[résolu] Ouverture intempestive de fenêtres

Bonjour à tous,

Depuis peu de nombreuses fenêtres s'ouvrent sans que je le demande. Avast m'a trouvé des fichiers infectés et les a mis en quarantaine. Malheureusement mon problème persiste.

Merci de bien vouloir m'aider !

bonsoir

1
Télécharger Rooter.exe sur ton bureau
Double clique dessus et poster le rapport ( %Systemdrive%\Rooter.txt )

2
Télécharge puis installe Hijackthis (Trend Micro)
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2

re

1
désactive le module self defense d'avast avant de faire ce qui suit:

Clic-droit sur l'icône d'Avast! près de l'horloge >> "Réglages du programme..."

- Option "Dépannage" (au bas à gauche)

- Cocher "Désactiver le module self-defense d'avast!" >> "Ok"

2
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport\Combofix.txt
clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

viens sur le forum et édition "coller"

AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer

re
prends-le ici:
http://www.sendspace.com/file/zkusru

Bonsoir
on essaye un autre outil
Télécharge MalwareByte's Anti-Malware sur ton Bureau.

• Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées :

• Fais redémarrer ton ordinateur en mode sans échec

- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

• Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
• Afin de lancer la recherche, clic sur"Rechercher".
• Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

Note : Si tu ne parviens à télécharger MBAM à partir de MajorGeeks, tu peux le télécharger ici!

Aide :

• Comment utiliser MBAM.
• Comment faire démarrer son ordinateur en mode sans échec.

++++++++++++++++

re
on va trouver une solution...
essayons encore un outil, si ça ne marche pas, je préparerais un script.
Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.

Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.
***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.c [...] /SDFix.exe ***

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

+++++++++++++++++++

Bonsoir
fais maintenant un passage avec combofix en mode sans echec stp
poste le rapport.

Euuhh en fait non le problème persiste

Bonsoir,

J'ai pu lancer Combofix ! Je l'ai fait en mode sans échec et au redémarrage je suis passée au mode "normal" pensant que Combofix allait seulement poster son rapport...au final je crois qu'il s'est réellement exécuté en mode normal.
Veux-tu qu'au redémarrage je reste en mode sans échec ?

En attendant ta réponse, voilà le rapport que j'ai obtenu :

ComboFix 08-12-16.03 - 2008-12-17 23:03:43.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.511.292 [GMT 1:00]
Lancé depuis: c:\documents and settings\\Bureau\comboidn.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\bobsaver.exe
c:\windows\bobsaver.scr
c:\windows\system32\busuqsmh.dll
c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\CPV.stt
c:\windows\system32\drivers\TDSSmqlt.sys
c:\windows\system32\eraxzy.dll
c:\windows\system32\erchxe.dll
c:\windows\system32\fqblls.dll
c:\windows\system32\hcvucxyk.dll
c:\windows\system32\hcxqto.dll
c:\windows\system32\icwgbv.dll
c:\windows\system32\kdkfwiyi.dll
c:\windows\system32\kTAGOqru.ini
c:\windows\system32\kTAGOqru.ini2
c:\windows\system32\ktbytjip.dll
c:\windows\system32\ldvqvrwk.dll
c:\windows\system32\MabryObj.dll
c:\windows\system32\mlJCrrRK.dll
c:\windows\system32\mvhyxsnh.dll
c:\windows\system32\obqhch.dll
c:\windows\system32\qfwtjx.dll
c:\windows\system32\qgrvwrwq.dll
c:\windows\system32\rmqwcswa.dll
c:\windows\system32\svkcichf.dll
c:\windows\system32\TDSSbrsr.dll
c:\windows\system32\TDSSlxwp.dll
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSoixh.dll
c:\windows\system32\TDSSosvd.dat
c:\windows\system32\TDSSrhym.log
c:\windows\system32\TDSSriqp.dll
c:\windows\system32\TDSSsihc.dll
c:\windows\system32\TDSStkdu.log
c:\windows\system32\TDSSxfum.dll
c:\windows\system32\tmp.reg
c:\windows\system32\ucptktcl.dll
c:\windows\System32\urqOGATk.dll
c:\windows\system32\xraxbt.dll
c:\windows\system32\yabqtl.dll
c:\windows\system32\yunbdneh.dll
c:\windows\system32\zqowwp.dll
c:\windows\Tasks\unfqvnmp.job

----- BITS: Il y a peut-être des sites infectés -----

hxxp://childhe.com
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV.SYS
-------\Legacy_TDSSSERV.SYS


((((((((((((((((((((((((((((( Fichiers créés du 2008-11-17 au 2008-12-17 ))))))))))))))))))))))))))))))))))))
.

2008-12-16 01:11 . 2008-12-16 01:11 <REP> d-------- c:\program files\Trend Micro
2008-12-16 00:16 . 2008-12-16 00:17 <REP> d-------- c:\windows\ERUNT
2008-12-13 19:49 . 2004-05-31 23:48 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage r‚seau
2008-12-13 19:49 . 2004-05-31 23:48 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2008-12-13 19:49 . 2004-05-31 23:48 <REP> d--h----- c:\documents and settings\Administrateur\ModŠles
2008-12-13 19:49 . 2004-05-31 23:48 <REP> dr------- c:\documents and settings\Administrateur\Mes documents
2008-12-13 19:49 . 2004-05-31 23:48 <REP> dr------- c:\documents and settings\Administrateur\Menu D‚marrer
2008-12-13 19:49 . 2004-05-31 23:48 <REP> dr------- c:\documents and settings\Administrateur\Favoris
2008-12-13 19:49 . 2004-05-31 23:48 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2008-12-13 19:49 . 2008-12-13 19:49 <REP> d-------- c:\documents and settings\Administrateur
2008-12-13 19:39 . 2008-12-13 19:39 268 --ah----- C:\sqmdata09.sqm
2008-12-13 19:39 . 2008-12-13 19:39 244 --ah----- C:\sqmnoopt09.sqm
2008-12-12 21:55 . 2008-12-12 21:57 <REP> d-------- C:\Rooter$
2008-12-11 23:06 . 2008-12-16 23:12 1,658,219 ---hs---- c:\windows\system32\fhcickvs.ini
2008-12-11 17:56 . 2008-12-12 00:15 <REP> d-------- c:\documents and settings\\Application Data\Twain
2008-12-11 17:44 . 2008-12-11 17:44 1,624,451 ---hs---- c:\windows\system32\bwvxeapq.ini
2008-12-10 22:31 . 2008-12-10 22:31 <REP> d-------- c:\program files\CCleaner
2008-12-10 19:48 . 2008-12-12 20:46 <REP> d-------- c:\program files\Navilog1
2008-12-10 17:41 . 2008-12-11 17:43 1,624,451 ---hs---- c:\windows\system32\clcmjesj.ini
2008-12-10 17:35 . 2008-12-10 17:35 <REP> d-------- c:\windows\Setup
2008-12-10 17:35 . 2008-12-10 17:35 <REP> d-------- c:\windows\HDTVPlayer v3.5
2008-12-10 17:35 . 2008-12-09 03:10 176 --a------ c:\windows\eower.vbs
2008-12-10 17:35 . 2008-12-09 03:18 45 --a------ c:\windows\sys.bat
2008-12-04 13:57 . 2008-12-04 13:57 8,192 --a------ c:\windows\REGLOCS.OLD
2008-12-04 13:55 . 2008-12-04 13:55 <REP> d-------- c:\program files\Securitoo
2008-12-04 13:54 . 2008-12-04 14:23 <REP> d-------- c:\program files\OrangeHSS
2008-12-04 13:54 . 2006-03-01 18:53 94,208 --a------ c:\windows\system32\w32n50.dll
2008-12-04 13:54 . 2007-12-11 20:22 65,536 --a------ c:\windows\system32\Autodial2000.dll
2008-12-04 13:54 . 2003-09-23 10:38 34,688 --a------ c:\windows\system32\pcampr5.sys
2008-12-04 13:54 . 2006-03-01 18:53 32,128 --a------ c:\windows\system32\pcandis5.sys
2008-12-04 13:53 . 2008-12-04 13:53 <REP> d-------- c:\program files\Fichiers communs\France Telecom
2008-12-04 13:52 . 2008-12-04 13:52 2,516 --a------ C:\FT_Splash.img
2008-11-27 04:01 . 2006-11-02 15:34 547,840 --a------ c:\windows\system32\wiaaut.dll
2008-11-27 04:01 . 2007-06-04 23:10 132,880 --a------ c:\windows\system32\MSINET.OCX
2008-11-27 04:01 . 2005-06-06 20:31 108,336 --a------ c:\windows\system32\Mswinsck.ocx
2008-11-27 04:01 . 2008-01-31 12:15 102,400 --a------ c:\windows\system32\DinkITXPUIMenus.ocx
2008-11-27 04:01 . 2003-04-05 19:19 65,536 --a------ c:\windows\system32\EnhSliderOcx.ocx
2008-11-27 04:01 . 2008-02-04 04:55 64,000 --a------ c:\windows\system32\wiaaut.oca
2008-11-20 22:17 . 2008-11-20 22:17 <REP> d-------- c:\program files\Smart Projects

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-17 20:32 --------- d-----w c:\program files\Mozilla Thunderbird
2008-12-17 17:00 --------- d-----w c:\documents and settings\\Application Data\Azureus
2008-12-16 20:12 --------- d-----w c:\program files\Messenger Plus! Live
2008-12-16 20:11 --------- d-----w c:\program files\MSN Messenger
2008-12-10 21:39 --------- d-----w c:\program files\Java
2008-12-08 18:30 --------- d-----w c:\documents and settings\\Application Data\Thunderbird
2008-11-20 21:20 --------- d-----w c:\program files\Quantum (Student)
2008-11-20 21:20 --------- d-----w c:\program files\Microsoft Works
2008-11-20 21:20 --------- d-----w c:\program files\eMule
2008-11-20 21:20 --------- d-----w c:\program files\Easy Internet signup
2008-11-20 21:20 --------- d-----w c:\program files\DivX
2008-11-20 21:20 --------- d-----w c:\program files\Apoint2K
2007-06-11 14:29 68 ----a-w c:\documents and settings\\getfile.dat
2007-05-18 08:24 31 ----a-w c:\documents and settings\\getfile.dat
2008-12-11 17:03 211,456 ----a-w c:\program files\mozilla firefox\components\srff.dll
2005-08-08 09:32 8 --sh--r c:\windows\system32\397614D6F6.sys
2004-12-30 20:36 56 --sh--r c:\windows\system32\64F25BD62A.sys
2006-02-05 22:13 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2003-04-24 13312]
"MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe" [2006-04-18 190024]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-11-15 1670144]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-08 159744]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-04-07 4730880]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2005-12-27 114688]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2005-12-27 204800]
"HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2005-12-20 278528]
"HPHUPD05"="c:\program files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2005-12-27 53248]
"HPHmon05"="c:\windows\System32\hphmon05.exe" [2003-05-22 483328]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-02-12 188416]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-02-12 77824]
"Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 69632]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"AGRSMMSG"="AGRSMMSG.exe" [2004-01-30 c:\windows\AGRSMMSG.exe]
"nwiz"="nwiz.exe" [2004-04-07 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2003-04-24 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=obqhch.dll zqowwp.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"MSACM.G723"= g723.acm
"vidc.I263"= I263_32.drv
"msacm.enc"= ITIG726.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winxg63.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [2008-06-20 111184]
S0 Winxg63;Winxg63;c:\windows\System32\Drivers\Winxg63.sys []
S3 2e9dfcdd-2a9c-4626-b4d1-e66405e22eed;2e9dfcdd-2a9c-4626-b4d1-e66405e22eed;\??\d:\player\cds300.dll []
S3 a705a503-08d2-40bc-87d7-0e75b386a465;a705a503-08d2-40bc-87d7-0e75b386a465;\??\d:\player\cds300.dll []
S3 fbxusb;FreeBox USB Network Adapter;c:\windows\System32\DRIVERS\fbxusb.sys [2005-01-02 18848]
S3 ICAM8USB;Intel(r) PC Camera CS120;c:\windows\System32\Drivers\Icm8D2.SYS [2005-09-06 237504]
S4 Parrdekwa;Parrdekwa; []
.
Contenu du dossier 'Tâches planifiées'

2008-08-28 c:\windows\Tasks\Lecteur Windows Media.job
- c:\progra~1\WINDOW~1\wmplayer.exe [2005-01-28 13:44]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{9a6d088a-0164-402d-bd69-a72bdb2c852f} - c:\windows\System32\zqowwp.dll
BHO-{B241C010-20C2-4674-839C-F9D25D4170BA} - c:\windows\System32\urqOGATk.dll
HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
HKCU-Run-rs32net - c:\windows\System32\rs32net.exe
HKCU-Run-RecordNow! - (no file)
SharedTaskScheduler-{b292ec9f-a074-4115-8342-1f459702d8d2} - (no file)


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q304&bd=presario&pf=laptop
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\\Application Data\Mozilla\Firefox\Profiles\nzcrjhst.default\
FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.Fr
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-17 23:10:06
Windows 5.1.2600 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????)?)w?????????? ???B???????????????B? ??????

Recherche de fichiers cachés ...


c:\windows\system32\wuapi.dll.mui_fr 27672 bytes executable
c:\windows\system32\wuauclt.exe.wusetup.244843.bak 125720 bytes executable
c:\windows\system32\wuaucpl.cpl.mui_fr 27672 bytes executable
c:\windows\system32\wuaucpl.cpl.wusetup.246593.bak 175896 bytes executable
c:\windows\system32\wuaueng.dll.mui_fr 19992 bytes executable
c:\windows\system32\wuaueng.dll.wusetup.249031.bak 1343768 bytes executable
c:\windows\system32\wucltui.dll.mui_fr 35864 bytes executable

Scan terminé avec succès
Fichiers cachés: 7

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(716)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(772)
c:\windows\System32\dssenh.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Retrospect\Retrospect 7.5\retrorun.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Apoint2K\ApntEx.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
c:\windows\system32\LVComS.exe
c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
.
**************************************************************************
.
Heure de fin: 2008-12-17 23:14:34 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-17 22:14:06

Avant-CF: 28,739,280,896 octets libres
AprÞs-CF: 28,860,530,688 octets libres

244

Bonsoir,

Effectivement c'est un player que j'ai installé peu de temps avant le début de mes problèmes...mais je pensais avoir réussi à le désinstaller !

Voici le rapport :

ComboFix 08-12-16.03 - 2008-12-18 22:42:57.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.511.320 [GMT 1:00]
Lancé depuis: c:\documents and settings\\Bureau\comboidn.exe
Commutateurs utilisés :: c:\documents and settings\\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]

FILE ::
c:\windows\eower.vbs
c:\windows\sys.bat
c:\windows\system32\bwvxeapq.ini
c:\windows\system32\clcmjesj.ini
c:\windows\system32\fhcickvs.ini
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Rooter$
c:\rooter$\Crack.txt
c:\rooter$\iNv.exe
c:\rooter$\kill.reg
c:\rooter$\KillF.txt
c:\rooter$\lsTasks.exe
c:\rooter$\Orph.egd
c:\rooter$\OsV.exe
c:\rooter$\paths.bat
c:\rooter$\RegI.txt
c:\rooter$\RK.txt
c:\rooter$\Rkeys.txt
c:\rooter$\RKit.lsd
c:\rooter$\RoGUeS.lsd
c:\rooter$\Rooter.txt
c:\rooter$\Rooter_1.txt
c:\rooter$\RooterT.cmd
c:\rooter$\RunTool.txt
c:\rooter$\sed.exe
c:\rooter$\setpath.exe
c:\rooter$\VUN.txt
c:\windows\eower.vbs
c:\windows\HDTVPlayer v3.5
c:\windows\HDTVPlayer v3.5\uninstall.exe
c:\windows\Setup
c:\windows\Setup\uninstall.exe
c:\windows\sys.bat
c:\windows\system32\bwvxeapq.ini
c:\windows\system32\clcmjesj.ini
c:\windows\system32\fhcickvs.ini

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_WINXG63
-------\Service_2e9dfcdd-2a9c-4626-b4d1-e66405e22eed
-------\Service_a705a503-08d2-40bc-87d7-0e75b386a465
-------\Service_Parrdekwa
-------\Service_Winxg63


((((((((((((((((((((((((((((( Fichiers créés du 2008-11-18 au 2008-12-18 ))))))))))))))))))))))))))))))))))))
.

2008-12-17 23:13 . 2008-10-16 14:09 35,864 --a------ c:\windows\system32\wucltui.dll.mui
2008-12-17 23:13 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2008-12-17 23:13 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-12-17 23:13 . 2008-10-16 14:07 19,992 --a------ c:\windows\system32\wuaueng.dll.mui
2008-12-16 01:11 . 2008-12-16 01:11 <REP> d-------- c:\program files\Trend Micro
2008-12-16 00:16 . 2008-12-16 00:17 <REP> d-------- c:\windows\ERUNT
2008-12-13 19:49 . 2004-05-31 23:48 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage r‚seau
2008-12-13 19:49 . 2004-05-31 23:48 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2008-12-13 19:49 . 2004-05-31 23:48 <REP> d--h----- c:\documents and settings\Administrateur\ModŠles
2008-12-13 19:49 . 2004-05-31 23:48 <REP> dr------- c:\documents and settings\Administrateur\Mes documents
2008-12-13 19:49 . 2004-05-31 23:48 <REP> dr------- c:\documents and settings\Administrateur\Menu D‚marrer
2008-12-13 19:49 . 2004-05-31 23:48 <REP> dr------- c:\documents and settings\Administrateur\Favoris
2008-12-13 19:49 . 2004-05-31 23:48 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2008-12-13 19:49 . 2008-12-13 19:49 <REP> d-------- c:\documents and settings\Administrateur
2008-12-13 19:39 . 2008-12-13 19:39 268 --ah----- C:\sqmdata09.sqm
2008-12-13 19:39 . 2008-12-13 19:39 244 --ah----- C:\sqmnoopt09.sqm
2008-12-11 17:56 . 2008-12-12 00:15 <REP> d-------- c:\documents and settings\\Application Data\Twain
2008-12-10 22:31 . 2008-12-10 22:31 <REP> d-------- c:\program files\CCleaner
2008-12-10 19:48 . 2008-12-12 20:46 <REP> d-------- c:\program files\Navilog1
2008-12-04 13:57 . 2008-12-04 13:57 8,192 --a------ c:\windows\REGLOCS.OLD
2008-12-04 13:55 . 2008-12-04 13:55 <REP> d-------- c:\program files\Securitoo
2008-12-04 13:54 . 2008-12-04 14:23 <REP> d-------- c:\program files\OrangeHSS
2008-12-04 13:54 . 2006-03-01 18:53 94,208 --a------ c:\windows\system32\w32n50.dll
2008-12-04 13:54 . 2007-12-11 20:22 65,536 --a------ c:\windows\system32\Autodial2000.dll
2008-12-04 13:54 . 2003-09-23 10:38 34,688 --a------ c:\windows\system32\pcampr5.sys
2008-12-04 13:54 . 2006-03-01 18:53 32,128 --a------ c:\windows\system32\pcandis5.sys
2008-12-04 13:53 . 2008-12-04 13:53 <REP> d-------- c:\program files\Fichiers communs\France Telecom
2008-12-04 13:52 . 2008-12-04 13:52 2,516 --a------ C:\FT_Splash.img
2008-11-27 04:01 . 2006-11-02 15:34 547,840 --a------ c:\windows\system32\wiaaut.dll
2008-11-27 04:01 . 2007-06-04 23:10 132,880 --a------ c:\windows\system32\MSINET.OCX
2008-11-27 04:01 . 2005-06-06 20:31 108,336 --a------ c:\windows\system32\Mswinsck.ocx
2008-11-27 04:01 . 2008-01-31 12:15 102,400 --a------ c:\windows\system32\DinkITXPUIMenus.ocx
2008-11-27 04:01 . 2003-04-05 19:19 65,536 --a------ c:\windows\system32\EnhSliderOcx.ocx
2008-11-27 04:01 . 2008-02-04 04:55 64,000 --a------ c:\windows\system32\wiaaut.oca
2008-11-20 22:17 . 2008-11-20 22:17 <REP> d-------- c:\program files\Smart Projects

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-18 21:40 --------- d-----w c:\documents and settings\\Application Data\Azureus
2008-12-18 15:38 --------- d-----w c:\program files\Mozilla Thunderbird
2008-12-16 20:12 --------- d-----w c:\program files\Messenger Plus! Live
2008-12-16 20:11 --------- d-----w c:\program files\MSN Messenger
2008-12-10 21:39 --------- d-----w c:\program files\Java
2008-12-08 18:30 --------- d-----w c:\documents and settings\\Application Data\Thunderbird
2008-11-20 21:20 --------- d-----w c:\program files\Quantum (Student)
2008-11-20 21:20 --------- d-----w c:\program files\Microsoft Works
2008-11-20 21:20 --------- d-----w c:\program files\eMule
2008-11-20 21:20 --------- d-----w c:\program files\Easy Internet signup
2008-11-20 21:20 --------- d-----w c:\program files\DivX
2008-11-20 21:20 --------- d-----w c:\program files\Apoint2K
2007-06-11 14:29 68 ----a-w c:\documents and settings\\getfile.dat
2007-05-18 08:24 31 ----a-w c:\documents and settings\\getfile.dat
2008-12-11 17:03 211,456 ----a-w c:\program files\mozilla firefox\components\srff.dll
2005-08-08 09:32 8 --sh--r c:\windows\system32\397614D6F6.sys
2004-12-30 20:36 56 --sh--r c:\windows\system32\64F25BD62A.sys
2006-02-05 22:13 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-12-17_23.13.16.82 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-05-26 02:16:30 18,200 ----a-w c:\windows\LastGood\System32\wups2.dll
- 2005-05-26 02:16:24 75,544 ----a-w c:\windows\system32\cdm.dll
+ 2008-10-16 13:09:44 92,696 ----a-w c:\windows\system32\cdm.dll
- 2005-05-26 02:16:24 75,544 ----a-w c:\windows\system32\dllcache\cdm.dll
+ 2008-10-16 13:09:44 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
- 2005-05-26 02:16:30 125,720 ----a-w c:\windows\system32\dllcache\wuauclt.exe
+ 2008-10-16 13:09:44 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
- 2005-05-26 02:16:30 1,343,768 ----a-w c:\windows\system32\dllcache\wuaueng.dll
+ 2008-10-16 13:13:40 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
+ 2008-10-16 13:08:58 34,328 ----a-w c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll
+ 2008-10-16 13:09:44 43,544 ----a-w c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.788\wups2.dll
- 2005-05-26 02:16:30 467,224 ----a-w c:\windows\system32\wuapi.dll
+ 2008-10-16 13:12:20 561,688 ----a-w c:\windows\system32\wuapi.dll
- 2005-05-26 02:16:30 125,720 ----a-w c:\windows\system32\wuauclt.exe
+ 2008-10-16 13:09:44 51,224 ----a-w c:\windows\system32\wuauclt.exe
- 2005-05-26 02:16:30 1,343,768 ----a-w c:\windows\system32\wuaueng.dll
+ 2008-10-16 13:13:40 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
- 2005-05-26 02:16:32 128,792 ----a-w c:\windows\system32\wucltui.dll
+ 2008-10-16 13:12:22 323,608 ----a-w c:\windows\system32\wucltui.dll
- 2005-05-26 02:16:30 41,240 ----a-w c:\windows\system32\wups.dll
+ 2008-10-16 13:08:58 34,328 ----a-w c:\windows\system32\wups.dll
- 2005-05-26 02:16:30 18,200 ----a-w c:\windows\system32\wups2.dll
+ 2008-10-16 13:09:44 43,544 ----a-w c:\windows\system32\wups2.dll
- 2005-05-26 02:16:30 173,536 ----a-w c:\windows\system32\wuweb.dll
+ 2008-10-16 13:13:40 202,776 ----a-w c:\windows\system32\wuweb.dll
+ 2008-12-18 21:47:32 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_5bc.dat
.
-- Instantané actualisé --
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2003-04-24 13312]
"MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe" [2006-04-18 190024]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-11-15 1670144]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-08 159744]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-04-07 4730880]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2005-12-27 114688]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2005-12-27 204800]
"HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2005-12-20 278528]
"HPHUPD05"="c:\program files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2005-12-27 53248]
"HPHmon05"="c:\windows\System32\hphmon05.exe" [2003-05-22 483328]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-02-12 188416]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-02-12 77824]
"Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 69632]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"AGRSMMSG"="AGRSMMSG.exe" [2004-01-30 c:\windows\AGRSMMSG.exe]
"nwiz"="nwiz.exe" [2004-04-07 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2003-04-24 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"MSACM.G723"= g723.acm
"vidc.I263"= I263_32.drv
"msacm.enc"= ITIG726.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [2008-06-20 111184]
S3 fbxusb;FreeBox USB Network Adapter;c:\windows\System32\DRIVERS\fbxusb.sys [2005-01-02 18848]
S3 ICAM8USB;Intel(r) PC Camera CS120;c:\windows\System32\Drivers\Icm8D2.SYS [2005-09-06 237504]
.
Contenu du dossier 'Tâches planifiées'

2008-08-28 c:\windows\Tasks\Lecteur Windows Media.job
- c:\progra~1\WINDOW~1\wmplayer.exe [2005-01-28 13:44]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q304&bd=presario&pf=laptop
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\\Application Data\Mozilla\Firefox\Profiles\nzcrjhst.default\
FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.Fr
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-18 22:47:49
Windows 5.1.2600 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????)?)w?????????? ???B???????????????B? ??????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(716)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(772)
c:\windows\System32\dssenh.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Retrospect\Retrospect 7.5\retrorun.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
c:\windows\system32\LVComS.exe
c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
c:\program files\Apoint2K\ApntEx.exe
.
**************************************************************************
.
Heure de fin: 2008-12-18 22:51:24 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-18 21:50:56
ComboFix2.txt 2008-12-17 22:14:36

Avant-CF: 35ÿ584ÿ819ÿ200 octets libres
AprÞs-CF: 35,567,702,016 octets libres

245

Bonjour,

Voici les rapports :

1- Kaspersky

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Saturday, December 20, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 1 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Saturday, December 20, 2008 09:55:07
Records in database: 1491041
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\

Scan statistics:
Files scanned: 56029
Threat name: 15
Infected objects: 25
Suspicious objects: 0
Duration of the scan: 01:37:46


File name / Threat name / Threats count
C:\Documents and Settings\\Bureau\SDFix\backups\backups.zip Infected: Trojan-Spy.Win32.Agent.fmi 1
C:\Documents and Settings\\Bureau\SDFix\backups\backups.zip Infected: Trojan-Downloader.Win32.Injecter.bcg 1
C:\Documents and Settings\\Bureau\SDFix\backups\catchme.zip Infected: Rootkit.Win32.Protector.bd 1
C:\Documents and Settings\\Bureau\SDFix\backups\catchme.zip Infected: Backdoor.Win32.TDSS.blh 1
C:\Documents and Settings\\Bureau\SDFix\backups\catchme.zip Infected: Backdoor.Win32.TDSS.asz 1
C:\Documents and Settings\\Bureau\SDFix\backups\catchme.zip Infected: Backdoor.Win32.TDSS.atb 1
C:\Documents and Settings\\Bureau\SDFix\backups\catchme.zip Infected: Trojan.Win32.Agent.arvz 1
C:\Documents and Settings\\Local Settings\Application Data\Mozilla\Firefox\Profiles\nzcrjhst.default\Cache(2)\3CD27B45d01 Infected: not-a-virus:RiskTool.Win32.PsKill.k 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\busuqsmh.dll.vir Infected: not-a-virus:AdWare.Win32.SuperJuan.exp 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\TDSSmqlt.sys.vir Infected: Backdoor.Win32.TDSS.bkw 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\erchxe.dll.vir Infected: not-a-virus:AdWare.Win32.SuperJuan.ezg 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\icwgbv.dll.vir Infected: Trojan.Win32.Agent.avwp 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\ktbytjip.dll.vir Infected: Trojan.Win32.Agent.avwp 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\mlJCrrRK.dll.vir Infected: Trojan.Win32.Agent.auhr 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\obqhch.dll.vir Infected: not-a-virus:AdWare.Win32.SuperJuan.exp 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\rmqwcswa.dll.vir Infected: not-a-virus:AdWare.Win32.SuperJuan.ezg 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\svkcichf.dll.vir Infected: Trojan.Win32.Agent.aulw 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSbrsr.dll.vir Infected: Backdoor.Win32.TDSS.asz 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSoixh.dll.vir Infected: Backdoor.Win32.TDSS.blh 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSriqp.dll.vir Infected: Backdoor.Win32.TDSS.atb 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSxfum.dll.vir Infected: Trojan.Win32.Agent.arvz 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\ucptktcl.dll.vir Infected: not-a-virus:AdWare.Win32.SuperJuan.ezg 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\xraxbt.dll.vir Infected: Trojan-Downloader.Win32.Agent.auch 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\yabqtl.dll.vir Infected: not-a-virus:AdWare.Win32.SuperJuan.ezg 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\yunbdneh.dll.vir Infected: Trojan-Downloader.Win32.Agent.auch 1

The selected area was scanned.

2- Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:17:26, on 20/12/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Retrospect\Retrospect 7.5\retrorun.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\LVComS.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr? [...] &pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q304&bd=presario&pf=laptop
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - EMC Corporation - C:\Program Files\Retrospect\Retrospect 7.5\retrorun.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7964 bytes

Bonjour,

Tout a été fait dont le scan Antivir !



Avira AntiVir Personal
Date de création du fichier de rapport : lundi 22 décembre 2008 14:39

La recherche porte sur 1107347 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows Service Pack 1) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :

Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07/12/2008 22:52:59
ANTIVIR2.VDF : 7.1.0.250 342528 Bytes 18/12/2008 22:53:01
ANTIVIR3.VDF : 7.1.1.15 107520 Bytes 21/12/2008 22:53:03
Version du moteur: 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 21/12/2008 22:53:12
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 21/12/2008 22:53:11
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 21/12/2008 22:53:10
AEHELP.DLL : 8.1.2.0 119159 Bytes 21/12/2008 22:53:06
AEGEN.DLL : 8.1.1.8 323956 Bytes 21/12/2008 22:53:05
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 21/12/2008 22:53:04
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : lundi 22 décembre 2008 14:39

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'update.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'usnsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ApntEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpgs2wnf.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpgs2wnd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LogiTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hphmon05.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AGRSMMSG.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Apoint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SMAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'retrorun.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CDAC11BA.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'44' processus ont été contrôlés avec '44' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '60' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !


Fin de la recherche : lundi 22 décembre 2008 15:29
Temps nécessaire: 50:23 Minute(s)

La recherche a été effectuée intégralement

6240 Les répertoires ont été contrôlés
450708 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
450706 Fichiers non infectés
7964 Les archives ont été contrôlées
2 Avertissements
0 Consignes

Non je n'ai plus de problèmes...
Je te remercie de ton aide, grâce à toi j'ai pu éviter le formatage !

re

Supprime tous les programmes installés pour la désinfection.


Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.
Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.