win32:Adware-gen.[adw]

Bonjour,

Tout tes pcs sont infectés où quoi  

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Redémarre en mode sans échec

Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.

Merci pour ton aide.

Voici le rapport de Sdfix:

SDFix: Version 1.104

Run by lamotte lauwers on 15/09/2007 at 13:36

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
DomainService

ImagePath:
C:\WINDOWS\System32\xibkqueu.exe /service

DomainService - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\Downloaded Program Files\UDC6V_0001_D19M0709NetInstaller.exe - Deleted
C:\WINDOWS\Downloaded Program Files\USDR6V_0001_N19M2604NetInstaller.exe - Deleted
C:\WINDOWS\Downloaded Program Files\UWA7PV_0001_N96M0206NetInstaller.exe - Deleted
C:\WINDOWS\system32\lssas.exe - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\System32\\xibkqueu.exe"="C:\\WINDOWS\\System32\\xib"

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\WINDOWS\system32\mlaabjs.exe
C:\WINDOWS\system32\pjgcmz.exe
C:\WINDOWS\system32\upgm.exe
C:\WINDOWS\system32\acbeg.tmp
C:\WINDOWS\system32\wybeg.tmp

Finished!

et le nouveau log hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 13:55:41, on 15/09/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\logiciels\avast\aswUpdSv.exe
D:\logiciels\avast\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\logiciels\avast\ashMaiSv.exe
D:\logiciels\avast\ashWebSv.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
D:\LOGICI~1\avast\ashDisp.exe
C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\logiciels\rocket dock\RocketDock.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\lamotte lauwers\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] D:\LOGICI~1\avast\ashDisp.exe
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\WinAntiVirus Pro 2007\mav_startupmon.exe"
O4 - HKLM\..\Run: [SDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RocketDock] "D:\logiciels\rocket dock\RocketDock.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_fr...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/fl...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\logiciels\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\logiciels\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\logiciels\avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\logiciels\avast\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

un second virus vient d'être trouvé par avast son nom: *
Win32 etnat [Wrm]

et m^me un 3ème: Win32:SdBot-4142 [Trj]
Oo !!

On va continuer  

Télécharge Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.

&

Désinstalle correctement Avast! pour le remplacer par Antivir.
Pourquoi changer ? Avast! vs Antivir

voila le rapport de clean:
15/09/2007 a 14:14:32,23

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\stera.job FOUND
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND
"C:\WINDOWS\Downloaded Program Files\CONFLICT.2" FOUND
"C:\WINDOWS\Downloaded Program Files\CONFLICT.3" FOUND
"C:\WINDOWS\Downloaded Program Files\CONFLICT.4" FOUND
"C:\Documents and Settings\lamotte lauwers\Application Data\DriveCleaner Free\" FOUND

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\Fichiers communs\DriveCleaner Free\" FOUND
"C:\Program Files\Fichiers communs\WinAntivirus Pro 2007\" FOUND
*** Fin du rapport !

antivir est en cours d'installation

hum c'est mauvais maintenant j'ai un arrêt du système fréquent qui arrive

Tu es très infecté aussi...

Télécharge combofix.exe (par sUBs) sur ton Bureau.

Double clique combofix.exe.

Tape sur la touche 1 (Yes) pour démarrer le scan.

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

ComboFix 07-09-14.2 - "lamotte lauwers" 2007-09-15 15:07:11.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.346 [GMT 2:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOCUME~1\ALLUSE~1\APPLIC~1.\salesmonitor
C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinAntiVirus Pro 2007
C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinAntiVirus Pro 2007\Data\Abbr
C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinAntiVirus Pro 2007\Data\ActivationCode
C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinAntiVirus Pro 2007\Data\ProductCode
C:\DOCUME~1\CLMENT~1\err.log
C:\DOCUME~1\CLMENT~1\ResErrors.log
C:\DOCUME~1\LAMOTT~1\APPLIC~1\DriveCleaner Free
C:\DOCUME~1\LAMOTT~1\APPLIC~1\DriveCleaner Free\Logs\update.log
C:\DOCUME~1\LAMOTT~1\APPLIC~1\WinAntiVirus Pro 2007
C:\DOCUME~1\LAMOTT~1\APPLIC~1\WinAntiVirus Pro 2007\avtasks.dat
C:\DOCUME~1\LAMOTT~1\APPLIC~1\WinAntiVirus Pro 2007\CookieList.dat
C:\DOCUME~1\LAMOTT~1\APPLIC~1\WinAntiVirus Pro 2007\history.db
C:\DOCUME~1\LAMOTT~1\APPLIC~1\WinAntiVirus Pro 2007\Logs\update.log
C:\DOCUME~1\LAMOTT~1\APPLIC~1\WinAntiVirus Pro 2007\Logs\wa7Support.log
C:\DOCUME~1\LAMOTT~1\APPLIC~1\WinAntiVirus Pro 2007\Logs\winav.log
C:\DOCUME~1\LAMOTT~1\APPLIC~1\WinAntiVirus Pro 2007\PGE.dat
C:\DOCUME~1\LAMOTT~1\err.log
C:\DOCUME~1\LAMOTT~1\ResErrors.log
C:\Program Files\Fichiers communs\drivecleaner free
C:\Program Files\Fichiers communs\drivecleaner free\udcsdr.exe
C:\Program Files\Fichiers communs\winantivirus pro 2007
C:\Program Files\Fichiers communs\winantivirus pro 2007\err.log
C:\Program Files\Fichiers communs\WinAntiVirus Pro 2007\err.log
C:\Program Files\Fichiers communs\WinAntiVirus Pro 2007\mfc71.dll
C:\Program Files\Fichiers communs\winantivirus pro 2007\mfc71.dll
C:\Program Files\Fichiers communs\winantivirus pro 2007\msvcp71.dll
C:\Program Files\Fichiers communs\WinAntiVirus Pro 2007\msvcp71.dll
C:\Program Files\Fichiers communs\WinAntiVirus Pro 2007\msvcr71.dll
C:\Program Files\Fichiers communs\winantivirus pro 2007\msvcr71.dll
C:\WINDOWS\system32\acbeg.bak1
C:\WINDOWS\system32\acbeg.bak2
C:\WINDOWS\system32\acbeg.ini
C:\WINDOWS\system32\acbeg.ini2
C:\WINDOWS\system32\acbeg.tmp
C:\WINDOWS\system32\cbxuvww.dll
C:\WINDOWS\system32\cbxvvvs.dll
C:\WINDOWS\system32\ddcaayx.dll
C:\WINDOWS\system32\efcdbyx.dll
C:\WINDOWS\system32\efcdeby.dll
C:\WINDOWS\system32\gebbyvw.dll
C:\WINDOWS\system32\gnxixsvn.exe
C:\WINDOWS\system32\hgggday.dll
C:\WINDOWS\system32\iiffefc.dll
C:\WINDOWS\system32\isass.exe
C:\WINDOWS\system32\jkkjghe.dll
C:\WINDOWS\system32\khfddcb.dll
C:\WINDOWS\system32\mljhgdd.dll
C:\WINDOWS\system32\mlnmp.bak1
C:\WINDOWS\system32\mlnmp.bak2
C:\WINDOWS\system32\mlnmp.ini
C:\WINDOWS\system32\nnnmllm.dll
C:\WINDOWS\system32\opnnmjh.dll
C:\WINDOWS\system32\phvdmsvg.exe
C:\WINDOWS\system32\pmnlm.dll
C:\WINDOWS\system32\ssqnnkl.dll
C:\WINDOWS\system32\ssqnnoo.dll
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\stera.log
C:\WINDOWS\system32\tuvttqo.dll
C:\WINDOWS\system32\wybeg.bak1
C:\WINDOWS\system32\wybeg.bak2
C:\WINDOWS\system32\wybeg.ini
C:\WINDOWS\system32\wybeg.ini2
C:\WINDOWS\system32\wybeg.tmp
C:\WINDOWS\system32\xibkqueu.exe
C:\WINDOWS\system32\xxyaaxw.dll
C:\WINDOWS\system32\xxyyvst.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_FOPN


((((((((((((((((((((((((((((( Fichiers créés 2007-08-15 to 2007-09-15 ))))))))))))))))))))))))))))))))))))
.

2007-09-15 15:06 55,004 --ah----- C:\WINDOWS\system32\xlfq.exe
2007-09-15 15:06 24,960 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-09-15 15:06 24,960 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-09-15 15:06 19,456 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2007-09-15 15:06 19,456 --a------ C:\WINDOWS\system32\hidserv.dll
2007-09-15 15:06 14,080 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2007-09-15 15:06 14,080 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2007-09-15 14:56 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-15 14:20 134,144 -ra------ C:\WINDOWS\system32\mssmpp.exe
2007-09-15 13:58 <REP> d-------- C:\protection !
2007-09-15 13:36 <REP> d-------- C:\WINDOWS\ERUNT
2007-09-15 12:49 <REP> d-------- C:\!KillBox
2007-09-15 11:44 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-09-15 11:44 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-09-15 11:44 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-09-15 11:44 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-09-15 11:40 1,720 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-31 21:03 <REP> d--hs---- C:\WA7PV
2007-08-30 10:10 53,261 --a------ C:\WINDOWS\fender.exe
2007-08-17 19:04 <REP> d---s---- C:\DOCUME~1\CLMENT~1\UserData

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-07-20 23:02 --------- d-------- C:\DOCUME~1\LAMOTT~1\APPLIC~1\vlc
2007-07-07 14:03 16384 --a------ C:\WINDOWS\fddi.exe
2007-06-30 14:22 16384 --a------ C:\WINDOWS\sr.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5F3B3B15-47D1-41C4-83BE-82CE9F2D72CC}]
C:\WINDOWS\System32\gebca.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D38D1681-2A43-4696-A4C0-EBE5BCB436D4}]
C:\WINDOWS\System32\gebyw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-02-10 09:59 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 12:22]
"nwiz"="nwiz.exe" [2006-10-22 12:22 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-10-22 12:22]
"Microsft Security Monitor Process"="mssmpp.exe" [2007-09-15 14:20 C:\WINDOWS\system32\mssmpp.exe]
"Windows Explorer"="C:\WINDOWS\System32\explorer.exe" []
"Local Security Authority Service"="C:\WINDOWS\System32\Isass.exe" []
"Spooler SubSystem App"="C:\WINDOWS\System32\spoolsvc.exe" []
"Application Layer Gateway Service"="C:\WINDOWS\System32\algs.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14]
"RocketDock"="D:\logiciels\rocket dock\RocketDock.exe" [2007-03-19 00:05]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microsft Security Monitor Process"=mssmpp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebca]
C:\WINDOWS\System32\gebca.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebyw]
C:\WINDOWS\System32\gebyw.dll

S3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS

.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-15 15:10:08
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-15 15:10:33 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-15 15:10
.
--- E O F ---

Re,

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :



Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier ComboFix-Do.txt dans Combofix.exe comme ci-dessous :


Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
[#ff0000]NOTE : S'il n'y a pas de rédémarrage, poste quand même les rapports demandés.[/#f]

ComboFix 07-09-14.2 - "lamotte lauwers" 2007-09-15 15:44:59.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.33.1036.18.344 [GMT 2:00]
Command switches used :: C:\Documents and Settings\lamotte lauwers\Bureau\CFScript.txt
* Created a new restore point

FILE::
C:\WINDOWS\system32\xlfq.exe
C:\WINDOWS\system32\mssmpp.exe
C:\WINDOWS\sr.exe
C:\WINDOWS\System32\gebca.dll
C:\WINDOWS\System32\gebyw.dll
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\algs.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\sr.exe
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\system32\mssmpp.exe
C:\WINDOWS\system32\xlfq.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-15 to 2007-09-15 ))))))))))))))))))))))))))))))))))))
.

2007-09-15 15:45 52,749 --a------ C:\WINDOWS\911.exe
2007-09-15 15:45 43,542 --a------ C:\WINDOWS\system32\wvuvwwx.dll
2007-09-15 15:11 69,860 --ah----- C:\WINDOWS\system32\gxsm.exe
2007-09-15 15:06 24,960 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-09-15 15:06 24,960 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-09-15 15:06 19,456 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2007-09-15 15:06 19,456 --a------ C:\WINDOWS\system32\hidserv.dll
2007-09-15 15:06 14,080 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2007-09-15 15:06 14,080 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2007-09-15 14:56 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-15 13:58 <REP> d-------- C:\protection !
2007-09-15 13:36 <REP> d-------- C:\WINDOWS\ERUNT
2007-09-15 12:49 <REP> d-------- C:\!KillBox
2007-09-15 11:44 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-09-15 11:44 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-09-15 11:44 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-09-15 11:44 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-09-15 11:40 1,720 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-31 21:03 <REP> d--hs---- C:\WA7PV
2007-08-30 10:10 53,261 --a------ C:\WINDOWS\fender.exe
2007-08-17 19:04 <REP> d---s---- C:\DOCUME~1\CLMENT~1\UserData

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-07-20 23:02 --------- d-------- C:\DOCUME~1\LAMOTT~1\APPLIC~1\vlc
2007-07-07 14:03 16384 --a------ C:\WINDOWS\fddi.exe
2007-06-24 17:46 6504 --ah----- C:\WINDOWS\system32\pjgcmz.exe
2007-06-24 17:45 48864 --ah----- C:\WINDOWS\system32\upgm.exe
2007-06-24 17:45 13652 --ah----- C:\WINDOWS\system32\mlaabjs.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14]
"RocketDock"="D:\logiciels\rocket dock\RocketDock.exe" [2007-03-19 00:05]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{4AA49418-D47E-47EB-AAD9-3FA5155F3025}"= C:\WINDOWS\System32\wvuvwwx.dll [2007-09-15 15:45 43542]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvuvwwx]
wvuvwwx.dll 2007-09-15 15:45 43542 C:\WINDOWS\system32\wvuvwwx.dll

S3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS

.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-15 15:45:35
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-15 15:46:16
C:\ComboFix-quarantined-files.txt ... 2007-09-15 15:46
C:\ComboFix2.txt ... 2007-09-15 15:10
.
--- E O F ---

et celui de hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 15:47:19, on 15/09/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\logiciels\rocket dock\RocketDock.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\protection !\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RocketDock] "D:\logiciels\rocket dock\RocketDock.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/fl...
O20 - Winlogon Notify: wvuvwwx - C:\WINDOWS\SYSTEM32\wvuvwwx.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

Installe d'urgence un antivirus comme Antivir.

jvoudrai bien ms ce pc ne m'en laisse pa le temps :S

Ok. Il redémarre en modesans échec ?

jcomprend pa au moment du démarage j'appui sur F8 pr choisir de quel manière je veux démarer windows, le choix est impossible car c'est comme si le clavier ne marchait plus

C'est un sans fil ?

oui

en fait ce matin quand j'ai décidé de m'occuper du pc défaillant un premier clavier sans fil n'a pu eu envi de fonctionner et le 2e clavier (tjrs sans fil) ne fonctionne pas pendant le cours moment ou je veux allez en mode sans echec.
Sinon j'ai quand même réussi à installer antivir mais il y a tjrs "les arrêts du système" qui me laisse 1 minute avant d'éteindre mon pc ...

Reposte un rapport Hijackthis + Combofix.

ComboFix 07-09-14.2 - "lamotte lauwers" 2007-09-15 17:19:20.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.349 [GMT 2:00]
Command switches used :: C:\Documents and Settings\lamotte lauwers\Bureau\CFScript.txt
* Created a new restore point

FILE::
C:\WINDOWS\system32\xlfq.exe
C:\WINDOWS\system32\mssmpp.exe
C:\WINDOWS\sr.exe
C:\WINDOWS\System32\gebca.dll
C:\WINDOWS\System32\gebyw.dll
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\algs.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\System32\explorer.exe
C:\windows\system32\explorer.exe
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\system32\llnmp.bak1
C:\WINDOWS\system32\llnmp.ini
C:\WINDOWS\system32\pmnll.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-15 to 2007-09-15 ))))))))))))))))))))))))))))))))))))
.

2007-09-15 16:37 47,864 --ah----- C:\WINDOWS\system32\jselaxvj.exe
2007-09-15 16:37 0 --ah----- C:\WINDOWS\system32\bqwx.exe
2007-09-15 16:36 43,542 --------- C:\WINDOWS\system32\yayxvwu.dll
2007-09-15 16:36 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
2007-09-15 16:28 2,896 --ah----- C:\WINDOWS\system32\nazzr.exe
2007-09-15 16:27 5,120 --ah----- C:\WINDOWS\system32\vtjugirk.exe
2007-09-15 15:59 4,096 --ah----- C:\WINDOWS\system32\zyucn.exe
2007-09-15 15:58 38,824 --ah----- C:\WINDOWS\system32\jpijggkw.exe
2007-09-15 15:54 22,496 --ah----- C:\WINDOWS\system32\uezzlhxm.exe
2007-09-15 15:52 29,240 --ah----- C:\WINDOWS\system32\yfawu.exe
2007-09-15 15:49 0 --ah----- C:\WINDOWS\system32\djjcr.exe
2007-09-15 15:45 43,542 --------- C:\WINDOWS\system32\wvuvwwx.dll
2007-09-15 15:11 69,860 --ah----- C:\WINDOWS\system32\gxsm.exe
2007-09-15 15:06 24,960 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-09-15 15:06 24,960 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-09-15 15:06 19,456 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2007-09-15 15:06 19,456 --a------ C:\WINDOWS\system32\hidserv.dll
2007-09-15 15:06 14,080 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2007-09-15 15:06 14,080 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2007-09-15 14:56 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-15 13:58 <REP> d-------- C:\protection !
2007-09-15 13:36 <REP> d-------- C:\WINDOWS\ERUNT
2007-09-15 12:49 <REP> d-------- C:\!KillBox
2007-09-15 11:44 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-09-15 11:44 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-09-15 11:44 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-09-15 11:44 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-09-15 11:40 1,720 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-31 21:03 <REP> d--hs---- C:\WA7PV
2007-08-30 10:10 53,261 --a------ C:\WINDOWS\fender.exe
2007-08-17 19:04 <REP> d---s---- C:\DOCUME~1\CLMENT~1\UserData

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-07-20 23:02 --------- d-------- C:\DOCUME~1\LAMOTT~1\APPLIC~1\vlc
2007-07-07 14:03 16384 --a------ C:\WINDOWS\fddi.exe
2007-06-24 17:46 6504 --ah----- C:\WINDOWS\system32\pjgcmz.exe
2007-06-24 17:45 48864 --ah----- C:\WINDOWS\system32\upgm.exe
2007-06-24 17:45 13652 --ah----- C:\WINDOWS\system32\mlaabjs.exe
.

((((((((((((((((((((((((((((( snapshot_2007-09-15_151019.51 )))))))))))))))))))))))))))))))))))))))))
.
---h--w 69,860 2001-08-28 12:00:00 C:\WINDOWS\system32\winIogon.exe
----a-w 16,384 2007-09-15 14:35:41 C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
----a-w 32,768 2007-09-15 14:35:41 C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
----a-w 32,768 2007-09-15 14:35:41 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
----a-w 40,000 2007-02-27 13:18:30 C:\WINDOWS\system32\drivers\avgntdd.sys
----a-w 14,848 2006-11-22 12:30:31 C:\WINDOWS\system32\drivers\avgntmgr.sys
----a-w 43,584 2007-03-20 07:55:45 C:\WINDOWS\system32\drivers\avipbb.sys
----a-w 28,352 2007-03-01 08:34:36 C:\WINDOWS\system32\drivers\ssmdrv.sys
.
----a-w 16,384 2007-09-15 13:08:30 C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
----a-w 32,768 2007-09-15 13:08:30 C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
----a-w 32,768 2007-09-15 13:08:30 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4AA49418-D47E-47EB-AAD9-3FA5155F3025}]
2007-09-15 15:45 43542 --------- C:\WINDOWS\system32\wvuvwwx.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14]
"RocketDock"="D:\logiciels\rocket dock\RocketDock.exe" [2007-03-19 00:05]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{4AA49418-D47E-47EB-AAD9-3FA5155F3025}"= C:\WINDOWS\system32\wvuvwwx.dll [2007-09-15 15:45 43542]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvuvwwx]
wvuvwwx.dll 2007-09-15 15:45 43542 C:\WINDOWS\system32\wvuvwwx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\\WINDOWS\\System32\\pmnll

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
S3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS

.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-15 17:23:27
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-15 17:23:55 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-15 17:23
C:\ComboFix2.txt ... 2007-09-15 15:46
C:\ComboFix3.txt ... 2007-09-15 15:10
.
--- E O F ---


iLogfile of HijackThis v1.99.1
Scan saved at 17:24:23, on 15/09/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\logiciels\rocket dock\RocketDock.exe
C:\WINDOWS\system32\notepad.exe
C:\protection !\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {4AA49418-D47E-47EB-AAD9-3FA5155F3025} - C:\WINDOWS\system32\wvuvwwx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RocketDock] "D:\logiciels\rocket dock\RocketDock.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/fl...
O20 - Winlogon Notify: wvuvwwx - C:\WINDOWS\SYSTEM32\wvuvwwx.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

Re,

Installe un firewall comme Kerio de tout urgence.
Il faut limiter les réinfections pour tout éradiquer ensuite.

Un nouveau script pour Combofix :

hum trop tard! ils l'ont achevés :S
Plus moyen de retourner sur windows ... seul le fond d'écran subsiste
Je pense que je vais choisir l'option formatage

Dommage