-------- C:\Program Files\CCleaner
2006-12-02 15:25 <REP> d-------- C:\Program Files\Sunbelt Software
2006-12-02 15:24 <REP> d-------- C:\WINDOWS\Downloaded Installations
2006-12-02 14:20 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2006-12-02 14:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2006-12-02 11:26 8,570 --a------ C:\WINDOWS\system32\telebos.exe
2006-12-02 11:26 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2006-12-02 11:26 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2006-12-02 11:26 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2006-12-02 11:26 <REP> d-------- C:\Program Files\Defenza
2006-12-02 11:24 68,968 --a------ C:\WINDOWS\system32\lzx32.sys
2006-12-01 22:50 <REP> d-------- C:\Program Files\Spyware Doctor
2006-12-01 22:23 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2006-12-01 22:23 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2006-12-01 22:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TEMP
2006-11-30 19:57 <REP> d--h----- C:\WINDOWS\PIF
2006-11-29 14:27 <REP> d-------- C:\Documents and Settings\All Users\SonicStage
2006-11-29 14:21 27,255 --------- C:\WINDOWS\system32\drivers\NWWMUSB.sys
2006-11-29 14:21 11,510 --------- C:\WINDOWS\system32\drivers\VMCUSB.sys
2006-11-29 14:21 <REP> d-------- C:\Program Files\Sony Corporation
2006-11-29 14:20 90,112 --------- C:\WINDOWS\snymsico.dll
2006-11-29 14:20 38,951 --------- C:\WINDOWS\system32\drivers\NETMDUSB.sys
2006-11-29 14:20 36,232 --------- C:\WINDOWS\system32\drivers\NETMD033.sys
2006-11-29 14:20 35,319 --------- C:\WINDOWS\system32\drivers\NETMD031.sys
2006-11-29 14:19 757,760 --a------ C:\WINDOWS\system32\CDDBUI.dll
2006-11-29 14:19 630,784 --a------ C:\WINDOWS\system32\CDDBControl.dll
2006-11-29 14:19 110,592 --a------ C:\WINDOWS\system32\CddbLangFR.dll
2006-11-29 14:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sony Corporation
2006-11-29 14:18 <REP> d-------- C:\Program Files\Sony
2006-11-29 14:18 <REP> d-------- C:\Program Files\Fichiers communs\Sony Shared
2006-11-29 14:18 <REP> d-------- C:\Documents and Settings\Lo‹c\Application Data\Sony Corporation
2006-11-28 21:23 <REP> d-------- C:\Documents and Settings\Lo‹c\Shared
2006-11-28 19:46 <REP> d-------- C:\Documents and Settings\Lo‹c\Incomplete
2006-11-28 19:05 <REP> d-------- C:\Program Files\LimeWire
2006-11-28 19:05 <REP> d-------- C:\Documents and Settings\Lo‹c\.limewire
2006-11-24 20:34 <REP> d-------- C:\Program Files\Gravity
2006-11-19 00:31 <REP> d-------- C:\Program Files\MSXML 4.0
2006-11-18 16:43 <REP> d-------- C:\Program Files\Way of Elendil
2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-02 20:38 -------- d-------- C:\Program Files\Mozilla Firefox
2006-12-02 20:34 -------- d-------- C:\Documents and Settings\Lo‹c\Application Data\Skype
2006-12-02 20:07 -------- d-------- C:\Program Files\Fichiers communs
2006-12-02 19:59 -------- d-------- C:\Program Files\MSN Messenger
2006-12-02 11:45 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-11-29 14:27 -------- d-------- C:\Documents and Settings\Lo‹c\Application Data\Sony Corporation
2006-11-29 14:18 -------- d-------- C:\Program Files\Fichiers communs\InstallShield
2006-11-28 19:26 -------- d-------- C:\Program Files\Java
2006-11-26 17:19 -------- d-------- C:\Program Files\Dreams in Midgard Online
2006-11-24 20:34 65536 --a------ C:\WINDOWS\IFinst27.exe
2006-11-20 13:29 -------- d-------- C:\Documents and Settings\Lo‹c\Application Data\Azureus
2006-11-19 00:31 -------- d-------- C:\Program Files\Internet Explorer
2006-10-29 10:53 -------- d-------- C:\Program Files\Alwil Software
2006-10-28 12:00 -------- d-------- C:\Program Files\Azureus
2006-10-13 13:36 145920 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-09-25 17:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-09-25 17:37 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2006-09-13 06:03 1084416 --a------ C:\WINDOWS\system32\msxml3.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
"Skype"="\"C:\\APPS\\skype\\phone\\Skype.exe\" /nosplash /minimized"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"RMC"="C:\\WINDOWS\\system32\\drivers\\RMC.exe"
"SynTPLpr"="C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"PCMService"="\"c:\\Apps\\Powercinema\\PCMService.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"SsAAD.exe"="C:\\PROGRA~1\\Sony\\SONICS~1\\SsAAD.exe"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,20,01,00,00,00,00,00,00,80,04,00,00,66,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\HDReg.job

Completion time: 06-12-02 20:47:23.87
C:\ComboFix.txt ... 06-12-02 20:47
C:\ComboFix2.txt ... 06-12-02 20:07
C:\ComboFix3.txt ... 06-12-02 17:29

Re,

Désinstalle si possible AVG AS.

  • Télécharge SpySweeper (de Webroot, version d'essai de 14 jours) :

    -Clique sur "Télécharger la version test".
    -Installe le programme en choississant "installation standard".
    -Accepte le redémarrage
    -L'option de le mettre à jour s'affichera, acceptes la mise à jour
    -Lorsque les mises à jour seront installées, dans colonne de gauche clique sur l'onglet Options puis analyse.
    -Sous Eléments à analyser et Autres options coche toutes les cases.
    -Ferme SpySweeper

    La suite étant faite en mode sans échec, imprime ou copie/colle dans un fichier texte les instructions suivantes

  • Redémarre en mode sans échec : au redémarrage, tapotes immédiatement la touche F8, tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

  • Démarre SpySweeper
    -Clique Analyser sur la gauche puis sur Démarrer l'analyse.
    -Quand le scan est terminé, clique sur Suivant.
    -Assure-toi que tous les éléments trouvés sont tous cochés, puis clic sur Suivant.
    -Tous les éléments cochés seront alors mis en quarantaine.
    -Dans "Récapitulatif", sélectionne en bas Afficher le journal de session puis Enregistrer dans un fichier afin de sauvegarder le rapport.

  • Redémarre normalement

  • Désinstalle SpySweeper à partir de ajout/suppression de programme sauf si tu veux continuer l'évaluation pendant 15 jours.

  • Copie/colle le rapport de SpySweeper ici

    donc voilà
    ________________________________________________________
    21:54: Removal process completed. Elapsed time 00:00:00
    21:54: Quarantining All Traces: weborama cookie
    21:54: Removal process initiated
    21:54: Traces Found: 1
    21:54: Full Sweep has completed. Elapsed time 00:34:06
    21:54: File Sweep Complete, Elapsed Time: 00:32:07
    21:53: Warning: Stream read error
    21:41: Warning: Failed to access drive D:
    21:22: Starting File Sweep
    21:22: Cookie Sweep Complete, Elapsed Time: 00:00:00
    21:22: c:\documents and settings\loïc\cookies\loïc@weborama[2].txt (ID = 3658)
    21:22: Found Spy Cookie: weborama cookie
    21:22: Starting Cookie Sweep
    21:22: Registry Sweep Complete, Elapsed Time:00:00:11
    21:21: Starting Registry Sweep
    21:21: Memory Sweep Complete, Elapsed Time: 00:00:51
    21:21: Starting Memory Sweep
    21:20: Sweep initiated using definitions version 734
    21:20: Spy Sweeper 5.0.7.1608 started
    21:20: | Start of Session, samedi 2 décembre 2006 |
    ********
    21:20: | End of Session, samedi 2 décembre 2006 |
    Keylogger Shield: Off
    BHO Shield: On
    IE Security Shield: On
    Alternate Data Stream (ADS) Execution Shield: On
    Startup Shield: On
    Common Ad Sites Shield: Off
    Hosts File Shield: On
    Spy Communication Shield: On
    ActiveX Shield: On
    Windows Messenger Service Shield: On
    IE Favorites Shield: On
    Spy Installation Shield: On
    Memory Shield: On
    IE Hijack Shield: On
    IE Tracking Cookies Shield: Off
    21:19: Shield States
    21:19: Spyware Definitions: 734
    21:19: Spy Sweeper 5.0.7.1608 started
    Common Ad Sites Shield: Off
    Hosts File Shield: On
    Spy Communication Shield: On
    ActiveX Shield: On
    Windows Messenger Service Shield: On
    IE Favorites Shield: On
    Spy Installation Shield: On
    Memory Shield: On
    IE Hijack Shield: On
    IE Tracking Cookies Shield: Off
    21:16: Shield States
    21:16: Spyware Definitions: 734
    21:16: Spy Sweeper 5.0.7.1608 started
    Keylogger Shield: Off
    BHO Shield: On
    IE Security Shield: On
    Alternate Data Stream (ADS) Execution Shield: On
    Startup Shield: On
    Common Ad Sites Shield: Off
    Hosts File Shield: On
    Spy Communication Shield: On
    ActiveX Shield: On
    Windows Messenger Service Shield: On
    IE Favorites Shield: On
    Spy Installation Shield: On
    Memory Shield: On
    IE Hijack Shield: On
    IE Tracking Cookies Shield: Off
    21:03: Shield States
    21:03: Spyware Definitions: 734
    21:03: Spy Sweeper 5.0.7.1608 started
    21:03: Spy Sweeper 5.0.7.1608 started
    21:03: | Start of Session, samedi 2 décembre 2006 |
    ********
    __________________________________________________
    Gugus 57 c'est moi qui l'ai contaminé par msn enfin le virus s'auto envoie par msn.. donc c'est surement le meme que moi. Merci pour tout ^^.

    Bon... j'ai le même problème que vous car ma blonde s'est faite refiler ce virus hier soir, quand je suis revenu du boulot -_-. J'ai passé une bonne partie d la nuit à tenter d'enrayer sa mais là je suis à bout... Je suis à deux doigt de tout formater. Jusqu'à ce que je découvre ce beau forum ^^. Mais sa a réellement fonctionné? Si oui, il faut vraiment faire toute cette démarche à la lettre? merci d'avance ^^

    Surtout que je suis pri avec environ 4 virus assez grave qui se manifestent à ces 4 endroits. À chaque fois, mon AntiVir les bloquent et il les effacent, mais ils réapparaissent à chaque fois, soit environ aux 5 minutes -_-.

    -gotgo.exe
    -Uptade.exe
    -installer.exe
    -888Bar.dll
    Lassé par la pub ? Créez un compte

    Créer un nouveau sujet

    Tom's guide dans le monde