Bonjour,
 
Voilà, j'ai deux processus nommés iexplore.exe actifs en permanence, et qui souvent (pas à tous les coups) prennent toutes les ressources CPU.
Or je n'utilise jamais IE, seulement Firefox. Si j'essaie d'arrêter les processus, ils reviennent automatiquement.
J'ai fait un scan en mode sans échec avec AdAware et Spybot mais ils sont toujours là.
D'après mes recherches dans ce forum et d'autres, il faudrait faire un rapport HiJackThis et le poster ici, c'est bien ça ?
 
Merci d'avance pour votre aide.

ui

poste ton rapport ya da

dark ki va te donner la solution

Voici mon rapport HiJackThis :
 
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:58:59, on 07/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\SCROLL~1\MouseElf.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATnotes\ATnotes.exe
C:\Programme\Messenger\msmsgs.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\PeerTV\VLC\vlc.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\pc-bib\pcbib_bi.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Downloads\HiJackThis\Scanner.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programme\Megaupload\Mega Manager\MegaIEMn.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\SCROLL~1\MouseElf.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [City Tray 16 Lies] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\grid grey city tray\Settings lite.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Programme\Unlocker\UnlockerAssistant.exe
O4 - HKLM\..\RunOnce: [srePostpone] rundll32.exe c:\windows\system32\zonelabs\srescan.dll,DoSpecialAction
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [32 Mpeg] C:\DOKUME~1\Astrid\ANWEND~1\SPAMBI~1\Idle noun hold.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Programme\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
 
--
End of file - 6833 bytes

Bonjour,
 
Je me permets de faire remonter le fil, qui était sur la troisième page.

Rebonjour,
 
Est-ce que quelqu'un pourrait m'indiquer comment me débarrasser de ces processus, s'il vous plaît ?
A moins qu'il faille que j'applique la procédure indiquée dans d'autres posts similaires au mien, mais j'ai lu dans les règles qu'il valait mieux poster son propre sujet .

Bonjour,
 
Est-ce quelqu'un a lu mon rapport HiJackThis et y voit quelque chose de bizarre ?
 
Merci

Bonjour
 
 
Il y a infection.
 
Télécharge LopxpMH sur ton Bureau.
http://www.alt-shift-return.org/In [...] pxpMH2.zip  
Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.  
Poste le contenu du rapport qui va s'ouvrir.

Bonjour chercheur_,
 
merci de ta réponse.
 
Voici mon rapport :
 
Rapport lopxpMH2 version 2.0 fait à 20:51:58,41 le 11/07/2007
C:\Dokumente und Einstellungen\Astrid\Desktop
 
******************************************
## Répertoires Application Data
 
 Volume in Laufwerk C: hat keine Bezeichnung. (= n'a pas de description)
 Volumeseriennummer: 500E-6BD5
 
 Verzeichnis (= Répertoire) von C:\Dokumente und Einstellungen\Administrator
 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 500E-6BD5
 
 Verzeichnis von C:\Dokumente und Einstellungen\All Users
 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 500E-6BD5
 
 Verzeichnis von C:\Dokumente und Einstellungen\Astrid\Application Data
 
05/02/2007  13:34    <DIR>          .
05/02/2007  13:34    <DIR>          ..
05/02/2007  13:34    <DIR>          Microsoft
               0 Datei(en)              0 Bytes
               3 Verzeichnis(se),  2 200 817 664 Bytes frei
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 500E-6BD5
 
 Verzeichnis von C:\Dokumente und Einstellungen\Default User
 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 500E-6BD5
 
 Verzeichnis von C:\Dokumente und Einstellungen\LocalService
 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 500E-6BD5
 
 Verzeichnis von C:\Dokumente und Einstellungen\NetworkService
 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 500E-6BD5
 
 Verzeichnis von C:\WINDOWS\system32\config\systemprofile
 
 
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
 
 
C:\WINDOWS\Tasks\AEAEA82D91C9232D.job  


Ý`ŽK²æI‡™–eœ…x€F Þ     <  
      s       "€!×           : c : \ d o k u m e ~ 1 \ a s t r i d \ a n w e n d ~ 1 \ s p a m b i ~ 1 \ B E E P   C O R N   S T U P I D . e x e        A s t r i d               
0   Ì
 
******************************************
## Répertoires de C:\Programme
 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 500E-6BD5
 
 Verzeichnis von C:\Programme
 
08/07/2007  11:40    <DIR>          .
08/07/2007  11:40    <DIR>          ..
21/02/2007  17:16    <DIR>          Ahead
04/02/2007  14:32    <DIR>          Alwil Software
07/07/2007  16:59    <DIR>          Ares
04/02/2007  13:09    <DIR>          ATI Technologies
28/02/2007  15:50    <DIR>          ATnotes
23/03/2007  00:07    <DIR>          Audacity
04/02/2007  14:15    <DIR>          Belkin
05/02/2007  13:37    <DIR>          BitTornado
07/07/2007  12:19    <DIR>          CCleaner
05/02/2007  14:05    <DIR>          FileZilla
06/04/2007  16:46         4 037 888 Foxit_Reader.exe
07/07/2007  17:17    <DIR>          Gemeinsame Dateien
05/02/2007  13:01    <DIR>          Gimp
13/06/2007  01:05    <DIR>          Internet Explorer
05/07/2007  00:40    <DIR>          Java
23/01/2004  13:47    <DIR>          Langenscheidt
04/02/2007  13:14    <DIR>          Lavalys
04/02/2007  14:30    <DIR>          Lavasoft
15/04/2007  17:46    <DIR>          Megaupload
06/02/2007  02:27    <DIR>          Messenger
04/02/2007  13:39    <DIR>          MessengerPlus! 3
04/02/2007  12:51    <DIR>          microsoft frontpage
04/02/2007  14:04    <DIR>          Microsoft Office
04/02/2007  12:48    <DIR>          Movie Maker
01/06/2007  00:29    <DIR>          Mozilla Firefox
24/06/2007  19:21    <DIR>          Mozilla Thunderbird
04/02/2007  12:46    <DIR>          MSN
08/07/2007  11:40    <DIR>          msn gaming zone
04/02/2007  13:38    <DIR>          MSN Messenger
08/07/2007  11:40    <DIR>          netmeeting
08/07/2007  11:40    <DIR>          outlook express
04/02/2007  13:40    <DIR>          PDFCreator
08/07/2007  14:55    <DIR>          PeerTV
07/07/2007  17:13    <DIR>          Pinball
09/02/2007  00:03    <DIR>          QuickTime
28/06/2007  22:46    <DIR>          Real
04/02/2007  13:09    <DIR>          ScrollMate Mouse
23/06/2007  13:59    <DIR>          Skype
05/07/2007  19:18    <DIR>          SpaceMonger
23/06/2007  11:23    <DIR>          Spybot - Search & Destroy
05/05/2007  11:24    <DIR>          TribalWeb
07/07/2007  17:11    <DIR>          Unlocker
04/02/2007  13:07    <DIR>          VIA Technologies, Inc
04/02/2007  13:45    <DIR>          VideoLAN
04/02/2007  13:41    <DIR>          VoipBuster.com
28/05/2007  21:19    <DIR>          Winamp
09/03/2007  13:35    <DIR>          Windows Media Connect 2
09/03/2007  13:35    <DIR>          Windows Media Player
08/07/2007  11:40    <DIR>          windows nt
04/02/2007  13:48    <DIR>          WinRAR
08/07/2007  11:40    <DIR>          xerox
07/07/2007  12:45    <DIR>          Zone Labs
               1 Datei(en)      4 037 888 Bytes
              53 Verzeichnis(se),  2 200 801 280 Bytes frei
 
 ******************************************
## Popups autorisées
 
* Internet Explorer
 
! REG.EXE VERSION 3.0
 
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    netbios-wait.com REG_SZ  
    www.netbios-wait.com REG_SZ  
    netsearchsoft.com REG_SZ  
    www.netsearchsoft.com REG_SZ  
 
* Mozilla Firefox (1 autorisé  2 interdit)
 
******************************************
## Registre
 
******************************************
## Zones de sécurité
 
* HKCU Domains (4)
 
* P3P History (5)
 
******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"
 
 
*************** Fin du rapport ****************

Re
 
 
Le rapport est bizarre, c'est probablement du à la langue.
 
 
Relance un scan HijackThis et coche les lignes ci-dessous :  
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157  
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime  
O4 - HKLM\..\Run: [City Tray 16 Lies] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\grid grey city tray\Settings lite.exe  
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe  
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot  
O4 - HKCU\..\Run: [32 Mpeg] C:\DOKUME~1\Astrid\ANWEND~1\SPAMBI~1\Idle noun hold.exe  
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE  
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000  
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll  
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll  
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)  
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)  
 
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »  
 
 
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.c [...] MoveIt.exe
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt aste List of Files/Folders to be moved.
 
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\grid grey city tray
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\SPAMBI~1
C:\WINDOWS\Tasks\AEAEA82D91C9232D.job  
 
Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
 
Il te sera peut-être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.
 
 
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles avec un nouveau Hijackthis.

En effet mon Windows est en allemand, j'aurais dû le préciser.
J'avais ajouté quelques notes en français ("Verzeichnis" = répertoire et "hat keine Bezeichnung" = n'a pas de description).
Je peux rajouter également : "Dokumente und Einstellungen" = Documents and Settings. Par contre j'ai l'impression qu'il a scanné le dossier Application Data, qui n'est sans doute pas très intéressant (il n'est même pas caché), car le vrai dossier Application Data s'appelle chez moi Anwendungsdaten (sa traduction allemande).
 
Au fait je n'utilise pas Internet Explorer (c'est pour cela que la présence des processus iexplore.exe me semblait bizarre), ni Outlook. Par contre j'ai une bonne nouvelle, ces processus semblent avoir disparu !
 
Voici le rapport OTMoveIt :
 
Folder cleanup  failed. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\grid grey city tray scheduled to be deleted on reboot.
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\SPAMBI~1 moved successfully.
C:\WINDOWS\Tasks\AEAEA82D91C9232D.job moved successfully.
 
Created on 07/11/2007 23:14:29
 
 
Et le rapport HiJackThis :
 
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:39:34, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\SCROLL~1\MouseElf.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\ATnotes\ATnotes.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\pc-bib\pcbib_bi.exe
C:\Downloads\HiJackThis\Scanner.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.seekgoofr.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programme\Megaupload\Mega Manager\MegaIEMn.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\SCROLL~1\MouseElf.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Programme\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
 
--
End of file - 4800 bytes

Ils ont disparu car les fichiers ont été supprimés
 
J'avais traduit Anwendungsdaten = Application Data car c'est la localisation classique de cette infection.
 
 
Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Clique sur Démarrer Online Scanner.
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.

Rapport Kaspersky :
 
-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Thursday, July 12, 2007 7:57:29 AM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.83.0
 Dernière mise à jour de la base antivirus Kaspersky : 12/07/2007
 Enregistrements dans la base antivirus Kaspersky : 339066
-------------------------------------------------------------------------------
 
Paramètres d'analyse:
 Analyser avec la base antivirus suivante: standard
 Analyser les archives: vrai
 Analyser les bases de messagerie: vrai
 
Cible de l'analyse - Poste de travail:
 C:\
 D:\
 E:\
 
Statistiques de l'analyse:
 Total d'objets analysés: 41230
 Nombre de virus trouvés: 1
 Nombre d'objets infectés: 4 / 0
 Nombre d'objets suspects: 0
 Durée de l'analyse: 01:47:02
 
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\grid grey city tray\Settings lite.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Mozilla\Firefox\Profiles\jdytiw1g.default\cert8.db L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Mozilla\Firefox\Profiles\jdytiw1g.default\formhistory.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Mozilla\Firefox\Profiles\jdytiw1g.default\history.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Mozilla\Firefox\Profiles\jdytiw1g.default\key3.db L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Mozilla\Firefox\Profiles\jdytiw1g.default\parent.lock L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Mozilla\Firefox\Profiles\jdytiw1g.default\search.sqlite L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Mozilla\Firefox\Profiles\jdytiw1g.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Thunderbird\Profiles\z60k9w4s.default\abook.mab L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Thunderbird\Profiles\z60k9w4s.default\cert8.db L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Thunderbird\Profiles\z60k9w4s.default\key3.db L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Thunderbird\Profiles\z60k9w4s.default\Mail\mail.mytum.de\Inbox.msf L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Thunderbird\Profiles\z60k9w4s.default\Mail\pop.gmail.com\Drafts.msf L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Thunderbird\Profiles\z60k9w4s.default\Mail\pop.gmail.com\Inbox.msf L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Thunderbird\Profiles\z60k9w4s.default\Mail\pop.mail.yahoo-1.fr\Inbox.msf L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Thunderbird\Profiles\z60k9w4s.default\Mail\pop.student.ecp.fr\filterlog.html L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Anwendungsdaten\Thunderbird\Profiles\z60k9w4s.default\Mail\pop.student.ecp.fr\Inbox.msf L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Cookies\index.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Lokale Einstellungen\Temp\~DFC1E4.tmp L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\Lokale Einstellungen\Verlauf\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\NTUSER.DAT L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\Astrid\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwen