Bonjour à tous,

Voilà, le PC redemarre (des fois 3 fois en 5 mns), je ne sais pas à l'heure actuelle s'il s'agit d'une attaque virale ... j'ai quand même fait une analyse HIJACKTHIS dont voici le contenu :
--------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 09:13:57, on 12/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\Logs_Antivirus\HIJACKTHIS\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [jaddes] c:\windows\system32\jaddes.exe jaddes
O4 - HKLM\..\Run: [qbykisq] c:\windows\system32\qbykisq.exe qbykisq
O4 - HKLM\..\Run: [pzngmb] c:\windows\system32\pzngmb.exe pzngmb
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [dqegth] c:\windows\system32\dqegth.exe dqegth
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 5294 bytes
--------------------------------------------------------------
Merci à ceux qui pourront m'aider

Bonjour , c'est un autre PC ?

Tu es en effet infecté

Telecharge Navilog1 <~ Clique ici

enregistre le sur ton Bureau
double clic sur Navilog1.exe ( le .exe peut ne pas apparaitre )
Il s’éxécutera automatiquement
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)
suis les invites et choisis l'option 1 puis valide

n'utilise pas les options 2,3 ou 4
attend jusqu'a " analyse terminé le ........... "
appuie sur une touche comme demandé

Copie / Coller le rapport généré ( C:\fixnavi.txt ) dans ta réponse

Hello Eric71,

de Marseille, je suis passé à Toulouse, et en arrivant, elle me dit que son PC deconne sans cesse ... HAAAAAAAAAA, le cauchemar ... mais comme elle bosse avec et qu'elle n'y connait pas grand chose, je tente de l'aider.

Pour te résumer, j'ai fait un scan spybot et un ad-aware et j'ai viré tout les fichiers infectés.

Je t'envoie de suite le Log Navilog1

Rapport Navilog
--------------------------------------------------------------
Search Navipromo version 2.0.5 commencé le 12/07/2007 à 13:59:16,90

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***


MessengerSkinner


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\MessengerSkinner trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight [...] _help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/12/07 at 13:59:19.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ........................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/12/07 at 14:03:10 (return code = 0).


*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-436374069-57989841-839522115-500\Software\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
C:\WINDOWS\system32\dqegth.dat trouvé !
C:\WINDOWS\system32\jaddes.dat trouvé !
C:\WINDOWS\system32\pzngmb.dat trouvé !
C:\WINDOWS\system32\rmploknjmh.dat trouvé !
C:\WINDOWS\system32\rqtdkn.dat trouvé !
**
C:\WINDOWS\system32\dqegth.dat trouvé !
C:\WINDOWS\system32\ggttljgij.dat trouvé !
C:\WINDOWS\system32\jaddes.dat trouvé !
C:\WINDOWS\system32\pwijfurbsh.dat trouvé !
C:\WINDOWS\system32\pzngmb.dat trouvé !
C:\WINDOWS\system32\qbykisq.dat trouvé !
C:\WINDOWS\system32\qubvsgp.dat trouvé !
C:\WINDOWS\system32\rmploknjmh.dat trouvé !
C:\WINDOWS\system32\rqtdkn.dat trouvé !
C:\WINDOWS\system32\ryjbetlnob.dat trouvé !
C:\WINDOWS\system32\sjxgtgqe.dat trouvé !
C:\WINDOWS\system32\vevlhlfful.dat trouvé !
***
****
C:\WINDOWS\system32\jaddes_navps.dat trouvé !
C:\WINDOWS\system32\pzngmb_navps.dat trouvé !
C:\WINDOWS\system32\rmploknjmh_navps.dat trouvé !
C:\WINDOWS\system32\rqtdkn_navps.dat trouvé !
*****
C:\WINDOWS\system32\dqegth_nav.dat trouvé !
C:\WINDOWS\system32\jaddes_nav.dat trouvé !
C:\WINDOWS\system32\pzngmb_nav.dat trouvé !
C:\WINDOWS\system32\rmploknjmh_nav.dat trouvé !
C:\WINDOWS\system32\rqtdkn_nav.dat trouvé !
******
*******
C:\WINDOWS\system32\dxghoeank.exe trouvé !
********
C:\WINDOWS\system32\azvhohr.exe trouvé !
C:\WINDOWS\system32\broruud.exe trouvé !
C:\WINDOWS\system32\ccfcdka.exe trouvé !
C:\WINDOWS\system32\dxghoeank.exe trouvé !
C:\WINDOWS\system32\dzphbwx.exe trouvé !
C:\WINDOWS\system32\eeblyrd.exe trouvé !
C:\WINDOWS\system32\ehfksf.exe trouvé !
C:\WINDOWS\system32\eqsmah.exe trouvé !
C:\WINDOWS\system32\fklbgcp.exe trouvé !
C:\WINDOWS\system32\gfojpkw.exe trouvé !
C:\WINDOWS\system32\gfwrycrmx.exe trouvé !
C:\WINDOWS\system32\hrmhuo.exe trouvé !
C:\WINDOWS\system32\igbkzalsvn.exe trouvé !
C:\WINDOWS\system32\jssybb.exe trouvé !
C:\WINDOWS\system32\juvlhmsxof.exe trouvé !
C:\WINDOWS\system32\kdvmzh.exe trouvé !
C:\WINDOWS\system32\lqqqtbflt.exe trouvé !
C:\WINDOWS\system32\mzwcgube.exe trouvé !
C:\WINDOWS\system32\ofnoorlgq.exe trouvé !
C:\WINDOWS\system32\qvwzxphq.exe trouvé !
C:\WINDOWS\system32\ralxiz.exe trouvé !
C:\WINDOWS\system32\toyacqz.exe trouvé !
C:\WINDOWS\system32\umldenza.exe trouvé !
C:\WINDOWS\system32\upgfvj.exe trouvé !
C:\WINDOWS\system32\vrabek.exe trouvé !
C:\WINDOWS\system32\wiqykh.exe trouvé !
C:\WINDOWS\system32\xbinii.exe trouvé !
C:\WINDOWS\system32\xztftys.exe trouvé !
C:\WINDOWS\system32\ytlyoluk.exe trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 12/07/2007 à 14:03:25,01 ***

T'es serieusement infecté , on attaque

Double clique sur le raccourci Navilog1
Choisis cette fois ci l'option 2 et valide
Il va t’informer qu’il va Redémarrer l’ordinateur

Ferme toutes les fenêtres !
si tu as des documents personnels ouverts , Enregistre les !

Appuie sur une touche comme demandé
( s’il ne redémarre pas automatiquement , redémarre manuellement )

attend jusqu'à ce message :
" Nettoyage Terminé le ..... "

Sauvegarde le rapport sur ton Bureau
ton bureau va réapparaître
( si ce n’est pas le cas , appuie sur Ctrl+Alt+Suppr , dans l’onglet Processus , clique sur Fichier , choisis Executer et tape explorer puis valide )

Ferme Internet Explorer puis Démarrer / Panneau de Configuration / Options Internet / Choisis l'onglet Contenu puis onglet Certificats

si tu trouves ceci ( en particulier dans Editeurs approuvés ) supprime-les :

poste le rapport sauvegardé ( C:\cleannavi.txt )
et un nouveau rapport Hijackthis

rapport cleannavy.txt :
--------------------------------------------------------------
Clean Navipromo version 2.0.5 commencé le 12/07/2007 à 20:02:41,17

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight



*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)


*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner ...suppression...
C:\Program Files\MessengerSkinner supprimé !


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***

...\Application Data\MessengerSkinner ...suppression...
...\Application Data\MessengerSkinner supprimé !



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !


*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

*
C:\WINDOWS\System32\dqegth.dat trouvé !
Copie C:\WINDOWS\system32\dqegth.dat réalise avec succes !
C:\WINDOWS\system32\dqegth.dat supprimé !

C:\WINDOWS\System32\jaddes.dat trouvé !
Copie C:\WINDOWS\system32\jaddes.dat réalise avec succes !
C:\WINDOWS\system32\jaddes.dat supprimé !

C:\WINDOWS\System32\pzngmb.dat trouvé !
Copie C:\WINDOWS\system32\pzngmb.dat réalise avec succes !
C:\WINDOWS\system32\pzngmb.dat supprimé !

C:\WINDOWS\System32\rmploknjmh.dat trouvé !
Copie C:\WINDOWS\system32\rmploknjmh.dat réalise avec succes !
C:\WINDOWS\system32\rmploknjmh.dat supprimé !

C:\WINDOWS\System32\rqtdkn.dat trouvé !
Copie C:\WINDOWS\system32\rqtdkn.dat réalise avec succes !
C:\WINDOWS\system32\rqtdkn.dat supprimé !

**
C:\WINDOWS\System32\ggttljgij.dat trouvé !
Copie C:\WINDOWS\system32\ggttljgij.dat réalise avec succes !
C:\WINDOWS\system32\ggttljgij.dat supprimé !

C:\WINDOWS\System32\pwijfurbsh.dat trouvé !
Copie C:\WINDOWS\system32\pwijfurbsh.dat réalise avec succes !
C:\WINDOWS\system32\pwijfurbsh.dat supprimé !

C:\WINDOWS\System32\qbykisq.dat trouvé !
Copie C:\WINDOWS\system32\qbykisq.dat réalise avec succes !
C:\WINDOWS\system32\qbykisq.dat supprimé !

C:\WINDOWS\System32\qubvsgp.dat trouvé !
Copie C:\WINDOWS\system32\qubvsgp.dat réalise avec succes !
C:\WINDOWS\system32\qubvsgp.dat supprimé !

C:\WINDOWS\System32\ryjbetlnob.dat trouvé !
Copie C:\WINDOWS\system32\ryjbetlnob.dat réalise avec succes !
C:\WINDOWS\system32\ryjbetlnob.dat supprimé !

C:\WINDOWS\System32\sjxgtgqe.dat trouvé !
Copie C:\WINDOWS\system32\sjxgtgqe.dat réalise avec succes !
C:\WINDOWS\system32\sjxgtgqe.dat supprimé !

C:\WINDOWS\System32\vevlhlfful.dat trouvé !
Copie C:\WINDOWS\system32\vevlhlfful.dat réalise avec succes !
C:\WINDOWS\system32\vevlhlfful.dat supprimé !

***
****
C:\WINDOWS\System32\jaddes_navps.dat trouvé !
Copie C:\WINDOWS\system32\jaddes_navps.dat réalise avec succes !
C:\WINDOWS\system32\jaddes_navps.dat supprimé !

C:\WINDOWS\System32\pzngmb_navps.dat trouvé !
Copie C:\WINDOWS\system32\pzngmb_navps.dat réalise avec succes !
C:\WINDOWS\system32\pzngmb_navps.dat supprimé !

C:\WINDOWS\System32\rmploknjmh_navps.dat trouvé !
Copie C:\WINDOWS\system32\rmploknjmh_navps.dat réalise avec succes !
C:\WINDOWS\system32\rmploknjmh_navps.dat supprimé !

C:\WINDOWS\System32\rqtdkn_navps.dat trouvé !
Copie C:\WINDOWS\system32\rqtdkn_navps.dat réalise avec succes !
C:\WINDOWS\system32\rqtdkn_navps.dat supprimé !

*****
C:\WINDOWS\System32\dqegth_nav.dat trouvé !
Copie C:\WINDOWS\system32\dqegth_nav.dat réalise avec succes !
C:\WINDOWS\system32\dqegth_nav.dat supprimé !

C:\WINDOWS\System32\jaddes_nav.dat trouvé !
Copie C:\WINDOWS\system32\jaddes_nav.dat réalise avec succes !
C:\WINDOWS\system32\jaddes_nav.dat supprimé !

C:\WINDOWS\System32\pzngmb_nav.dat trouvé !
Copie C:\WINDOWS\system32\pzngmb_nav.dat réalise avec succes !
C:\WINDOWS\system32\pzngmb_nav.dat supprimé !

C:\WINDOWS\System32\rmploknjmh_nav.dat trouvé !
Copie C:\WINDOWS\system32\rmploknjmh_nav.dat réalise avec succes !
C:\WINDOWS\system32\rmploknjmh_nav.dat supprimé !

C:\WINDOWS\System32\rqtdkn_nav.dat trouvé !
Copie C:\WINDOWS\system32\rqtdkn_nav.dat réalise avec succes !
C:\WINDOWS\system32\rqtdkn_nav.dat supprimé !

******
*******
C:\WINDOWS\System32\dxghoeank.exe trouvé !
Copie C:\WINDOWS\system32\dxghoeank.exe réalise avec succes !
C:\WINDOWS\system32\dxghoeank.exe supprimé !

********
C:\WINDOWS\System32\azvhohr.exe trouvé !
Copie C:\WINDOWS\system32\azvhohr.exe réalise avec succes !
C:\WINDOWS\system32\azvhohr.exe supprimé !

C:\WINDOWS\System32\broruud.exe trouvé !
Copie C:\WINDOWS\system32\broruud.exe réalise avec succes !
C:\WINDOWS\system32\broruud.exe supprimé !

C:\WINDOWS\System32\ccfcdka.exe trouvé !
Copie C:\WINDOWS\system32\ccfcdka.exe réalise avec succes !
C:\WINDOWS\system32\ccfcdka.exe supprimé !

C:\WINDOWS\System32\dzphbwx.exe trouvé !
Copie C:\WINDOWS\system32\dzphbwx.exe réalise avec succes !
C:\WINDOWS\system32\dzphbwx.exe supprimé !

C:\WINDOWS\System32\eeblyrd.exe trouvé !
Copie C:\WINDOWS\system32\eeblyrd.exe réalise avec succes !
C:\WINDOWS\system32\eeblyrd.exe supprimé !

C:\WINDOWS\System32\ehfksf.exe trouvé !
Copie C:\WINDOWS\system32\ehfksf.exe réalise avec succes !
C:\WINDOWS\system32\ehfksf.exe supprimé !

C:\WINDOWS\System32\eqsmah.exe trouvé !
Copie C:\WINDOWS\system32\eqsmah.exe réalise avec succes !
C:\WINDOWS\system32\eqsmah.exe supprimé !

C:\WINDOWS\System32\fklbgcp.exe trouvé !
Copie C:\WINDOWS\system32\fklbgcp.exe réalise avec succes !
C:\WINDOWS\system32\fklbgcp.exe supprimé !

C:\WINDOWS\System32\gfojpkw.exe trouvé !
Copie C:\WINDOWS\system32\gfojpkw.exe réalise avec succes !
C:\WINDOWS\system32\gfojpkw.exe supprimé !

C:\WINDOWS\System32\gfwrycrmx.exe trouvé !
Copie C:\WINDOWS\system32\gfwrycrmx.exe réalise avec succes !
C:\WINDOWS\system32\gfwrycrmx.exe supprimé !

C:\WINDOWS\System32\hrmhuo.exe trouvé !
Copie C:\WINDOWS\system32\hrmhuo.exe réalise avec succes !
C:\WINDOWS\system32\hrmhuo.exe supprimé !

C:\WINDOWS\System32\igbkzalsvn.exe trouvé !
Copie C:\WINDOWS\system32\igbkzalsvn.exe réalise avec succes !
C:\WINDOWS\system32\igbkzalsvn.exe supprimé !

C:\WINDOWS\System32\jssybb.exe trouvé !
Copie C:\WINDOWS\system32\jssybb.exe réalise avec succes !
C:\WINDOWS\system32\jssybb.exe supprimé !

C:\WINDOWS\System32\juvlhmsxof.exe trouvé !
Copie C:\WINDOWS\system32\juvlhmsxof.exe réalise avec succes !
C:\WINDOWS\system32\juvlhmsxof.exe supprimé !

C:\WINDOWS\System32\kdvmzh.exe trouvé !
Copie C:\WINDOWS\system32\kdvmzh.exe réalise avec succes !
C:\WINDOWS\system32\kdvmzh.exe supprimé !

C:\WINDOWS\System32\lqqqtbflt.exe trouvé !
Copie C:\WINDOWS\system32\lqqqtbflt.exe réalise avec succes !
C:\WINDOWS\system32\lqqqtbflt.exe supprimé !

C:\WINDOWS\System32\mzwcgube.exe trouvé !
Copie C:\WINDOWS\system32\mzwcgube.exe réalise avec succes !
C:\WINDOWS\system32\mzwcgube.exe supprimé !

C:\WINDOWS\System32\ofnoorlgq.exe trouvé !
Copie C:\WINDOWS\system32\ofnoorlgq.exe réalise avec succes !
C:\WINDOWS\system32\ofnoorlgq.exe supprimé !

C:\WINDOWS\System32\qvwzxphq.exe trouvé !
Copie C:\WINDOWS\system32\qvwzxphq.exe réalise avec succes !
C:\WINDOWS\system32\qvwzxphq.exe supprimé !

C:\WINDOWS\System32\ralxiz.exe trouvé !
Copie C:\WINDOWS\system32\ralxiz.exe réalise avec succes !
C:\WINDOWS\system32\ralxiz.exe supprimé !

C:\WINDOWS\System32\toyacqz.exe trouvé !
Copie C:\WINDOWS\system32\toyacqz.exe réalise avec succes !
C:\WINDOWS\system32\toyacqz.exe supprimé !

C:\WINDOWS\System32\umldenza.exe trouvé !
Copie C:\WINDOWS\system32\umldenza.exe réalise avec succes !
C:\WINDOWS\system32\umldenza.exe supprimé !

C:\WINDOWS\System32\upgfvj.exe trouvé !
Copie C:\WINDOWS\system32\upgfvj.exe réalise avec succes !
C:\WINDOWS\system32\upgfvj.exe supprimé !

C:\WINDOWS\System32\vrabek.exe trouvé !
Copie C:\WINDOWS\system32\vrabek.exe réalise avec succes !
C:\WINDOWS\system32\vrabek.exe supprimé !

C:\WINDOWS\System32\wiqykh.exe trouvé !
Copie C:\WINDOWS\system32\wiqykh.exe réalise avec succes !
C:\WINDOWS\system32\wiqykh.exe supprimé !

C:\WINDOWS\System32\xbinii.exe trouvé !
Copie C:\WINDOWS\system32\xbinii.exe réalise avec succes !
C:\WINDOWS\system32\xbinii.exe supprimé !

C:\WINDOWS\System32\xztftys.exe trouvé !
Copie C:\WINDOWS\system32\xztftys.exe réalise avec succes !
C:\WINDOWS\system32\xztftys.exe supprimé !

C:\WINDOWS\System32\ytlyoluk.exe trouvé !
Copie C:\WINDOWS\system32\ytlyoluk.exe réalise avec succes !
C:\WINDOWS\system32\ytlyoluk.exe supprimé !


3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !

*** Nettoyage termine le 12/07/2007 à 20:08:05,45 ***

--------------------------------------------------------------
Rapport hijackthis
--------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:14:25, on 12/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\lxcfcoms.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\Logs_Antivirus\HIJACKTHIS\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [jaddes] c:\windows\system32\jaddes.exe jaddes
O4 - HKLM\..\Run: [qbykisq] c:\windows\system32\qbykisq.exe qbykisq
O4 - HKLM\..\Run: [pzngmb] c:\windows\system32\pzngmb.exe pzngmb
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [dqegth] c:\windows\system32\dqegth.exe dqegth
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 5637 bytes
--------------------------------------------------------------
Il n'y a rien dans l'onglet "éditeurs approuvés"

Le PC doit être nettement plus rapide maintenant

Normal , Navilog l'a supprimé , c'est au cas ou ....

Relance Hijackthis clique cette fois sur do a system scan only
coche dans les cases à gauche les lignes suivantes ( et uniquement celles-ci ) :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [jaddes] c:\windows\system32\jaddes.exe jaddes
O4 - HKLM\..\Run: [qbykisq] c:\windows\system32\qbykisq.exe qbykisq
O4 - HKLM\..\Run: [pzngmb] c:\windows\system32\pzngmb.exe pzngmb
O4 - HKLM\..\Run: [dqegth] c:\windows\system32\dqegth.exe dqegth


et clique sur Fix checked ( en bas à gauche )

-------------------------------------------

Télécharge clean <~ Clique ici

décompresse-le sur ton bureau ( extraire tous les fichiers) , tu obtient un dossier clean

Ouvre le dossier clean, double-clique sur clean.cmd ( le .cmd peut ne pas apparaitre )

choisis l'option 1 puis patiente

un rapport est généré , poste ce rapport

Voici le rapport "Clean.txt" :
--------------------------------------------------------------
12/07/2007 a 20:40:13,81

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
--------------------------------------------------------------
effectivement le systeme semble beaucoup moins instable et plus rapide

Télécharge puis installe AVG Anti-Spyware <~ Clique ici

Fais les mises à jour mais ne lance pas de scan tout de suite

Redémarre en mode sans échec ( démarrer / redémarrer / tapotte sur F8 jusqu'a l'apparition du menu / monte avec les fleches sur mode sans echec / choisis ta session )

Relance AVG

Choisis l'onglet Analyse , puis l'onglet Paramètres
Sous la question Comment réagir ? clique sur Actions recommandées et choisis Quarantaine
Reclique sur l'onglet Analyse puis fais Analyse complète du système

a la fin de l'analyse ,si un fichier est infecté clique sur Appliquer toutes les actions

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous ( enregistre sur ton Bureau )

Redémarre normalement

Poste le rapport AVG
et un rapport Hijackthis