[Résolu] Bug Total

Re ,
Personne ne peut trouver une solution à mon problème?? Excusez-moi d'insister mais j'ai un peu peur de ce que ca peut etre...

Cordialement.

Bonjour,

Désactive l'UAC (Menu Démarrer \ Panneau de Configuration \ Comptes d'utilisateurs et protection des utilisateurs \ Comptes d'utilisateurs \ Activer ou désactiver le contrôle des comptes d'utilisateurs \ décoche la case Utiliser le contrôle ... et valide par OK , il te sera demandé de redémarrer, fais le)

Télécharge Navilog (de Il-Mafioso)

Enregistre-le sur ton Bureau.

Installe-le en double cliquant sur navilog.exe.

Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau) [Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista)]

Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
! N'utilise pas l'option 2, 3 et 4 sans notre accord !

Patiente jusqu'à l'apparition de ce message :
*** Analyse Termine le ..... ***

Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste le rapport ici.

Poste le rapport généré.

Le rapport se trouve ici : C:\fixnavi.txt

Merci de m'apporter ton aide
Voila le rapport :

Search Navipromo version 3.7.1 commencé le 26/01/2009 à 19:59:38,21

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz )
BIOS : Ver 1.00PARTTBL
USER : Ali ( Not Administrator ! )
BOOT : Fail-safe with network boot




C:\ (Local Disk) - NTFS - Total:179 Go (Free:130 Go)
D:\ (CD or DVD)


Recherche executé en mode sans échec

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***

...\Live-Player trouvé !

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\Live-Player trouvé !

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\users\ali\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\Ali\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\INVIT~1\AppData\Local\virtualstore\Program Files" ***



*** Recherche dossiers dans "C:\Users\Ali\AppData\Local" ***

...\Live-Player trouvé !


*** Recherche dossiers dans "C:\Users\INVIT~1\AppData\Local" ***




*** Recherche dossiers dans "C:\Users\Ali\AppData\Roaming" ***


*** Recherche dossiers dans "C:\Users\INVIT~1\appdata\roaming" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\Ali\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\Ali\AppData\Local" *

* Recherche dans "C:\Users\INVIT~1\AppData\Local" *



*** Recherche fichiers ***


c:\users\public\desktop\Live-Player.lnk trouvé !

*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\Ali\AppData\Local\Microsoft" :


* Dans "C:\Users\Ali\AppData\Local" :

cmewg.exe trouvé !
cmewg.dat trouvé !
cmewg_nav.dat trouvé !
cmewg_navps.dat trouvé !
cmewg_m2s.xml trouvé !
cmewg_m2s.zl trouvé !

* Dans "C:\Users\INVIT~1\AppData\Local" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 26/01/2009 à 20:13:35,01 ***

Re,

Double clique sur le raccourci de Navilog.

Choisis l'option 2 puis valide. (Entrée)

Laisse toi guider.

Ton ordinateur va redémarrer, sinon fais le manuellement.

Ton bureau va disparaître.

Après un certain temps, le Bloc-notes va s'ouvrir.

Sauvegarde le rapport.

Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
Tapes explorer et valide. Cela te fera apparaitre ton bureau

Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

VIP

Si tu les trouves, fais ceci :
* Sélectionne chacun de ces certificats et clique sur exporter. Enregistre le/les sur ton bureau.
* Supprime ensuite ceux présents dans l'onglet "certificats" des options de ton naviguateur.

Ensuite pour chacun des certificats présents sur ton bureau :
* Va sur le site Web :
http://www.bleepingcomputer.com/submit-malware.php?chan...
* Copie/colle ceci dans la case 'Link to Topic' :
le nom du certificat (Montorgueil ,......)
* Copie/colle ceci dans la case 'Browse to the File' :
Le certificat correspondant que tu avais exportés vers ton bureau

Si c'est fait, supprime enfin le certificat présent sur ton bureau.

Les programmes suivants installent cette infection :

* Go-astro
* GoRecord
* HotTVPlayer
* Live Player
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* sudoplanet
* Webmediaplayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
* Sur le site www.games-desktop.com (Ne pas aller dessus!)

Poste le rapport sauvegardé auparavant (C:\cleannavi.txt) ainsi qu'un nouveau rapport Hijackthis.

Je ne trouve pas option internet dans panneau de configue j'ai :
systeme
stylet et périphérique
rapport et solution aux problèmes
programme et fonctionnement
personalisation
pare feu windows
Parametre du tablet PC
Outils d'administrateur
Option des dossiers
options d'alimentation
option d'ergonomie
date et heure
compte utilisateur
centre reseau et partage
bare des taches du menus demarrer.


Sinon quand j'ai fais ce que tu ma demandé ya plein de message bizar qui ce sont affiché mais je n'ai pas pensé à m'en souvenir. quelque choz était introvable je croi.

Bon malgré tout ca je te poste quand même les deux rapport si ca peut quand même d'apporter qualque chose.

Clean Navipromo version 3.7.1 commencé le 26/01/2009 à 20:43:36,42

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz )
BIOS : Ver 1.00PARTTBL
USER : Ali ( Not Administrator ! )
BOOT : Fail-safe with network boot




C:\ (Local Disk) - NTFS - Total:179 Go (Free:130 Go)
D:\ (CD or DVD)


Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage executé en mode sans échec


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\Windows\System32" *


* Suppression dans "C:\Users\Ali\AppData\Local\Microsoft" *


* Suppression dans "C:\Users\Ali\AppData\Local" *


* Suppression dans "C:\Users\INVIT~1\AppData\Local" *



*** Suppression dossiers dans "C:\Windows" ***


*** Suppression dossiers dans "C:\Program Files" ***

...\Live-Player ...suppression...
...\Live-Player supprimé !


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\Live-Player ...suppression...
...\Live-Player supprimé !


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Suppression dossiers dans "C:\ProgramData" ***


*** Suppression dossiers dans c:\users\ali\appdata\roaming\micros~1\windows\startm~1\programs ***


*** Suppression dossiers dans "C:\Users\INVIT~1\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Suppression dossiers dans "C:\Users\Ali\AppData\Local\virtualstore\Program Files" ***


*** Suppression dossiers dans "C:\Users\INVIT~1\AppData\Local\virtualstore\Program Files" ***


*** Suppression dossiers dans "C:\Users\Ali\AppData\Local" ***


*** Suppression dossiers dans "C:\Users\INVIT~1\AppData\Local" ***


*** Suppression dossiers dans "C:\Users\Ali\AppData\Roaming" ***


*** Suppression dossiers dans "C:\Users\INVIT~1\appdata\roaming" ***



*** Suppression fichiers ***

c:\users\public\desktop\Live-Player.lnk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Ali\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\Windows\system32" *


C:\Windows\system32\127387645063l.exe trouvé !
Copie C:\Windows\system32\127387645063l.exe réalisée avec succès !
C:\Windows\system32\127387645063l.exe supprimé !


* Dans "C:\Users\Ali\AppData\Local\Microsoft" *


* Dans "C:\Users\Ali\AppData\Local" *


cmewg.exe trouvé !
Copie cmewg.exe réalisée avec succès !
cmewg.exe supprimé !

cmewg.dat trouvé !
Copie cmewg.dat réalisée avec succès !
cmewg.dat supprimé !

cmewg_nav.dat trouvé !
Copie cmewg_nav.dat réalisée avec succès !
cmewg_nav.dat supprimé !

cmewg_navps.dat trouvé !
Copie cmewg_navps.dat réalisée avec succès !
cmewg_navps.dat supprimé !

cmewg_m2s.xml trouvé !
Copie cmewg_m2s.xml réalisée avec succès !
cmewg_m2s.xml supprimé !

cmewg_m2s.zl trouvé !
Copie cmewg_m2s.zl réalisée avec succès !
cmewg_m2s.zl supprimé !


* Dans "C:\Users\INVIT~1\AppData\Local" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !


*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 26/01/2009 à 20:45:15,83 ***

_______________


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:02:31, on 26/01/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Users\Ali\AppData\Roaming\Microsoft\Windows\Templates\O64746Z\service.exe
C:\Windows\M35838\smss.exe
C:\Windows\M35838\EmangEloh.exe
C:\Users\Ali\AppData\Roaming\Microsoft\Windows\Templates\O64746Z\winlogon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=explorer.exe, "C:\Users\Ali\AppData\Roaming\Microsoft\Windows\Templates\O64746Z\TuxO64746Z.exe"
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe , "C:\Windows\M35838\Ja856821bLay.com"
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [T46Z273] C:\Windows\sa-865287.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Agent Banque 3.0 Manager] C:\Program Files\Banque 3.0 Manager\Bin\Bq30tna.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Agent BanqueManager] C:\Program Files\Banque 3.0 Manager\Bin\Bq30tna.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [T1358287TT4] C:\Windows\system32\127387645063l.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [cmewg] "c:\users\ali\appdata\local\cmewg.exe" cmewg
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OFFICE One 6.5.lnk = E:\Divers\OFFICE One6.5\program\quickstart.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: sql.cmd
O4 - Global User Startup: Z127387cie.cmd
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe

--
End of file - 5580 bytes

Ton pc ne se comporte pas mieux là ?

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées :

Fais redémarrer ton ordinateur en mode sans échec
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".

Afin de lancer la recherche, clic sur"Rechercher".

Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

Note : Si tu ne parviens à télécharger MBAM à part de MajorGeeks, tu peux le télécharger ici!

[#FF0000]Aide :

Comment utiliser MBAM.

Comment faire démarrer son ordinateur en mode sans échec.

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1702
Windows 6.0.6001 Service Pack 1

28/01/2009 23:54:47
mbam-log-2009-01-28 (23-54-46).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 117024
Temps écoulé: 36 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Bonjour,
J'ai mis quelque jours à repondre car j'étais partie. Merci de ton aide. Je ne sais pas si tout et remit nikel, Mais je te di dejà merci car je peux de nouveau allumer mon PC normalement.

Bonjour,
Maintenant que je peut allumer mon PC en mode normal : AntirVir me trouve toute les 10 secondes le même virus : WORM/VB .C2.14.A est-ce normal ?

Tu as les emplacements ?
Reposte un rapport Hijackthis.

Les emplacement j'en ai quelque un mais je ne peux pas tous les cité cr en fait antivir ne se ferme jamais tellement il y en a. A chaque fois que j'en met en en quarantaire, je suis averti d'un autre... C'est un cerclke sans fin ...

Voici quelque un des emplacement :
C:\Windows\system32\127387645063l.exe
C:\Windows\M35838\Ja856221blay.com
C:\User\Ali\appData\Roaming\Microsoft\...\service.exe
C:\User\Ali\appData\Roaming\Microsoft\...\Tux064746C.exe
C:\Windows\M35838\smss.exe
C:\Windows\M35838\EmangEloh.exe

Voila pour un apercu des emplacements.

Maintenant voici mon nouveau rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:29:26, on 29/01/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Banque 3.0 Manager\Bin\Bq30tna.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=explorer.exe, "C:\Users\Ali\AppData\Roaming\Microsoft\Windows\Templates\O64746Z\TuxO64746Z.exe"
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe , "C:\Windows\M35838\Ja856821bLay.com"
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [T46Z273] C:\Windows\sa-865287.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Agent Banque 3.0 Manager] C:\Program Files\Banque 3.0 Manager\Bin\Bq30tna.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Agent BanqueManager] C:\Program Files\Banque 3.0 Manager\Bin\Bq30tna.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [T1358287TT4] C:\Windows\system32\127387645063l.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [cmewg] "c:\users\ali\appdata\local\cmewg.exe" cmewg
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OFFICE One 6.5.lnk = E:\Divers\OFFICE One6.5\program\quickstart.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global User Startup: Z127387cie.cmd
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe

--
End of file - 5972 bytes

Re,

Télécharge ComboFix (de sUBs) sur ton Bureau.

Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)

Double clique sur ComboFix.exe.

Accepte la licence en cliquant sur Oui.

Le programme va te demander si tu souhaites installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je te conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !

Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

Aide : Comment utiliser ComboFix.

Re, Voici le raport :
Je n'ai pu installer combofix que en mode fonctionnalité réduite.

ComboFix 09-01-21.04 - Ali 2009-01-30 18:59:38.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.2038.1020 [GMT 1:00]
Lancé depuis: c:\users\Ali\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.
- Mode FONCTIONNALITES REDUITES -
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system\msvbvm60.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-28 au 2009-01-30 ))))))))))))))))))))))))))))))))))))
.

2009-01-28 23:06 . 2009-01-28 23:06 <REP> d-------- c:\users\Ali\AppData\Roaming\Malwarebytes
2009-01-28 23:06 . 2009-01-14 16:11 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys
2009-01-28 23:06 . 2009-01-14 16:11 15,504 --a------ c:\windows\System32\drivers\mbam.sys
2009-01-28 23:05 . 2009-01-28 23:05 <REP> d-------- c:\users\All Users\Malwarebytes
2009-01-28 23:05 . 2009-01-28 23:05 <REP> d-------- c:\programdata\Malwarebytes
2009-01-28 23:05 . 2009-01-28 23:06 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-26 19:57 . 2009-01-26 20:45 <REP> d-------- c:\program files\Navilog1
2009-01-26 18:04 . 2009-01-26 18:04 <REP> d-------- c:\program files\Trend Micro
2009-01-26 17:44 . 2009-01-26 17:44 <REP> d-------- c:\users\All Users\Avira
2009-01-26 17:44 . 2009-01-26 17:44 <REP> d-------- c:\programdata\Avira
2009-01-26 17:44 . 2009-01-26 17:44 <REP> d-------- c:\program files\Avira
2009-01-24 17:29 . 2009-01-24 17:29 <REP> d-------- c:\users\Ali\AppData\Roaming\Todae
2009-01-15 21:46 . 2008-12-16 03:42 288,768 --a------ c:\windows\System32\drivers\srv.sys
2008-12-29 01:21 . 2008-12-29 01:21 <REP> d-------- c:\program files\Neuf
2008-12-25 02:26 . 2008-10-22 02:22 2,048 --a------ c:\windows\System32\tzres.dll
2008-12-25 01:56 . 2008-10-16 05:47 827,392 --a------ c:\windows\System32\wininet.dll
2008-12-25 01:54 . 2008-10-21 06:25 296,960 --a------ c:\windows\System32\gdi32.dll
2008-12-25 01:49 . 2008-11-01 02:21 4,240,384 --a------ c:\windows\System32\GameUXLegacyGDFs.dll
2008-12-25 01:49 . 2008-11-01 04:44 28,672 --a------ c:\windows\System32\Apphlpdm.dll
2008-12-25 01:47 . 2008-10-29 07:29 2,927,104 --a------ c:\windows\explorer.exe
2008-12-25 01:47 . 2008-06-23 02:59 2,868,736 --a------ c:\windows\System32\mf.dll
2008-12-25 01:47 . 2008-06-23 02:59 996,352 --a------ c:\windows\System32\WMNetMgr.dll
2008-12-25 01:47 . 2008-06-23 02:58 94,720 --a------ c:\windows\System32\logagent.exe
2008-12-25 01:38 . 2008-12-25 01:38 410,984 --a------ c:\windows\System32\deploytk.dll
2008-12-06 13:01 . 2008-10-21 06:25 1,645,568 --a------ c:\windows\System32\connect.dll
2008-12-06 13:01 . 2008-09-10 04:40 1,334,272 --a------ c:\windows\System32\msxml6.dll
2008-12-06 13:01 . 2008-09-05 06:14 1,191,936 --a------ c:\windows\System32\msxml3.dll
2008-12-06 13:01 . 2008-08-28 04:40 712,704 --a------ c:\windows\System32\WindowsCodecs.dll
2008-12-06 13:01 . 2008-08-28 04:40 425,472 --a------ c:\windows\System32\PhotoMetadataHandler.dll
2008-12-06 13:01 . 2008-08-28 04:40 347,136 --a------ c:\windows\System32\WindowsCodecsExt.dll
2008-12-06 13:01 . 2008-10-22 04:57 241,152 --a------ c:\windows\System32\PortableDeviceApi.dll
2008-12-06 13:01 . 2008-08-27 02:05 212,480 --a------ c:\windows\System32\drivers\mrxsmb10.sys
2008-12-06 12:06 . 2008-10-16 22:13 1,809,944 --a------ c:\windows\System32\wuaueng.dll
2008-12-06 12:06 . 2008-10-16 21:56 1,524,736 --a------ c:\windows\System32\wucltux.dll
2008-12-06 12:06 . 2008-10-16 22:12 561,688 --a------ c:\windows\System32\wuapi.dll
2008-12-06 12:06 . 2008-10-16 21:55 83,456 --a------ c:\windows\System32\wudriver.dll
2008-12-06 12:06 . 2008-10-16 22:09 51,224 --a------ c:\windows\System32\wuauclt.exe
2008-12-06 12:06 . 2008-10-16 22:09 43,544 --a------ c:\windows\System32\wups2.dll
2008-12-06 12:06 . 2008-10-16 22:08 34,328 --a------ c:\windows\System32\wups.dll
2008-12-06 12:05 . 2008-10-16 14:08 162,064 --a------ c:\windows\System32\wuwebv.dll
2008-12-06 12:05 . 2008-10-16 13:56 31,232 --a------ c:\windows\System32\wuapp.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-30 17:59 786,432 --sha-w c:\users\Invité\ntuser.dat
2009-01-30 17:59 786,432 --sha-w c:\users\Invité\ntuser.dat
2009-01-29 18:12 --------- d-----w c:\users\Ali\AppData\Roaming\OpenOffice.org2
2009-01-17 23:20 --------- d-----w c:\program files\Windows Mail
2008-12-25 00:38 --------- d-----w c:\program files\Java
2008-12-08 21:47 --------- d-----w c:\users\Invité\AppData\Roaming\OpenOffice.org2
2008-12-06 16:29 --------- d-----w c:\program files\Banque 3.0 Manager
2008-12-06 16:27 --------- d-----w c:\program files\Common Files\Adobe
2008-11-30 16:02 --------- d-----w c:\users\Invité\AppData\Roaming\Adobe
2008-11-01 03:44 541,696 ----a-w c:\windows\AppPatch\AcLayers.dll
2008-11-01 03:44 52,736 ----a-w c:\windows\AppPatch\iebrshim.dll
2008-11-01 03:44 460,288 ----a-w c:\windows\AppPatch\AcSpecfc.dll
2008-11-01 03:44 2,154,496 ----a-w c:\windows\AppPatch\AcGenral.dll
2008-11-01 03:44 173,056 ----a-w c:\windows\AppPatch\AcXtrnal.dll
2008-06-01 00:19 174 --sha-w c:\program files\desktop.ini
2006-10-12 19:56 35,840 --sh--w c:\windows\Ti645063ta.exe
2006-10-12 19:56 35,840 --sh--w c:\windows\M35838\EmangEloh.exe
2006-10-12 19:56 35,840 --sh--w c:\windows\M35838\Ja856821bLay.com
2006-10-12 19:56 35,840 --sha-w c:\windows\System32\X51335go\Z127387cie.cmd
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-25 136600]
"Agent Banque 3.0 Manager"="c:\program files\Banque 3.0 Manager\Bin\Bq30tna.exe" [2008-10-11 3752448]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"Agent BanqueManager"="c:\program files\Banque 3.0 Manager\Bin\Bq30tna.exe" [2008-10-11 3752448]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

c:\users\Invit‚\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]
sql.cmd [2006-10-12 35840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="explorer.exe, \"c:\users\Ali\AppData\Roaming\Microsoft\Windows\Templates\O64746Z\TuxO64746Z.exe\""
"Userinit"="c:\windows\system32\userinit.exe , \"c:\windows\M35838\Ja856821bLay.com\""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{DA1DCFFC-C284-40A1-9574-5C6CD1BB31EF}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{4F8425B8-BE37-40A2-8CDD-409CD116D012}c:\\program files\\live-player\\live-player.exe"= UDP:c:\program files\live-player\live-player.exe:Live-Player
"UDP Query User{259D42AA-2372-40B9-8474-3DF219274D42}c:\\program files\\live-player\\live-player.exe"= TCP:c:\program files\live-player\live-player.exe:Live-Player
"TCP Query User{EEFB7112-D106-46D5-B603-4467A73BA7C1}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{0E6B4784-8337-42C1-B2A9-56E8612A0092}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-06-03 1527900]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b22511ba-30be-11dd-b6ea-001a801dc7a7}]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\copy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b22511bd-30be-11dd-b6ea-001a801dc7a7}]
\shell\AutoRun\command - E:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b22511c7-30be-11dd-b6ea-001a801dc7a7}]
\shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\copy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b22511ca-30be-11dd-b6ea-001a801dc7a7}]
\shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2b93820-3da4-11dd-8728-001b77e47675}]
\shell\AutoRun\command - ntde1ect.com
\shell\explore\Command - ntde1ect.com
\shell\open\Command - ntde1ect.com
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-T1358287TT4 - c:\windows\system32\127387645063l.exe
HKCU-Run-cmewg - c:\users\ali\appdata\local\cmewg.exe
HKLM-Run-T46Z273 - c:\windows\sa-865287.exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-30 19:00:40
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-01-30 19:02:55
ComboFix-quarantined-files.txt 2009-01-30 18:02:52

Avant-CF: 169 958 170 624 octets libres
Après-CF: 169,974,743,040 octets libres

151 --- E O F --- 2009-01-30 17:58:00

___________________________________________

Reposte un rapport Hijackthis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:17:11, on 30/01/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Banque 3.0 Manager\Bin\Bq30tna.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=explorer.exe, "C:\Users\Ali\AppData\Roaming\Microsoft\Windows\Templates\O64746Z\TuxO64746Z.exe"
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe , "C:\Windows\M35838\Ja856821bLay.com"
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Agent Banque 3.0 Manager] C:\Program Files\Banque 3.0 Manager\Bin\Bq30tna.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Agent BanqueManager] C:\Program Files\Banque 3.0 Manager\Bin\Bq30tna.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T46Z273] C:\Windows\sa-865287.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [T1358287TT4] C:\Windows\system32\127387645063l.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OFFICE One 6.5.lnk = E:\Divers\OFFICE One6.5\program\quickstart.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global User Startup: Z127387cie.cmd
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe

--
End of file - 5610 bytes

Avant de se lancer dans la suppression, analyse les deux fichiers suivants sur VirusTotal puis poste le rapport ;
C:\Users\Ali\AppData\Roaming\Microsoft\Windows\Templates\O64746Z\TuxO64746Z.exe
C:\Windows\M35838\Ja856821bLay.com

Bonjour,

Peux-tu mexpliquer comment il faut faire stp.

chaque fois que j'essaye de le faire ca me met et gros : EXEPTION

C'est VirusTotal qui te dit ça ? Le mode d'emploi :

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal

Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : Chemin\Fichier

Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.

Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.

Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté

Une nouvelle fenêtre de ton navigateur va apparaître

Clique alors sur cette image :

Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier

Enfin colle le résultat dans ta prochaine réponse.

Fais la même chose avec ces fichiers : Chemin\Fichier

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

Oui cest Virus Total qi me disait ca ... mais en meme temps vu que je n'arrivais pas à trouver les fichiers que tu m'avais ecrit : je faisais un peu à taton.

Je rencontre un autre problème (j'en ai trop marre ce PC va bientot passer par la fenetre...lol) Lorsque je décoche : masquer les fichiers protégé du systeme d'exploitation. je fais apliquer ( c'est cool ca reste décoché) et quand je fais OK la fentre se ferme donc je pense que c'est bon ==> mais non cr quand je recherche les fichiers avec Virus Total je ne les trouve pas. je retourne donc dans le panneau de configue et je m'aperçois que la case que j'avais préalablement décoché était cocher. Je refais donc la manip mais rien a faire le PC n'en fait qu'à sa tete et ne veut pas laisser cette case décoché. Que faut il faire pour le faire accepter cette modification sans qu'il riposte???

En attendant ta réponse, je vais re re essayer qui sait à force d'insister ca va peut etre aller.

Au lieu de chercher, tu peux coller le chemin du fichier (c:\...) dans la case.

Fichier TuxO64746Z.exe reçu le 2009.02.01 20:07:58 (CET)Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.02.01 Worm.Win32.VB.cz!IK
AhnLab-V3 5.0.0.2 2009.01.31 Win32/Xema.worm.32768
AntiVir 7.9.0.60 2009.01.30 Worm/VB.CZ.14.A
Authentium 5.1.0.4 2009.02.01 W32/Worm.AJ
Avast 4.8.1281.0 2009.02.01 Win32:VB-BQD
AVG 8.0.0.229 2009.01.31 Worm/VB.UG
BitDefender 7.2 2009.02.01 Win32.Lightmoon.A
CAT-QuickHeal 10.00 2009.01.31 Worm.VB.cz
ClamAV 0.94.1 2009.02.01 Worm.VB-89
Comodo 957 2009.02.01 Worm.Win32.NoonLight.B
DrWeb 4.44.0.09170 2009.02.01 BackDoor.Generic.1469
eSafe 7.0.17.0 2009.02.01 Win32.VB.cz
eTrust-Vet 31.6.6335 2009.01.29 Win32/Kumoo.B
F-Prot 4.4.4.56 2009.02.01 W32/Worm.AJ
F-Secure 8.0.14470.0 2009.02.01 Worm.Win32.VB.cz
Fortinet 3.117.0.0 2009.02.01 W32/Bobandy.CZ!worm
GData 19 2009.02.01 Win32.Lightmoon.A
Ikarus T3.1.1.45.0 2009.02.01 Worm.Win32.VB.cz
K7AntiVirus 7.10.612 2009.01.31 Worm.Win32.VB.cz
Kaspersky 7.0.0.125 2009.02.01 Worm.Win32.VB.cz
McAfee 5512 2009.01.31 Generic.dx
McAfee+Artemis 5512 2009.01.31 Generic.dx
Microsoft 1.4306 2009.02.01 Worm:Win32/Lightmoon.gen@mm!A
NOD32 3816 2009.02.01 Win32/NoonLight.B
Norman 6.00.02 2009.01.31 Lightmoon.Z
nProtect 2009.1.8.0 2009.01.30 Worm/W32.Moonlight.32768
Panda 9.5.1.2 2009.02.01 W32/Moonlight.A.worm
PCTools 4.4.2.0 2009.02.01 Worm.VB!sd5
Prevx1 V2 2009.02.01 Worm
Rising 21.14.61.00 2009.02.01 Worm.VB.fa
SecureWeb-Gateway 6.7.6 2009.01.30 Worm.VB.CZ.14.A
Sophos 4.38.0 2009.02.01 W32/Bobandy-D
Sunbelt 3.2.1835.2 2009.01.16 Worm.Win32.Moonlight.gen (v)
Symantec 10 2009.02.01 W32.Rontokbro@mm
TheHacker 6.3.1.5.243 2009.02.01 W32/VB.cz
TrendMicro 8.700.0.1004 2009.01.30 WORM_MOONLIGHT.B
VBA32 3.12.8.12 2009.02.01 Worm.Win32.VB.cz
ViRobot 2009.1.31.1583 2009.01.31 Worm.Win32.VB.32768
VirusBuster 4.5.11.0 2009.02.01 Worm.VB.WKJ

Information additionnelle
File size: 35840 bytes
MD5...: 3653c2b200cc4fdfead0116e13e78103
SHA1..: ca724ab83622655b4383c6f22aa60d89a486da87
SHA256: de4c5f0b764150a81d179a43568e61e65234fdc82afc242bd5d6d1c0f0e7665b
SHA512: e9ad8c21b21ec49cd3bc94a665b577d99cbf8cf397edb8efa395383155722979<BR>6671fed6fb787efd947e6f59e3b46f01c7ed8def8fcaec3e083d49a5c2626a91<BR>
ssdeep: 384:BmpUto8E6qhIA8ZfiSM+3/marB4djzuf4uFfTlCTZ94GgR01eEe/tfF1Xfvg<BR>mraJ:MpUt1E/8mS+amkLFRccny45nHguUL<BR>
PEiD..: PECompact 2.xx --> BitSum Technologies
TrID..: File type identification<BR>Win32 EXE PECompact compressed (v2.x) (52.1%)<BR>Win32 EXE PECompact compressed (generic) (36.7%)<BR>Win32 Executable Generic (7.5%)<BR>Generic Win/DOS Executable (1.7%)<BR>DOS Executable Generic (1.7%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x118c<BR>timedatestamp.....: 0x404bd310 (Mon Mar 08 01:57:36 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 2 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x17000 0x4a00 7.96 5023354c1add9166787e11b423f5809d<BR>.rsrc 0x18000 0x4000 0x4000 4.43 84b2f406a097de4804dba0542f56faac<BR><BR>( 1 imports ) <BR>> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree<BR><BR>( 0 exports ) <BR>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=3653c2b200c...' target='_blank'>http://www.threatexpert.com/report.aspx?md5=3653c2b200c...;/a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=967BBCC0...' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=967BBCC0...;/a>
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD...' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD...;/a>

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.02.01 Worm.Win32.VB.cz!IK
AhnLab-V3 5.0.0.2 2009.01.31 Win32/Xema.worm.32768
AntiVir 7.9.0.60 2009.01.30 Worm/VB.CZ.14.A
Authentium 5.1.0.4 2009.02.01 W32/Worm.AJ
Avast 4.8.1281.0 2009.02.01 Win32:VB-BQD
AVG 8.0.0.229 2009.01.31 Worm/VB.UG
BitDefender 7.2 2009.02.01 Win32.Lightmoon.A
CAT-QuickHeal 10.00 2009.01.31 Worm.VB.cz
ClamAV 0.94.1 2009.02.01 Worm.VB-89
Comodo 957 2009.02.01 Worm.Win32.NoonLight.B
DrWeb 4.44.0.09170 2009.02.01 BackDoor.Generic.1469
eSafe 7.0.17.0 2009.02.01 Win32.VB.cz
eTrust-Vet 31.6.6335 2009.01.29 Win32/Kumoo.B
F-Prot 4.4.4.56 2009.02.01 W32/Worm.AJ
F-Secure 8.0.14470.0 2009.02.01 Worm.Win32.VB.cz
Fortinet 3.117.0.0 2009.02.01 W32/Bobandy.CZ!worm
GData 19 2009.02.01 Win32.Lightmoon.A
Ikarus T3.1.1.45.0 2009.02.01 Worm.Win32.VB.cz
K7AntiVirus 7.10.612 2009.01.31 Worm.Win32.VB.cz
Kaspersky 7.0.0.125 2009.02.01 Worm.Win32.VB.cz
McAfee 5512 2009.01.31 Generic.dx
McAfee+Artemis 5512 2009.01.31 Generic.dx
Microsoft 1.4306 2009.02.01 Worm:Win32/Lightmoon.gen@mm!A
NOD32 3816 2009.02.01 Win32/NoonLight.B
Norman 6.00.02 2009.01.31 Lightmoon.Z
nProtect 2009.1.8.0 2009.01.30 Worm/W32.Moonlight.32768
Panda 9.5.1.2 2009.02.01 W32/Moonlight.A.worm
PCTools 4.4.2.0 2009.02.01 Worm.VB!sd5
Prevx1 V2 2009.02.01 Worm
Rising 21.14.61.00 2009.02.01 Worm.VB.fa
SecureWeb-Gateway 6.7.6 2009.01.30 Worm.VB.CZ.14.A
Sophos 4.38.0 2009.02.01 W32/Bobandy-D
Sunbelt 3.2.1835.2 2009.01.16 Worm.Win32.Moonlight.gen (v)
Symantec 10 2009.02.01 W32.Rontokbro@mm
TheHacker 6.3.1.5.243 2009.02.01 W32/VB.cz
TrendMicro 8.700.0.1004 2009.01.30 WORM_MOONLIGHT.B
VBA32 3.12.8.12 2009.02.01 Worm.Win32.VB.cz
ViRobot 2009.1.31.1583 2009.01.31 Worm.Win32.VB.32768
VirusBuster 4.5.11.0 2009.02.01 Worm.VB.WKJ

Information additionnelle
File size: 35840 bytes
MD5...: 3653c2b200cc4fdfead0116e13e78103
SHA1..: ca724ab83622655b4383c6f22aa60d89a486da87
SHA256: de4c5f0b764150a81d179a43568e61e65234fdc82afc242bd5d6d1c0f0e7665b
SHA512: e9ad8c21b21ec49cd3bc94a665b577d99cbf8cf397edb8efa395383155722979<BR>6671fed6fb787efd947e6f59e3b46f01c7ed8def8fcaec3e083d49a5c2626a91<BR>
ssdeep: 384:BmpUto8E6qhIA8ZfiSM+3/marB4djzuf4uFfTlCTZ94GgR01eEe/tfF1Xfvg<BR>mraJ:MpUt1E/8mS+amkLFRccny45nHguUL<BR>
PEiD..: PECompact 2.xx --> BitSum Technologies
TrID..: File type identification<BR>Win32 EXE PECompact compressed (v2.x) (52.1%)<BR>Win32 EXE PECompact compressed (generic) (36.7%)<BR>Win32 Executable Generic (7.5%)<BR>Generic Win/DOS Executable (1.7%)<BR>DOS Executable Generic (1.7%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x118c<BR>timedatestamp.....: 0x404bd310 (Mon Mar 08 01:57:36 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 2 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x17000 0x4a00 7.96 5023354c1add9166787e11b423f5809d<BR>.rsrc 0x18000 0x4000 0x4000 4.43 84b2f406a097de4804dba0542f56faac<BR><BR>( 1 imports ) <BR>> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree<BR><BR>( 0 exports ) <BR>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=3653c2b200c...' target='_blank'>http://www.threatexpert.com/report.aspx?md5=3653c2b200c...;/a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=967BBCC0...' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=967BBCC0...;/a>
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD...' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD...;/a>

Fichier TuxO64746Z.exe reçu le 2009.02.01 20:07:58 (CET)Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.02.01 Worm.Win32.VB.cz!IK
AhnLab-V3 5.0.0.2 2009.01.31 Win32/Xema.worm.32768
AntiVir 7.9.0.60 2009.01.30 Worm/VB.CZ.14.A
Authentium 5.1.0.4 2009.02.01 W32/Worm.AJ
Avast 4.8.1281.0 2009.02.01 Win32:VB-BQD
AVG 8.0.0.229 2009.01.31 Worm/VB.UG
BitDefender 7.2 2009.02.01 Win32.Lightmoon.A
CAT-QuickHeal 10.00 2009.01.31 Worm.VB.cz
ClamAV 0.94.1 2009.02.01 Worm.VB-89
Comodo 957 2009.02.01 Worm.Win32.NoonLight.B
DrWeb 4.44.0.09170 2009.02.01 BackDoor.Generic.1469
eSafe 7.0.17.0 2009.02.01 Win32.VB.cz
eTrust-Vet 31.6.6335 2009.01.29 Win32/Kumoo.B
F-Prot 4.4.4.56 2009.02.01 W32/Worm.AJ
F-Secure 8.0.14470.0 2009.02.01 Worm.Win32.VB.cz
Fortinet 3.117.0.0 2009.02.01 W32/Bobandy.CZ!worm
GData 19 2009.02.01 Win32.Lightmoon.A
Ikarus T3.1.1.45.0 2009.02.01 Worm.Win32.VB.cz
K7AntiVirus 7.10.612 2009.01.31 Worm.Win32.VB.cz
Kaspersky 7.0.0.125 2009.02.01 Worm.Win32.VB.cz
McAfee 5512 2009.01.31 Generic.dx
McAfee+Artemis 5512 2009.01.31 Generic.dx
Microsoft 1.4306 2009.02.01 Worm:Win32/Lightmoon.gen@mm!A
NOD32 3816 2009.02.01 Win32/NoonLight.B
Norman 6.00.02 2009.01.31 Lightmoon.Z
nProtect 2009.1.8.0 2009.01.30 Worm/W32.Moonlight.32768
Panda 9.5.1.2 2009.02.01 W32/Moonlight.A.worm
PCTools 4.4.2.0 2009.02.01 Worm.VB!sd5
Prevx1 V2 2009.02.01 Worm
Rising 21.14.61.00 2009.02.01 Worm.VB.fa
SecureWeb-Gateway 6.7.6 2009.01.30 Worm.VB.CZ.14.A
Sophos 4.38.0 2009.02.01 W32/Bobandy-D
Sunbelt 3.2.1835.2 2009.01.16 Worm.Win32.Moonlight.gen (v)
Symantec 10 2009.02.01 W32.Rontokbro@mm
TheHacker 6.3.1.5.243 2009.02.01 W32/VB.cz
TrendMicro 8.700.0.1004 2009.01.30 WORM_MOONLIGHT.B
VBA32 3.12.8.12 2009.02.01 Worm.Win32.VB.cz
ViRobot 2009.1.31.1583 2009.01.31 Worm.Win32.VB.32768
VirusBuster 4.5.11.0 2009.02.01 Worm.VB.WKJ

Information additionnelle
File size: 35840 bytes
MD5...: 3653c2b200cc4fdfead0116e13e78103
SHA1..: ca724ab83622655b4383c6f22aa60d89a486da87
SHA256: de4c5f0b764150a81d179a43568e61e65234fdc82afc242bd5d6d1c0f0e7665b
SHA512: e9ad8c21b21ec49cd3bc94a665b577d99cbf8cf397edb8efa395383155722979<BR>6671fed6fb787efd947e6f59e3b46f01c7ed8def8fcaec3e083d49a5c2626a91<BR>
ssdeep: 384:BmpUto8E6qhIA8ZfiSM+3/marB4djzuf4uFfTlCTZ94GgR01eEe/tfF1Xfvg<BR>mraJ:MpUt1E/8mS+amkLFRccny45nHguUL<BR>
PEiD..: PECompact 2.xx --> BitSum Technologies
TrID..: File type identification<BR>Win32 EXE PECompact compressed (v2.x) (52.1%)<BR>Win32 EXE PECompact compressed (generic) (36.7%)<BR>Win32 Executable Generic (7.5%)<BR>Generic Win/DOS Executable (1.7%)<BR>DOS Executable Generic (1.7%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x118c<BR>timedatestamp.....: 0x404bd310 (Mon Mar 08 01:57:36 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 2 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x17000 0x4a00 7.96 5023354c1add9166787e11b423f5809d<BR>.rsrc 0x18000 0x4000 0x4000 4.43 84b2f406a097de4804dba0542f56faac<BR><BR>( 1 imports ) <BR>> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree<BR><BR>( 0 exports ) <BR>
ThreatExpert info: <A href="http://www.threatexpert.com/report.aspx?md5=3653c2b200c..." target=_blank>http://www.threatexpert.com/report.aspx?md5=3653c2b200c...;/A>
Prevx info: <A href="http://info.prevx.com/aboutprogramtext.asp?PX5=967BBCC0..." target=_blank>http://info.prevx.com/aboutprogramtext.asp?PX5=967BBCC0...;/A>
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
CWSandbox info: <A href="http://research.sunbelt-software.com/partnerresource/MD..." target=_blank>http://research.sunbelt-software.com/partnerresource/MD...;/A>

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.02.01 Worm.Win32.VB.cz!IK
AhnLab-V3 5.0.0.2 2009.01.31 Win32/Xema.worm.32768
AntiVir 7.9.0.60 2009.01.30 Worm/VB.CZ.14.A
Authentium 5.1.0.4 2009.02.01 W32/Worm.AJ
Avast 4.8.1281.0 2009.02.01 Win32:VB-BQD
AVG 8.0.0.229 2009.01.31 Worm/VB.UG
BitDefender 7.2 2009.02.01 Win32.Lightmoon.A
CAT-QuickHeal 10.00 2009.01.31 Worm.VB.cz
ClamAV 0.94.1 2009.02.01 Worm.VB-89
Comodo 957 2009.02.01 Worm.Win32.NoonLight.B
DrWeb 4.44.0.09170 2009.02.01 BackDoor.Generic.1469
eSafe 7.0.17.0 2009.02.01 Win32.VB.cz
eTrust-Vet 31.6.6335 2009.01.29 Win32/Kumoo.B
F-Prot 4.4.4.56 2009.02.01 W32/Worm.AJ
F-Secure 8.0.14470.0 2009.02.01 Worm.Win32.VB.cz
Fortinet 3.117.0.0 2009.02.01 W32/Bobandy.CZ!worm
GData 19 2009.02.01 Win32.Lightmoon.A
Ikarus T3.1.1.45.0 2009.02.01 Worm.Win32.VB.cz
K7AntiVirus 7.10.612 2009.01.31 Worm.Win32.VB.cz
Kaspersky 7.0.0.125 2009.02.01 Worm.Win32.VB.cz
McAfee 5512 2009.01.31 Generic.dx
McAfee+Artemis 5512 2009.01.31 Generic.dx
Microsoft 1.4306 2009.02.01 Worm:Win32/Lightmoon.gen@mm!A
NOD32 3816 2009.02.01 Win32/NoonLight.B
Norman 6.00.02 2009.01.31 Lightmoon.Z
nProtect 2009.1.8.0 2009.01.30 Worm/W32.Moonlight.32768
Panda 9.5.1.2 2009.02.01 W32/Moonlight.A.worm
PCTools 4.4.2.0 2009.02.01 Worm.VB!sd5
Prevx1 V2 2009.02.01 Worm
Rising 21.14.61.00 2009.02.01 Worm.VB.fa
SecureWeb-Gateway 6.7.6 2009.01.30 Worm.VB.CZ.14.A
Sophos 4.38.0 2009.02.01 W32/Bobandy-D
Sunbelt 3.2.1835.2 2009.01.16 Worm.Win32.Moonlight.gen (v)
Symantec 10 2009.02.01 W32.Rontokbro@mm
TheHacker 6.3.1.5.243 2009.02.01 W32/VB.cz
TrendMicro 8.700.0.1004 2009.01.30 WORM_MOONLIGHT.B
VBA32 3.12.8.12 2009.02.01 Worm.Win32.VB.cz
ViRobot 2009.1.31.1583 2009.01.31 Worm.Win32.VB.32768
VirusBuster 4.5.11.0 2009.02.01 Worm.VB.WKJ

Information additionnelle
File size: 35840 bytes
MD5...: 3653c2b200cc4fdfead0116e13e78103
SHA1..: ca724ab83622655b4383c6f22aa60d89a486da87
SHA256: de4c5f0b764150a81d179a43568e61e65234fdc82afc242bd5d6d1c0f0e7665b
SHA512: e9ad8c21b21ec49cd3bc94a665b577d99cbf8cf397edb8efa395383155722979<BR>6671fed6fb787efd947e6f59e3b46f01c7ed8def8fcaec3e083d49a5c2626a91<BR>
ssdeep: 384:BmpUto8E6qhIA8ZfiSM+3/marB4djzuf4uFfTlCTZ94GgR01eEe/tfF1Xfvg<BR>mraJ:MpUt1E/8mS+amkLFRccny45nHguUL<BR>
PEiD..: PECompact 2.xx --> BitSum Technologies
TrID..: File type identification<BR>Win32 EXE PECompact compressed (v2.x) (52.1%)<BR>Win32 EXE PECompact compressed (generic) (36.7%)<BR>Win32 Executable Generic (7.5%)<BR>Generic Win/DOS Executable (1.7%)<BR>DOS Executable Generic (1.7%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x118c<BR>timedatestamp.....: 0x404bd310 (Mon Mar 08 01:57:36 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 2 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x17000 0x4a00 7.96 5023354c1add9166787e11b423f5809d<BR>.rsrc 0x18000 0x4000 0x4000 4.43 84b2f406a097de4804dba0542f56faac<BR><BR>( 1 imports ) <BR>> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree<BR><BR>( 0 exports ) <BR>
ThreatExpert info: <A href="http://www.threatexpert.com/report.aspx?md5=3653c2b200c..." target=_blank>http://www.threatexpert.com/report.aspx?md5=3653c2b200c...;/A>
Prevx info: <A href="http://info.prevx.com/aboutprogramtext.asp?PX5=967BBCC0..." target=_blank>http://info.prevx.com/aboutprogramtext.asp?PX5=967BBCC0...;/A>
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
CWSandbox info: <A href="http://research.sunbelt-software.com/partnerresource/MD..." target=_blank>http://research.sunbelt-software.com/partnerresource/MD...;/A>

Fichier Ja856821bLay.com_ reçu le 2009.02.01 20:24:54 (CET)Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.02.01 Worm.Win32.VB.cz!IK
AhnLab-V3 5.0.0.2 2009.01.31 Win32/Xema.worm.32768
AntiVir 7.9.0.60 2009.01.30 Worm/VB.CZ.14.A
Authentium 5.1.0.4 2009.02.01 W32/Worm.AJ
Avast 4.8.1281.0 2009.02.01 Win32:VB-BQD
AVG 8.0.0.229 2009.01.31 Worm/VB.UG
BitDefender 7.2 2009.02.01 Win32.Lightmoon.A
CAT-QuickHeal 10.00 2009.01.31 Worm.VB.cz
ClamAV 0.94.1 2009.02.01 Worm.VB-89
Comodo 957 2009.02.01 Worm.Win32.NoonLight.B
DrWeb 4.44.0.09170 2009.02.01 BackDoor.Generic.1469
eSafe 7.0.17.0 2009.02.01 Win32.VB.cz
eTrust-Vet 31.6.6335 2009.01.29 Win32/Kumoo.B
F-Prot 4.4.4.56 2009.02.01 W32/Worm.AJ
F-Secure 8.0.14470.0 2009.02.01 Worm.Win32.VB.cz
Fortinet 3.117.0.0 2009.02.01 W32/Bobandy.CZ!worm
GData 19 2009.02.01 Win32.Lightmoon.A
Ikarus T3.1.1.45.0 2009.02.01 Worm.Win32.VB.cz
K7AntiVirus 7.10.612 2009.01.31 Worm.Win32.VB.cz
Kaspersky 7.0.0.125 2009.02.01 Worm.Win32.VB.cz
McAfee 5512 2009.01.31 Generic.dx
McAfee+Artemis 5512 2009.01.31 Generic.dx
Microsoft 1.4306 2009.02.01 Worm:Win32/Lightmoon.gen@mm!A
NOD32 3816 2009.02.01 Win32/NoonLight.B
Norman 6.00.02 2009.01.31 Lightmoon.Z
nProtect 2009.1.8.0 2009.01.30 Worm/W32.Moonlight.32768
Panda 9.5.1.2 2009.02.01 W32/Moonlight.A.worm
PCTools 4.4.2.0 2009.02.01 Worm.VB!sd5
Prevx1 V2 2009.02.01 Worm
Rising 21.14.61.00 2009.02.01 Worm.VB.fa
SecureWeb-Gateway 6.7.6 2009.01.30 Worm.VB.CZ.14.A
Sophos 4.38.0 2009.02.01 W32/Bobandy-D
Sunbelt 3.2.1835.2 2009.01.16 Worm.Win32.Moonlight.gen (v)
Symantec 10 2009.02.01 W32.Rontokbro@mm
TheHacker 6.3.1.5.243 2009.02.01 W32/VB.cz
TrendMicro 8.700.0.1004 2009.01.30 WORM_MOONLIGHT.B
VBA32 3.12.8.12 2009.02.01 Worm.Win32.VB.cz
ViRobot 2009.1.31.1583 2009.01.31 Worm.Win32.VB.32768
VirusBuster 4.5.11.0 2009.02.01 Worm.VB.WKJ

Information additionnelle
File size: 35840 bytes
MD5...: 3653c2b200cc4fdfead0116e13e78103
SHA1..: ca724ab83622655b4383c6f22aa60d89a486da87
SHA256: de4c5f0b764150a81d179a43568e61e65234fdc82afc242bd5d6d1c0f0e7665b
SHA512: e9ad8c21b21ec49cd3bc94a665b577d99cbf8cf397edb8efa395383155722979<BR>6671fed6fb787efd947e6f59e3b46f01c7ed8def8fcaec3e083d49a5c2626a91<BR>
ssdeep: 384:BmpUto8E6qhIA8ZfiSM+3/marB4djzuf4uFfTlCTZ94GgR01eEe/tfF1Xfvg<BR>mraJ:MpUt1E/8mS+amkLFRccny45nHguUL<BR>
PEiD..: PECompact 2.xx --> BitSum Technologies
TrID..: File type identification<BR>Win32 EXE PECompact compressed (v2.x) (52.1%)<BR>Win32 EXE PECompact compressed (generic) (36.7%)<BR>Win32 Executable Generic (7.5%)<BR>Generic Win/DOS Executable (1.7%)<BR>DOS Executable Generic (1.7%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x118c<BR>timedatestamp.....: 0x404bd310 (Mon Mar 08 01:57:36 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 2 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x17000 0x4a00 7.96 5023354c1add9166787e11b423f5809d<BR>.rsrc 0x18000 0x4000 0x4000 4.43 84b2f406a097de4804dba0542f56faac<BR><BR>( 1 imports ) <BR>> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree<BR><BR>( 0 exports ) <BR>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=3653c2b200c...' target='_blank'>http://www.threatexpert.com/report.aspx?md5=3653c2b200c...;/a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=967BBCC0...' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=967BBCC0...;/a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD...' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD...;/a>
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.02.01 Worm.Win32.VB.cz!IK
AhnLab-V3 5.0.0.2 2009.01.31 Win32/Xema.worm.32768
AntiVir 7.9.0.60 2009.01.30 Worm/VB.CZ.14.A
Authentium 5.1.0.4 2009.02.01 W32/Worm.AJ
Avast 4.8.1281.0 2009.02.01 Win32:VB-BQD
AVG 8.0.0.229 2009.01.31 Worm/VB.UG
BitDefender 7.2 2009.02.01 Win32.Lightmoon.A
CAT-QuickHeal 10.00 2009.01.31 Worm.VB.cz
ClamAV 0.94.1 2009.02.01 Worm.VB-89
Comodo 957 2009.02.01 Worm.Win32.NoonLight.B
DrWeb 4.44.0.09170 2009.02.01 BackDoor.Generic.1469
eSafe 7.0.17.0 2009.02.01 Win32.VB.cz
eTrust-Vet 31.6.6335 2009.01.29 Win32/Kumoo.B
F-Prot 4.4.4.56 2009.02.01 W32/Worm.AJ
F-Secure 8.0.14470.0 2009.02.01 Worm.Win32.VB.cz
Fortinet 3.117.0.0 2009.02.01 W32/Bobandy.CZ!worm
GData 19 2009.02.01 Win32.Lightmoon.A
Ikarus T3.1.1.45.0 2009.02.01 Worm.Win32.VB.cz
K7AntiVirus 7.10.612 2009.01.31 Worm.Win32.VB.cz
Kaspersky 7.0.0.125 2009.02.01 Worm.Win32.VB.cz
McAfee 5512 2009.01.31 Generic.dx
McAfee+Artemis 5512 2009.01.31 Generic.dx
Microsoft 1.4306 2009.02.01 Worm:Win32/Lightmoon.gen@mm!A
NOD32 3816 2009.02.01 Win32/NoonLight.B
Norman 6.00.02 2009.01.31 Lightmoon.Z
nProtect 2009.1.8.0 2009.01.30 Worm/W32.Moonlight.32768
Panda 9.5.1.2 2009.02.01 W32/Moonlight.A.worm
PCTools 4.4.2.0 2009.02.01 Worm.VB!sd5
Prevx1 V2 2009.02.01 Worm
Rising 21.14.61.00 2009.02.01 Worm.VB.fa
SecureWeb-Gateway 6.7.6 2009.01.30 Worm.VB.CZ.14.A
Sophos 4.38.0 2009.02.01 W32/Bobandy-D
Sunbelt 3.2.1835.2 2009.01.16 Worm.Win32.Moonlight.gen (v)
Symantec 10 2009.02.01 W32.Rontokbro@mm
TheHacker 6.3.1.5.243 2009.02.01 W32/VB.cz
TrendMicro 8.700.0.1004 2009.01.30 WORM_MOONLIGHT.B
VBA32 3.12.8.12 2009.02.01 Worm.Win32.VB.cz
ViRobot 2009.1.31.1583 2009.01.31 Worm.Win32.VB.32768
VirusBuster 4.5.11.0 2009.02.01 Worm.VB.WKJ

Information additionnelle
File size: 35840 bytes
MD5...: 3653c2b200cc4fdfead0116e13e78103
SHA1..: ca724ab83622655b4383c6f22aa60d89a486da87
SHA256: de4c5f0b764150a81d179a43568e61e65234fdc82afc242bd5d6d1c0f0e7665b
SHA512: e9ad8c21b21ec49cd3bc94a665b577d99cbf8cf397edb8efa395383155722979<BR>6671fed6fb787efd947e6f59e3b46f01c7ed8def8fcaec3e083d49a5c2626a91<BR>
ssdeep: 384:BmpUto8E6qhIA8ZfiSM+3/marB4djzuf4uFfTlCTZ94GgR01eEe/tfF1Xfvg<BR>mraJ:MpUt1E/8mS+amkLFRccny45nHguUL<BR>
PEiD..: PECompact 2.xx --> BitSum Technologies
TrID..: File type identification<BR>Win32 EXE PECompact compressed (v2.x) (52.1%)<BR>Win32 EXE PECompact compressed (generic) (36.7%)<BR>Win32 Executable Generic (7.5%)<BR>Generic Win/DOS Executable (1.7%)<BR>DOS Executable Generic (1.7%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x118c<BR>timedatestamp.....: 0x404bd310 (Mon Mar 08 01:57:36 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 2 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x17000 0x4a00 7.96 5023354c1add9166787e11b423f5809d<BR>.rsrc 0x18000 0x4000 0x4000 4.43 84b2f406a097de4804dba0542f56faac<BR><BR>( 1 imports ) <BR>> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree<BR><BR>( 0 exports ) <BR>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=3653c2b200c...' target='_blank'>http://www.threatexpert.com/report.aspx?md5=3653c2b200c...;/a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=967BBCC0...' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=967BBCC0...;/a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD...' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD...;/a>
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact

Re,

Relance Hijackthis (clique droit -> lancer en tant qu'adminstrateur sous Vista), do a system scan only, coche ces lignes (si toujours présentes) :

Ferme toutes les applications en cours (particulièrement ton navigateur Internet).
Puis Fix Checked !

&

Télécharge OTMoveIt3 (de OldTimer). Sauvegarde-le sur ton Bureau.
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :



Double clique sur OTMoveIt3.exe afin de le lancer.
Colle (ou Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
Clique maintenant sur le bouton [#ff0000]MoveIt![/#f] puis ferme OTMoveIt3.

[#ff0000]Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.[/#f]

Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

========== FILES ==========
C:\Users\Ali\AppData\Roaming\Microsoft\Windows\Templates\O64746Z\TuxO64746Z.exe moved successfully.
C:\Windows\M35838\Ja856821bLay.com moved successfully.
C:\Windows\sa-865287.exe moved successfully.
C:\Windows\system32\127387645063l.exe moved successfully.
========== COMMANDS ==========
File delete failed. C:\Users\Ali\AppData\Local\Temp\~DFD28E.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\Ali\AppData\Local\Temp\~DFD293.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02022009_135941

Files moved on Reboot...
File C:\Users\Ali\AppData\Local\Temp\~DFD28E.tmp not found!
File C:\Users\Ali\AppData\Local\Temp\~DFD293.tmp not found!

Reposte un rapport Hijackthis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:06, on 02/02/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Banque 3.0 Manager\Bin\Bq30tna.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Agent Banque 3.0 Manager] C:\Program Files\Banque 3.0 Manager\Bin\Bq30tna.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Agent BanqueManager] C:\Program Files\Banque 3.0 Manager\Bin\Bq30tna.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OFFICE One 6.5.lnk = E:\Divers\OFFICE One6.5\program\quickstart.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: sql.cmd
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe

--
End of file - 4829 bytes

Tu as encore des soucis ?

Il y a toujours Antivir qui me détecte toutes les secondes WORM..... dans des programme différents à chaque fois. J'ai limpression que mon PC est entièrement envahi par ces vers ...

Quel emplacement ?

Il en trouve partout c'est ca le souci.... Il m'annonce des WORM/VB.CZ.14.A toutes les 3secondes et jamais aux mêmes emplacement.

Non en fait c'est bon , enfin je crois : J'ai fais un scan complet et apparement il m'a tout mit en quarantaine (plus de 130 detection) et là je n'ai plus d'affichage toutes les secondes...
En tout cas merci beaucoup de ton aide et d'avoir été trés patient.

Juste une derniere petite chose (si ce n'est pas trop abusé...) Comment faire pour ne pas avoir de page pub qui s'ouvre souvent quand je suis sur le net?

Ciao

Tu as encore des pubs ?

Non sur ce Pc je n'en ai plus depuis que tu a gentillement tout remi en ordre. C'était juste une question s'il y a une manip a faire car j'ai un autre ordi (fixe à la maison) qui ceci dit marche très bien. Mais qui a tentence à afficher des pages pub. Mais bon rien de grave, c'est gérable.
C'était juste pour savoir s'il y a un paramétrage spécial pour ne plus avoir de page pub.

Bah cpeut être une infection, sinon passe à Firefox.

daccord. Mais bon rien de grave non? Avec Firefox il n'y en a pas ?

Normalement il bloque.

oui c'est vrai !!! je l'ai telechargé : c'est nikel.

encore merci pour tout!!

Bonne continuation.