[Résolu] PC infecté - rapport Hijackthis

Bonjour,


1/

Démarre Spybot, clique sur Mode, coche Mode avancé.

A gauche, clique sur Outils, puis sur Résident.

Décoche la case devant Résident "TeaTimer" :

Quitte Spybot.


2/

Télécharge Ad-Remover (de C_XX) sur ton Bureau.

Déconnecte-toi et ferme toutes applications en cours.

Double-clique sur AD-R situé sur ton Bureau pour le lancer.

Choisis Nettoyer puis valide.

Poste le rapport qui apparaît à la fin (C:\Ad-Report-CLEAN.log).

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Merci pour ton aide.
Impossible de démarrer Spybot sur mon PC. Je l'ai re-téléchargé et à chaque fois impossible de l'installer : "Error sending request. The server name or address coud not be resolved".

Tu peux le désinstaller ?

oui apparemment c'est bon

Ok, fais la suite.

Voici le rapport d' Ad-Remover :
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 13:30:57 le 15/04/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP™ Service Pack 3 - X86
Nom du PC: USER-459D1A5CAA | Utilisateur actuel: utilisateur (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
Service: *Application Updater*
.
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\cmw
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\New_tdf
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\tdf.zip
C:\Documents and Settings\All Users\Application Data\Trymedia
C:\Documents and Settings\utilisateur\Application Data\Dealio
C:\Documents and Settings\utilisateur\Application Data\pdfforge
ERREUR SUPPRESSION !! : C:\Documents and Settings\utilisateur\Application Data\Search Settings
C:\Documents and Settings\utilisateur\Favoris\MyQuickFinder.url
C:\Documents and Settings\utilisateur\Local Settings\Application Data\Gameztar Toolbar
C:\Program Files\Application Updater
C:\Program Files\Dealio Toolbar
C:\Program Files\Gameztar Toolbar
C:\Program Files\Mozilla FireFox\extensions\dealio@mybrowserbar.com
C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
C:\Program Files\Search Settings

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\CMW
HKCU\Software\Dealio
HKCU\Software\Gameztar Toolbar
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{342168F8-AE4A-41E8-A6B5-8FB9FECBEF37}
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\pdfforge
HKCU\Software\PopCap
HKCU\Software\Search Settings
HKLM\Software\Application Updater
HKLM\Software\Classes\CLSID\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\Installer\Products\05391F592A3AB1944A4045DB3DD44BD9
HKLM\Software\Classes\Installer\Products\96DC878CBD58B624183A7E1157AABE19
HKLM\Software\Classes\Interface\{629CD6C2-E4C5-4554-AEB8-12E4E2CD40FF}
HKLM\Software\Classes\Interface\{7697BC38-D0FA-454B-AC75-968B4CCABFCE}
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
HKLM\Software\Classes\SearchSettings.BHO
HKLM\Software\Classes\SearchSettings.BHO.1
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKLM\Software\Classes\TypeLib\{F5B8C69C-9B45-4A6A-9380-DF225C546AE7}
HKLM\Software\Dealio
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\05391F592A3AB1944A4045DB3DD44BD9
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\96DC878CBD58B624183A7E1157AABE19
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{95F19350-A3A2-491B-A404-54BDD34DB49D}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C878CD69-85DB-426B-81A3-E71175AAEB91}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Gameztar Toolbar
HKLM\Software\pdfforge
HKLM\Software\PopCap
HKLM\Software\Search Settings
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Application Updater\ApplicationUpdater.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Dealio Toolbar\FF\chrome.manifest
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Dealio Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.properties
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Dealio Toolbar\FF\components\dealioToolbarFF.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Dealio Toolbar\FF\install.rdf
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome.manifest
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.properties
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\install.rdf
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome.manifest
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome\locale\en-US\searchsettingsplugin.dtd
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\install.rdf
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\FF\chrome\locale\en-US\searchsettingsplugin.dtd
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\FF\components\SearchSettingsFF.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\FF\install.rdf
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettingsRes409.dll
.
(Orpheline) HKCU,Run - SpybotSD TeaTimer - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Fichier manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.5.9 (fr) *
.
C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\utilisateur\\Bureau
C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - browser.search.defaultenginename: Yahoo
C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - browser.search.selectedEngine: Yahoo
C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - browser.startup.homepage: hxxp://www.theprizeday.com/today.php|hxxp://www.google.fr/ig
C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.9
C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - keyword.URL: hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
.
EFFACÉ: C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - user_pref("general.useragent.extra.hotvideobar", "hotvideobar_2_2_862426831384166_175_643 VB_gameztar");
EFFACÉ: C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - user_pref("hotvideobar.startonce", "false");
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
============== SUSPECT(S) ==============
.
C:\Documents and Settings\utilisateur\Bureau\logiciel\graitec\CRACK\Effel.v14.1_crk.exe
C:\Documents and Settings\utilisateur\Bureau\logiciel\graitec\CRACK\Lz0.nfo
C:\Documents and Settings\utilisateur\Bureau\Ultimate Pack Chants Supporters PES by juni11\Nouveau dossier\ISS_ULTIMATE_PATCH_PES2010_EU_V3.0_Fix_[by_Wemerica_&_Keuch].rar
C:\Documents and Settings\utilisateur\Bureau\Ultimate Pack Chants Supporters PES by juni11\Nouveau dossier\Visit MySoccerPatch_com.URL
.
========================================
.
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp: 2 Fichier(s), 55 Dossier(s)
C:\WINDOWS\temp: 2 Fichier(s), 334 Dossier(s)
Temporary Internet Files: 2 Fichier(s), 19 Dossier(s)
.
C:\Ad-Remover\Quarantine: 19 Fichier(s)
C:\Ad-Remover\Backup: 14 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 10407 Octet(s)
.
Fin à: 13:35:39, 15/04/2010
.
============== E.O.F - CLEAN[1] ==============

Relance Ad-Remover et choisis Désinstaller.

Télécharge OTL (de OldTimer) sur ton Bureau.

Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.

Coche également les cases à côté de Recherche Lop et Recherche Purity.

Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.

Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

Pour me transmettre les rapports :

Clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.

Clique sur Ouvrir.

Clique sur Cliquez ici pour déposer le fichier.

Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.

Copie-colle ce lien dans ta réponse.

Impossible de me connecter sur le site : http://oldtimer.geekstogo.com/OTL.exe.
"Serveur introuvable
Firefox ne peut trouver le serveur à l'adresse oldtimer.geekstogo.com."
Même résultat avec internet explorer

Le lien fonctionne pourtant.

Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.

Double-clique sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.

Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.

Sélectionne Exécuter un examen rapide.

Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

Ferme tes navigateurs.

Si des malwares ont été détectés, clique sur Afficher les résultats.

Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Impossible de faire la mise à jour : "Une erreur est survenue. Veuillez transmettre au support de Malwarebytes' Anti-Malware le code d'erreur ci dessous. Error code: 732 (0, 0).
(Impossible de faire les mises à jour sur avast non plus).
Merci de ton aide

J'avais déjà télécharger Malwarebytes' Anti-Malware sur mon PC. Quand je clic sur ton lien "Malwarebytes' Anti-Malware (MBAM)" même message d'erreur que précédemment serveur introuvable.

Tu peux faire la mise à jour avec ceci :
http://www.malwarebytes.org/mbam/database/mbam-rules.ex...

non même message d'erreur

Réessaie.

toujours pareil.

Toujours le même message d'erreur. J'essaie de télécharger les logiciels sur d'autre site pour voir ou de copier et coller l'adresse dans la barre de navigation mais rien à faire toujours et encore le même message d'erreur. Par contre j'ai essayé de télécharger des logiciels type vlc... et la aucun souci.

Tu n'as pas un autre PC ?

J'en aurai un autre se weekend. Je recommence par télécharger OTL?
Je colle les liens des rapports d'OTL dans le weekend.
merci

Dis-moi si tu peux télécharger ComboFix à partir du lien suivant :
http://destrio5.free.fr/Telechargement_CCM/ComboFix.exe

Si oui, fais un scan et poste le rapport :
http://www.bleepingcomputer.com/combofix/fr/comment-uti...

J'ai pu télécharger Combofix voici le rapport :

ComboFix 10-04-14.04 - utilisateur 15/04/2010 21:13:39.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.895.604 [GMT 2:00]
Lancé depuis: c:\documents and settings\utilisateur\Mes documents\Téléchargements\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\lgo
c:\windows\rdr_1266956487.exe
c:\windows\rdr_1266961488.exe
c:\windows\rdr_1266965272.exe
c:\windows\rdr_1267013866.exe
c:\windows\rdr_1267017788.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SRVOKO6
-------\Service_srvoko6


((((((((((((((((((((((((((((( Fichiers créés du 2010-03-15 au 2010-04-15 ))))))))))))))))))))))))))))))))))))
.

2010-04-12 11:59 . 2010-04-15 09:11 -------- d-----w- c:\program files\trend micro
2010-04-09 10:03 . 2010-04-09 10:03 -------- d-----w- c:\documents and settings\utilisateur\Application Data\AVS4YOU
2010-04-09 10:01 . 2010-04-15 14:13 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
2010-04-09 10:00 . 2007-12-29 08:42 974848 ----a-w- c:\windows\system32\mfc70.dll
2010-04-09 10:00 . 2007-12-29 08:42 487424 ----a-w- c:\windows\system32\msvcp70.dll
2010-04-09 10:00 . 2010-04-15 14:13 -------- d-----w- c:\program files\AVS4YOU
2010-04-09 10:00 . 2008-07-17 15:25 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2010-04-09 09:12 . 2010-04-09 09:12 -------- d-----w- c:\documents and settings\utilisateur\Local Settings\Application Data\WMTools Downloaded Files

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-15 18:56 . 2010-02-08 23:30 -------- d-----w- c:\documents and settings\utilisateur\Application Data\vlc
2010-04-15 18:28 . 2009-10-22 16:50 -------- d-----w- c:\documents and settings\utilisateur\Application Data\dvdcss
2010-04-13 19:56 . 2010-02-15 20:39 -------- d-----w- c:\program files\Google
2010-04-09 10:03 . 2007-03-15 14:36 69264 ----a-w- c:\documents and settings\utilisateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-09 09:13 . 2009-11-23 19:36 -------- d-----w- c:\program files\Windows Media Connect 2
2010-04-08 18:07 . 2008-04-14 12:00 81824 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-08 18:07 . 2008-04-14 12:00 503894 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-28 19:47 . 2010-02-28 19:47 -------- d-----w- c:\documents and settings\utilisateur\Application Data\Malwarebytes
2010-02-28 19:47 . 2010-02-28 19:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-28 19:47 . 2010-02-28 19:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-28 19:33 . 2010-02-25 11:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-02-25 18:33 . 2010-02-09 19:36 -------- d-----w- c:\program files\PokerStars.NET
2010-02-24 15:10 . 2010-02-24 15:10 212 ----a-w- C:\curr_ver.tmp
2010-02-24 14:51 . 2010-02-23 21:18 -------- d-----w- c:\program files\Navilog1
2010-02-19 02:23 . 2007-03-22 12:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-02-19 02:12 . 2007-03-22 13:03 -------- d-----w- c:\program files\Microsoft Works
2010-02-16 18:58 . 2010-02-16 18:58 -------- d-----w- c:\program files\Microsoft Silverlight
2010-02-11 18:53 . 2009-12-25 18:39 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-02-11 18:53 . 2009-12-25 18:38 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-02-11 18:42 . 2009-12-25 18:39 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-02-11 18:42 . 2009-12-25 18:39 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-02-11 18:39 . 2009-12-25 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-02-11 18:38 . 2009-12-25 18:39 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-02-11 18:38 . 2009-12-25 18:39 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-02-11 18:38 . 2009-12-25 18:39 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-02-11 18:38 . 2009-12-25 18:39 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="c:\windows\ATK0100\HControl.exe" [2007-03-15 106496]
"SMSERIAL"="sm56hlpr.exe" [2007-03-15 544768]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-15 16270848]
"SkyTel"="SkyTel.EXE" [2007-03-15 2879488]
"Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-08 344064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-02-11 2756488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"= 8085:TCP:GateOKO

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22/03/2007 15:28 721904]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [25/12/2009 20:39 162512]
R1 o6ko;Sendmail VMware Auto for;c:\windows\system32\drivers\o6ko.sys [24/02/2009 04:28 32768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [25/12/2009 20:39 19024]
R3 SynMini;USB2.0 1.3M WebCam;c:\windows\system32\drivers\SynMini.sys [03/07/2006 11:33 1056512]
R3 SynScan;USB2.0 1.3M WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [30/06/2006 11:40 8064]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [15/02/2010 22:39 135664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
netsvc6 REG_MULTI_SZ srvoko6
.
Contenu du dossier 'Tâches planifiées'

2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 20:39]

2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 20:39]

2010-04-15 c:\windows\Tasks\User_Feed_Synchronization-{275D3709-C622-4D69-8038-3DF74D8E9C90}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\PokerStars.NET\PokerStarsUpdate.exe
FF - ProfilePath - c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\mxdb3cz3.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.theprizeday.com/today.php|http://www.google.fr/ig
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
FF - component: c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\mxdb3cz3.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-15 21:19
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spwx.sys >>UNKNOWN [0x84B8E938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74dff28
\Driver\ACPI -> ACPI.sys @ 0xf7258cb8
\Driver\atapi -> atapi.sys @ 0xf71f5b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: Realtek RTL8139/810x Family Fast Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf70ecbd4
PacketIndicateHandler -> NDIS.sys @ 0xf70f8a21
SendHandler -> NDIS.sys @ 0xf70ecd44
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(628)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3000)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\program files\Alwil Software\Avast5\setup\avast.setup
.
**************************************************************************
.
Heure de fin: 2010-04-15 21:24:16 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-15 19:24

Avant-CF: 2 521 518 080 octets libres
Après-CF: 2 447 695 872 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - E10B672262D201B2325FE8711F7641A9

Avast vient de se mettre à jour ce qui n'était pas possible avant avant ce scan.

/!\ Seul clemeu42 peut suivre cette procédure /!\

Désactive toute protection résidente (Antivirus...) !

---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :


---> Ouvre le Bloc-notes : Démarrer > Tous les programmes > Accessoires > Bloc-notes.

- Colle (CTRL+V) le texte dans le Bloc-notes.
- Enregistre ce fichier dans : Bureau
- Nom du fichier : CFScript
- Type du fichier : tous les fichiers !!
- Clique sur Enregistrer.
- Quitte le Bloc-notes.

---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :

Cela va relancer Combofix : au message qui apparaît, accepte.

Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.

Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt

 

Internet semble fonctionner normalement depuis le scan et tous les liens que tu as posté ici fonctionne aussi. Donc faut-il faire d'autre scan pour voir si mon PC est enfin clean. En tout cas merci pour ta patience.

ok je fais la manip je t'ai écrit entre temps

Il reste une partie de l'infection Koobface.

Voici le rapport :

ComboFix 10-04-14.04 - utilisateur 15/04/2010 21:57:22.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.895.602 [GMT 2:00]
Lancé depuis: c:\documents and settings\utilisateur\Mes documents\Téléchargements\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\utilisateur\Bureau\CFScript.txt
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"c:\windows\system32\drivers\o6ko.sys"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_O6KO
-------\Service_o6ko


((((((((((((((((((((((((((((( Fichiers créés du 2010-03-15 au 2010-04-15 ))))))))))))))))))))))))))))))))))))
.

2010-04-12 11:59 . 2010-04-15 09:11 -------- d-----w- c:\program files\trend micro
2010-04-09 10:03 . 2010-04-09 10:03 -------- d-----w- c:\documents and settings\utilisateur\Application Data\AVS4YOU
2010-04-09 10:01 . 2010-04-15 14:13 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
2010-04-09 10:00 . 2007-12-29 08:42 974848 ----a-w- c:\windows\system32\mfc70.dll
2010-04-09 10:00 . 2007-12-29 08:42 487424 ----a-w- c:\windows\system32\msvcp70.dll
2010-04-09 10:00 . 2010-04-15 14:13 -------- d-----w- c:\program files\AVS4YOU
2010-04-09 10:00 . 2008-07-17 15:25 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2010-04-09 09:12 . 2010-04-09 09:12 -------- d-----w- c:\documents and settings\utilisateur\Local Settings\Application Data\WMTools Downloaded Files

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-15 18:56 . 2010-02-08 23:30 -------- d-----w- c:\documents and settings\utilisateur\Application Data\vlc
2010-04-15 18:28 . 2009-10-22 16:50 -------- d-----w- c:\documents and settings\utilisateur\Application Data\dvdcss
2010-04-14 16:47 . 2009-12-25 18:39 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-04-14 16:47 . 2009-12-25 18:38 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-04-14 16:35 . 2009-12-25 18:39 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-04-14 16:35 . 2009-12-25 18:39 162768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-04-14 16:31 . 2009-12-25 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-04-14 16:31 . 2009-12-25 18:39 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-04-14 16:31 . 2009-12-25 18:39 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-04-14 16:31 . 2009-12-25 18:39 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-04-14 16:30 . 2009-12-25 18:39 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-04-13 19:56 . 2010-02-15 20:39 -------- d-----w- c:\program files\Google
2010-04-09 10:03 . 2007-03-15 14:36 69264 ----a-w- c:\documents and settings\utilisateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-09 09:13 . 2009-11-23 19:36 -------- d-----w- c:\program files\Windows Media Connect 2
2010-04-08 18:07 . 2008-04-14 12:00 81824 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-08 18:07 . 2008-04-14 12:00 503894 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-28 19:47 . 2010-02-28 19:47 -------- d-----w- c:\documents and settings\utilisateur\Application Data\Malwarebytes
2010-02-28 19:47 . 2010-02-28 19:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-28 19:47 . 2010-02-28 19:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-28 19:33 . 2010-02-25 11:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-02-25 18:33 . 2010-02-09 19:36 -------- d-----w- c:\program files\PokerStars.NET
2010-02-24 15:10 . 2010-02-24 15:10 212 ----a-w- C:\curr_ver.tmp
2010-02-24 14:51 . 2010-02-23 21:18 -------- d-----w- c:\program files\Navilog1
2010-02-19 02:23 . 2007-03-22 12:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-02-19 02:12 . 2007-03-22 13:03 -------- d-----w- c:\program files\Microsoft Works
2010-02-16 18:58 . 2010-02-16 18:58 -------- d-----w- c:\program files\Microsoft Silverlight
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="c:\windows\ATK0100\HControl.exe" [2007-03-15 106496]
"SMSERIAL"="sm56hlpr.exe" [2007-03-15 544768]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-15 16270848]
"SkyTel"="SkyTel.EXE" [2007-03-15 2879488]
"Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-08 344064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-04-14 2790472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"= 8085:TCP:GateOKO

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22/03/2007 15:28 721904]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [25/12/2009 20:39 162768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [25/12/2009 20:39 19024]
R3 SynMini;USB2.0 1.3M WebCam;c:\windows\system32\drivers\SynMini.sys [03/07/2006 11:33 1056512]
R3 SynScan;USB2.0 1.3M WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [30/06/2006 11:40 8064]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [15/02/2010 22:39 135664]
.
Contenu du dossier 'Tâches planifiées'

2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 20:39]

2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 20:39]

2010-04-15 c:\windows\Tasks\User_Feed_Synchronization-{275D3709-C622-4D69-8038-3DF74D8E9C90}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\PokerStars.NET\PokerStarsUpdate.exe
FF - ProfilePath - c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\mxdb3cz3.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.theprizeday.com/today.php|http://www.google.fr/ig
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
FF - component: c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\mxdb3cz3.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-15 22:04
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spyi.sys >>UNKNOWN [0x84B8E938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74dff28
\Driver\ACPI -> ACPI.sys @ 0xf7258cb8
\Driver\atapi -> atapi.sys @ 0xf71f5b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: Realtek RTL8139/810x Family Fast Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf70ecbd4
PacketIndicateHandler -> NDIS.sys @ 0xf70f8a21
SendHandler -> NDIS.sys @ 0xf70ecd44
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(620)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(4068)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\RTHDCPL.EXE
.
**************************************************************************
.
Heure de fin: 2010-04-15 22:07:32 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-15 20:07
ComboFix2.txt 2010-04-15 19:24

Avant-CF: 2 409 758 720 octets libres
Après-CF: 2 378 055 680 octets libres

- - End Of File - - 4DA58212E009F678F59AC02DB46F1A93

Lance l'outil suivant et dis-moi ce qui se passe :
http://forum.malekal.com/load-tdsskiller-t22358.html

J'ai lancer l'outil et a la fin de l'analyse de l'analyse une fenêtre "bloc note" s'ouvre et elle est vide

Ok alors essaie celui-ci :
http://support.kaspersky.com/viruses/solutions?qid=2082...

Je lance TDSSkiller une fenêtre s'ouvre, tous les résultats sont à 0, j'appui sur une touche comme demander puis la fenêtre se ferme et rien.

Ok.

Tu peux faire le scan avec Malwarebytes' Anti-Malware ?

oui je le fais je vien de faire la mise a jour, ok

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3930

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16/04/2010 00:10:13
mbam-log-2010-04-16 (00-10-13).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 98690
Temps écoulé: 4 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

J'ai le rapport de TDSSkiller je l'avais pas vu excuse :

00:14:32:046 0488 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
00:14:32:046 0488 ================================================================================
00:14:32:046 0488 SystemInfo:

00:14:32:046 0488 OS Version: 5.1.2600 ServicePack: 3.0
00:14:32:046 0488 Product type: Workstation
00:14:32:046 0488 ComputerName: USER-459D1A5CAA
00:14:32:046 0488 UserName: utilisateur
00:14:32:046 0488 Windows directory: C:\WINDOWS
00:14:32:046 0488 Processor architecture: Intel x86
00:14:32:046 0488 Number of processors: 1
00:14:32:046 0488 Page size: 0x1000
00:14:32:046 0488 Boot type: Normal boot
00:14:32:046 0488 ================================================================================
00:14:32:046 0488 UnloadDriverW: NtUnloadDriver error 2
00:14:32:046 0488 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
00:14:32:062 0488 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
00:14:32:062 0488 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
00:14:32:062 0488 wfopen_ex: Trying to KLMD file open
00:14:32:062 0488 wfopen_ex: File opened ok (Flags 2)
00:14:32:062 0488 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
00:14:32:062 0488 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
00:14:32:062 0488 wfopen_ex: Trying to KLMD file open
00:14:32:062 0488 wfopen_ex: File opened ok (Flags 2)
00:14:32:062 0488 Initialize success
00:14:32:062 0488
00:14:32:062 0488 Scanning Services ...
00:14:32:531 0488 Raw services enum returned 336 services
00:14:32:546 0488
00:14:32:546 0488 Scanning Kernel memory ...
00:14:32:546 0488 Devices to scan: 2
00:14:32:546 0488
00:14:32:546 0488 Driver Name: Disk
00:14:32:546 0488 IRP_MJ_CREATE : F74E1BB0
00:14:32:546 0488 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
00:14:32:546 0488 IRP_MJ_CLOSE : F74E1BB0
00:14:32:546 0488 IRP_MJ_READ : F74DBD1F
00:14:32:546 0488 IRP_MJ_WRITE : F74DBD1F
00:14:32:546 0488 IRP_MJ_QUERY_INFORMATION : 804F355A
00:14:32:546 0488 IRP_MJ_SET_INFORMATION : 804F355A
00:14:32:546 0488 IRP_MJ_QUERY_EA : 804F355A
00:14:32:546 0488 IRP_MJ_SET_EA : 804F355A
00:14:32:546 0488 IRP_MJ_FLUSH_BUFFERS : F74DC2E2
00:14:32:546 0488 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
00:14:32:546 0488 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
00:14:32:546 0488 IRP_MJ_DIRECTORY_CONTROL : 804F355A
00:14:32:546 0488 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
00:14:32:546 0488 IRP_MJ_DEVICE_CONTROL : F74DC3BB
00:14:32:546 0488 IRP_MJ_INTERNAL_DEVICE_CONTROL : F74DFF28
00:14:32:546 0488 IRP_MJ_SHUTDOWN : F74DC2E2
00:14:32:546 0488 IRP_MJ_LOCK_CONTROL : 804F355A
00:14:32:546 0488 IRP_MJ_CLEANUP : 804F355A
00:14:32:546 0488 IRP_MJ_CREATE_MAILSLOT : 804F355A
00:14:32:546 0488 IRP_MJ_QUERY_SECURITY : 804F355A
00:14:32:546 0488 IRP_MJ_SET_SECURITY : 804F355A
00:14:32:546 0488 IRP_MJ_POWER : F74DDC82
00:14:32:546 0488 IRP_MJ_SYSTEM_CONTROL : F74E299E
00:14:32:546 0488 IRP_MJ_DEVICE_CHANGE : 804F355A
00:14:32:546 0488 IRP_MJ_QUERY_QUOTA : 804F355A
00:14:32:546 0488 IRP_MJ_SET_QUOTA : 804F355A
00:14:32:562 0488 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
00:14:32:562 0488
00:14:32:562 0488 Driver Name: atapi
00:14:32:562 0488 IRP_MJ_CREATE : F71F5B40
00:14:32:562 0488 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
00:14:32:562 0488 IRP_MJ_CLOSE : F71F5B40
00:14:32:562 0488 IRP_MJ_READ : 804F355A
00:14:32:562 0488 IRP_MJ_WRITE : 804F355A
00:14:32:562 0488 IRP_MJ_QUERY_INFORMATION : 804F355A
00:14:32:562 0488 IRP_MJ_SET_INFORMATION : 804F355A
00:14:32:562 0488 IRP_MJ_QUERY_EA : 804F355A
00:14:32:562 0488 IRP_MJ_SET_EA : 804F355A
00:14:32:562 0488 IRP_MJ_FLUSH_BUFFERS : 804F355A
00:14:32:562 0488 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
00:14:32:562 0488 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
00:14:32:562 0488 IRP_MJ_DIRECTORY_CONTROL : 804F355A
00:14:32:562 0488 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
00:14:32:562 0488 IRP_MJ_DEVICE_CONTROL : F71F5B40
00:14:32:562 0488 IRP_MJ_INTERNAL_DEVICE_CONTROL : F71F5B40
00:14:32:562 0488 IRP_MJ_SHUTDOWN : 804F355A
00:14:32:562 0488 IRP_MJ_LOCK_CONTROL : 804F355A
00:14:32:562 0488 IRP_MJ_CLEANUP : 804F355A
00:14:32:562 0488 IRP_MJ_CREATE_MAILSLOT : 804F355A
00:14:32:562 0488 IRP_MJ_QUERY_SECURITY : 804F355A
00:14:32:562 0488 IRP_MJ_SET_SECURITY : 804F355A
00:14:32:562 0488 IRP_MJ_POWER : F71F5B40
00:14:32:562 0488 IRP_MJ_SYSTEM_CONTROL : F71F5B40
00:14:32:562 0488 IRP_MJ_DEVICE_CHANGE : 804F355A
00:14:32:562 0488 IRP_MJ_QUERY_QUOTA : 804F355A
00:14:32:562 0488 IRP_MJ_SET_QUOTA : 804F355A
00:14:32:562 0488 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1
00:14:32:562 0488
00:14:32:562 0488 Completed
00:14:32:562 0488
00:14:32:562 0488 Results:
00:14:32:562 0488 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
00:14:32:562 0488 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
00:14:32:562 0488 File objects infected / cured / cured on reboot: 0 / 0 / 0
00:14:32:562 0488
00:14:32:562 0488 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
00:14:32:562 0488 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
00:14:33:203 0488 KLMD(ARK) unloaded successfully

Menu Démarrer > Exécuter > Tape ComboFix /uninstall et valide.

Peux-tu faire la manip' avec OTL ?

Comment va le PC ?

Excuse pour le retard! Le PC fonctionne normalement maintenant. Je peux faire la manip' avec OTL, je fais l'analyse?

Par contre j'avais déjà supprimé combofix clic droit supprimer donc "Menu Démarrer > Exécuter > Tape ComboFix /uninstall et valide." ne fonctionne pas, logique. J'ai fais une recherche dans tous les fichiers et dossier et apparemment plus de trace de Combofix.

Le dossier Qoobox à la racine de la partition C fait partie de ComboFix.

Tu peux faire l'analyse avec OTL.

Merci j'ai supprimé Qoobox et voici les liens de l'analyse d'OTL :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijcjn1n...
http://www.cijoint.fr/cjlink.php?file=cj201004/cijE1Ko3...

On a bientôt fini.

Désinstalle Softonic_France Toolbar.

Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

:OTL
FF - prefs.js..extensions.enabledItems: {F2DDDB92-1605-4260-9B25-45A4DAE87B50}:1.0
[2009/12/29 13:06:39 | 000,000,000 | ---D | M] (QuestService) -- C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50}
[2010/02/11 18:57:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\utilisateur\Application Data\Search Settings

:commands
[emptytemp]
[reboot]

Puis clique sur le bouton Correction en haut de la fenêtre.

Laisse le programme travailler, redémarre une fois le fix terminé.

Poste le rapport qui s'affichera après redémarrage.

Voici le rapport :

All processes killed
========== OTL ==========
Prefs.js: {F2DDDB92-1605-4260-9B25-45A4DAE87B50}:1.0 removed from extensions.enabledItems
C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50}\defaults\preferences folder moved successfully.
C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50}\defaults folder moved successfully.
C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50}\chrome folder moved successfully.
C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50} folder moved successfully.
C:\Documents and Settings\utilisateur\Application Data\Search Settings\kb130\temp folder moved successfully.
C:\Documents and Settings\utilisateur\Application Data\Search Settings\kb130 folder moved successfully.
C:\Documents and Settings\utilisateur\Application Data\Search Settings\kb128\temp folder moved successfully.
C:\Documents and Settings\utilisateur\Application Data\Search Settings\kb128 folder moved successfully.
C:\Documents and Settings\utilisateur\Application Data\Search Settings folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: utilisateur
->Temp folder emptied: 368107877 bytes
->Temporary Internet Files folder emptied: 27643662 bytes
->FireFox cache emptied: 87785672 bytes
->Google Chrome cache emptied: 594288 bytes
->Flash cache emptied: 53018 bytes

%systemdrive% .tmp files removed: 212 bytes
%systemroot% .tmp files removed: 2351795 bytes
%systemroot%\System32 .tmp files removed: 3175936 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 1784967 bytes

Total Files Cleaned = 469,00 mb


OTL by OldTimer - Version 3.2.1.2 log created on 04182010_143030

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\_avast5_\Webshlock.txt not found!

Registry entries deleted on Reboot...

1/

Télécharge ToolsCleaner2 sur ton Bureau.

Double-clique sur ToolsCleaner2.exe pour le lancer.

Clique sur Recherche et laisse le scan agir.

Clique sur Suppression pour finaliser.

Tu peux, si tu le souhaites, te servir des Options Facultatives.

Clique sur Quitter pour obtenir le rapport.

Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


2/

Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar).

Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....

Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


3/

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


==Prévention==

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Vérifie que les mises à jour automatiques sont bien activées (Menu Démarrer, clique droit sur Poste de travail, Propriétés, onglet Mises à jour automatiques).

Par rapport au P2P : Lien

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


==Problème résolu ?==

--> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :

Clique, dans ton premier message, sur le bouton Editer .

Ajoute la mention [Résolu] devant le titre.

Clique ensuite sur Valider votre message.


Sois plus vigilant(e) sur Internet  

Rapport de ToolsCleaner2, je fais la suite :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\utilisateur\Bureau\HijackThis.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\trend micro\HijackThis: trouvé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\utilisateur\Bureau\HijackThis.lnk: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\trend micro\HijackThis: supprimé !

Tu peux supprimer ToolsCleaner.

oui je l'ai supprimé