Infecté par WINDOWS WARNING MESSAGE - RESOLU

par **claripuce** » **22 Aoû 2008 16:01**

Bonjour,
J'ai eu le même problème d'infection avec "WINDOWS WARNING MESSAGE". J'ai fait la première étape à l'aide de Malwarebytes. Après redémarrage, j'ai lancé hijackthis et voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:34:01, on 22/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\All Users\Application Data\kdgpazed\ermdqvyx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\mponkpyv.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\GigaTribe\gigatribe.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Cécile Touron\Local Settings\Temporary Internet Files\Content.IE5\J7W5YFUQ\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/advanced_search?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\Cécile Touron\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
O4 - HKCU\..\Run: [CfgGen] C:\WINDOWS\system32\mponkpyv.exe
O4 - HKCU\..\Run: [strwin] C:\WINDOWS\system32\mbidcrub.exe
O4 - HKCU\..\Run: [SrvApi] C:\WINDOWS\system32\sbohwlyz.exe
O4 - HKLM\..\Policies\Explorer\Run: [uOOFWykY2S] C:\Documents and Settings\All Users\Application Data\kdgpazed\ermdqvyx.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Event Reminder.lnk = C:\pmw\PMREMIND.EXE
O4 - Startup: GigaTribe.lnk = C:\Program Files\GigaTribe\gigatribe.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 7443 bytes

Pouvez-vous m'aidez svp ?

par **Falkra** » **22 Aoû 2008 16:23**

Bienvenue sur la section sécurité de libellules. :-D

Désactive tes protections résidentes ( Antivirus , ... ) tu les réactiveras ensuite

Télécharge Lop S&D (d'Eric_71) sur ton bureau

Double-clique dessus pour lancer l'installation
Puis double-clique sur le raccourci Lop S&D présent sur ton bureau
Sélectionne la langue souhaitée, puis choisis l'Option 1 (Recherche) ne lance aucune autre option pour le moment.
Patiente jusqu'à la fin du scan
Poste le rapport généré ( C:\lopR.txt )

( Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide).

par **claripuce** » **23 Aoû 2008 10:43**

C'est fait. Voici le rapport que j'obtiens :*

--------------------\\ Lop S&D 4.2.3-3 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4400+ )
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4400+ )
Default System BIOS
BOOT : Normal boot

"C:\Lop SD" ( MAJ : 21-08-2008|11:16 )
Option : [1] ( 23/08/2008|10:39 )

--------------------\\ Listing des dossiers dans APPLIC~1

[19/04/2008|07:43] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[18/04/2008|14:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
[18/04/2008|14:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[12/07/2008|15:19] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Azureus
[18/04/2008|19:19] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CanonBJ
[19/04/2008|12:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Creative
[17/04/2008|19:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
[06/07/2008|09:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
[19/08/2008|00:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\kdgpazed
[22/08/2008|13:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[08/07/2008|15:46] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[22/08/2008|13:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\services
[30/04/2008|16:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skyline
[22/08/2008|14:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
[18/04/2008|14:47] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

[18/04/2008|20:19] C:\DOCUME~1\CCILET~1\APPLIC~1\Adobe
[09/07/2008|18:01] C:\DOCUME~1\CCILET~1\APPLIC~1\Anuman Interactive
[18/04/2008|14:34] C:\DOCUME~1\CCILET~1\APPLIC~1\Apple Computer
[18/04/2008|09:40] C:\DOCUME~1\CCILET~1\APPLIC~1\ATI
[14/08/2008|20:40] C:\DOCUME~1\CCILET~1\APPLIC~1\Azureus
[26/06/2008|21:27] C:\DOCUME~1\CCILET~1\APPLIC~1\Canon
[15/06/2008|13:14] C:\DOCUME~1\CCILET~1\APPLIC~1\Creative
[17/04/2008|19:56] C:\DOCUME~1\CCILET~1\APPLIC~1\desktop.ini
[27/04/2008|11:59] C:\DOCUME~1\CCILET~1\APPLIC~1\GDIPFONTCACHEV1.DAT
[18/04/2008|20:08] C:\DOCUME~1\CCILET~1\APPLIC~1\GigaTribe
[06/07/2008|09:33] C:\DOCUME~1\CCILET~1\APPLIC~1\Google
[17/04/2008|18:27] C:\DOCUME~1\CCILET~1\APPLIC~1\Identities
[18/04/2008|20:06] C:\DOCUME~1\CCILET~1\APPLIC~1\Macromedia
[22/08/2008|13:25] C:\DOCUME~1\CCILET~1\APPLIC~1\Malwarebytes
[09/05/2008|12:56] C:\DOCUME~1\CCILET~1\APPLIC~1\mdbu.bin
[24/04/2008|20:54] C:\DOCUME~1\CCILET~1\APPLIC~1\Media Player Classic
[22/08/2008|12:43] C:\DOCUME~1\CCILET~1\APPLIC~1\Microsoft
[06/06/2008|22:06] C:\DOCUME~1\CCILET~1\APPLIC~1\OpenOffice.org2
[22/08/2008|13:55] C:\DOCUME~1\CCILET~1\APPLIC~1\QuickZip45.ini
[18/04/2008|14:46] C:\DOCUME~1\CCILET~1\APPLIC~1\Real
[18/04/2008|14:37] C:\DOCUME~1\CCILET~1\APPLIC~1\Sun

[17/04/2008|19:56] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
[17/04/2008|18:08] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[17/04/2008|18:08] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[17/04/2008|18:08] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[22/08/2008 14:32][--ah-----] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[25/06/2008|10:09] C:\Program Files\Adobe
[18/04/2008|14:27] C:\Program Files\Ahead
[18/04/2008|14:31] C:\Program Files\Alwil Software
[11/08/2008|12:25] C:\Program Files\American Conquest - Fight Back
[12/07/2008|20:59] C:\Program Files\Anuman Interactive
[18/04/2008|14:33] C:\Program Files\Apple Software Update
[18/04/2008|09:32] C:\Program Files\ATI Technologies
[21/04/2008|17:56] C:\Program Files\Audible
[05/08/2008|20:15] C:\Program Files\Azureus
[18/04/2008|14:33] C:\Program Files\Bonjour
[04/08/2008|22:14] C:\Program Files\CentenniaWM
[17/04/2008|18:05] C:\Program Files\ComPlus Applications
[19/04/2008|12:26] C:\Program Files\Creative
[19/04/2008|12:23] C:\Program Files\Creative Installation Information
[18/04/2008|09:37] C:\Program Files\DIFX
[18/08/2008|16:45] C:\Program Files\eMule
[19/04/2008|12:22] C:\Program Files\Fichiers communs
[19/04/2008|12:16] C:\Program Files\Foto.com
[18/04/2008|20:07] C:\Program Files\GigaTribe
[06/07/2008|09:33] C:\Program Files\Google
[20/04/2008|16:01] C:\Program Files\InstallShield Installation Information
[15/08/2008|00:27] C:\Program Files\Internet Explorer
[18/04/2008|14:34] C:\Program Files\iPod
[18/04/2008|14:34] C:\Program Files\iTunes
[01/01/2002|00:23] C:\Program Files\Java
[18/04/2008|14:36] C:\Program Files\K-Lite Codec Pack
[22/08/2008|13:25] C:\Program Files\Malwarebytes' Anti-Malware
[15/08/2008|00:29] C:\Program Files\Messenger
[17/04/2008|18:09] C:\Program Files\microsoft frontpage
[18/04/2008|19:25] C:\Program Files\Microsoft Office
[17/04/2008|18:06] C:\Program Files\Movie Maker
[17/04/2008|18:04] C:\Program Files\MSN
[17/04/2008|18:04] C:\Program Files\MSN Gaming Zone
[01/01/2002|00:04] C:\Program Files\MSN Messenger
[17/04/2008|18:06] C:\Program Files\NetMeeting
[17/04/2008|18:05] C:\Program Files\Online Services
[18/04/2008|14:39] C:\Program Files\OpenOffice.org 2.4
[18/04/2008|09:05] C:\Program Files\Outlook Express
[18/04/2008|14:42] C:\Program Files\PDFCreator
[26/06/2008|21:28] C:\Program Files\PhotoFiltre
[18/04/2008|14:33] C:\Program Files\QuickTime
[18/04/2008|14:33] C:\Program Files\QuickZip4
[18/04/2008|14:44] C:\Program Files\Real
[18/04/2008|09:41] C:\Program Files\Realtek
[18/04/2008|09:27] C:\Program Files\RocketDock
[17/04/2008|18:07] C:\Program Files\Services en ligne
[30/04/2008|16:56] C:\Program Files\Skyline
[17/04/2008|18:27] C:\Program Files\Uninstall Information
[18/04/2008|14:49] C:\Program Files\Windows Media Connect 2
[18/04/2008|14:49] C:\Program Files\Windows Media Player
[17/04/2008|18:04] C:\Program Files\Windows NT
[17/04/2008|18:07] C:\Program Files\WindowsUpdate
[09/07/2008|18:00] C:\Program Files\WMV9_VCM
[17/04/2008|18:09] C:\Program Files\xerox

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[19/04/2008|07:43] C:\Program Files\Fichiers communs\Adobe
[18/04/2008|14:27] C:\Program Files\Fichiers communs\Ahead
[18/04/2008|14:32] C:\Program Files\Fichiers communs\Apple
[18/04/2008|09:29] C:\Program Files\Fichiers communs\ATI Technologies
[19/04/2008|12:22] C:\Program Files\Fichiers communs\Creative
[18/04/2008|19:25] C:\Program Files\Fichiers communs\Designer
[18/04/2008|09:25] C:\Program Files\Fichiers communs\InstallShield
[18/04/2008|14:37] C:\Program Files\Fichiers communs\Java
[18/04/2008|19:26] C:\Program Files\Fichiers communs\Microsoft Shared
[17/04/2008|18:06] C:\Program Files\Fichiers communs\MSSoap
[17/04/2008|19:57] C:\Program Files\Fichiers communs\ODBC
[18/04/2008|14:44] C:\Program Files\Fichiers communs\Real
[17/04/2008|18:06] C:\Program Files\Fichiers communs\Services
[17/04/2008|19:57] C:\Program Files\Fichiers communs\SpeechEngines
[18/04/2008|19:25] C:\Program Files\Fichiers communs\System
[18/04/2008|14:44] C:\Program Files\Fichiers communs\xing shared

--------------------\\ Process

( 46 Processus )

iexplore.exe ~ [PID:3764] ~ [Threads:19]
iexplore.exe ~ [PID:2076] ~ [Threads:20]

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

C:\DOCUME~1\CCILET~1\LOCALS~1\Temp\nsvDC.tmp
C:\DOCUME~1\CCILET~1\Cookies\cécile_touron@advertising[1].txt
C:\DOCUME~1\CCILET~1\Cookies\cécile_touron@adopt.euroclick[1].txt

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE

--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-23 10:40:03
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\CCILET~1\Mes documents\Documents\Logiciels\dBpower.AMP.Music.Converter_v11.5+ Cracks.+.Codecs.rar
C:\DOCUME~1\CCILET~1\Mes documents\Documents\Logiciels\Photoshop7\Adobe-Photoshop-7.0.1-crack.zip

[F:363][D:65]-> C:\DOCUME~1\CCILET~1\LOCALS~1\Temp
[F:84][D:0]-> C:\DOCUME~1\CCILET~1\Cookies
[F:9413][D:13]-> C:\DOCUME~1\CCILET~1\LOCALS~1\TEMPOR~1\content.IE5

--------------------\\ Fin du rapport a 10:40:49

En fait, tout est revenu à peut près normal, sauf que parfois, apparait une fenetre de protection windows.

Est-ce que j'ai réglé le problème ?

Cécile

par **Falkra** » **23 Aoû 2008 12:03**

Voilà le meilleur moyen d'infecter la machine :

C:\DOCUME~1\CCILET~1\Mes documents\Documents\Logiciels\dBpower.AMP.Music.Converter_v11.5+ Cracks.+.Codecs.rar
C:\DOCUME~1\CCILET~1\Mes documents\Documents\Logiciels\Photoshop7\Adobe-Photoshop-7.0.1-crack.zip

Le problème n'est pas réglé, là c'était juste une analyse. Là on va éliminer 2-3 choses puis poursuivre.

Relance Lop S&D

Choisis cette fois ci l'Option 2 (Suppression)
Ne ferme pas la fenêtre lors de la suppression !
Poste le rapport généré (C:\lopR.txt)

(Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

par **claripuce** » **23 Aoû 2008 15:42**

Voici le rapport :

--------------------\\ Lop S&D 4.2.3-3 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4400+ )
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4400+ )
Default System BIOS
BOOT : Normal boot

"C:\Lop SD" ( MAJ : 21-08-2008|11:16 )
Option : [2] ( 23/08/2008|15:43 )

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION

Supprime! - C:\DOCUME~1\CCILET~1\LOCALS~1\Temp\nsvDC.tmp
Supprime! - C:\DOCUME~1\CCILET~1\Cookies\cécile_touron@advertising[1].txt
Supprime! - C:\DOCUME~1\CCILET~1\Cookies\cécile_touron@adopt.euroclick[1].txt

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

--------------------\\ Listing des dossiers dans APPLIC~1

[19/04/2008|07:43] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[18/04/2008|14:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
[18/04/2008|14:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[12/07/2008|15:19] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Azureus
[18/04/2008|19:19] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CanonBJ
[19/04/2008|12:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Creative
[17/04/2008|19:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
[06/07/2008|09:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
[19/08/2008|00:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\kdgpazed
[22/08/2008|13:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[08/07/2008|15:46] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[22/08/2008|13:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\services
[30/04/2008|16:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skyline
[22/08/2008|14:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
[18/04/2008|14:47] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

[18/04/2008|20:19] C:\DOCUME~1\CCILET~1\APPLIC~1\Adobe
[09/07/2008|18:01] C:\DOCUME~1\CCILET~1\APPLIC~1\Anuman Interactive
[18/04/2008|14:34] C:\DOCUME~1\CCILET~1\APPLIC~1\Apple Computer
[18/04/2008|09:40] C:\DOCUME~1\CCILET~1\APPLIC~1\ATI
[14/08/2008|20:40] C:\DOCUME~1\CCILET~1\APPLIC~1\Azureus
[26/06/2008|21:27] C:\DOCUME~1\CCILET~1\APPLIC~1\Canon
[15/06/2008|13:14] C:\DOCUME~1\CCILET~1\APPLIC~1\Creative
[17/04/2008|19:56] C:\DOCUME~1\CCILET~1\APPLIC~1\desktop.ini
[27/04/2008|11:59] C:\DOCUME~1\CCILET~1\APPLIC~1\GDIPFONTCACHEV1.DAT
[18/04/2008|20:08] C:\DOCUME~1\CCILET~1\APPLIC~1\GigaTribe
[06/07/2008|09:33] C:\DOCUME~1\CCILET~1\APPLIC~1\Google
[17/04/2008|18:27] C:\DOCUME~1\CCILET~1\APPLIC~1\Identities
[18/04/2008|20:06] C:\DOCUME~1\CCILET~1\APPLIC~1\Macromedia
[22/08/2008|13:25] C:\DOCUME~1\CCILET~1\APPLIC~1\Malwarebytes
[09/05/2008|12:56] C:\DOCUME~1\CCILET~1\APPLIC~1\mdbu.bin
[24/04/2008|20:54] C:\DOCUME~1\CCILET~1\APPLIC~1\Media Player Classic
[22/08/2008|12:43] C:\DOCUME~1\CCILET~1\APPLIC~1\Microsoft
[06/06/2008|22:06] C:\DOCUME~1\CCILET~1\APPLIC~1\OpenOffice.org2
[22/08/2008|13:55] C:\DOCUME~1\CCILET~1\APPLIC~1\QuickZip45.ini
[18/04/2008|14:46] C:\DOCUME~1\CCILET~1\APPLIC~1\Real
[18/04/2008|14:37] C:\DOCUME~1\CCILET~1\APPLIC~1\Sun

[17/04/2008|19:56] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
[17/04/2008|18:08] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[17/04/2008|18:08] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[17/04/2008|18:08] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[22/08/2008 14:32][--ah-----] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[25/06/2008|10:09] C:\Program Files\Adobe
[18/04/2008|14:27] C:\Program Files\Ahead
[18/04/2008|14:31] C:\Program Files\Alwil Software
[11/08/2008|12:25] C:\Program Files\American Conquest - Fight Back
[12/07/2008|20:59] C:\Program Files\Anuman Interactive
[18/04/2008|14:33] C:\Program Files\Apple Software Update
[18/04/2008|09:32] C:\Program Files\ATI Technologies
[21/04/2008|17:56] C:\Program Files\Audible
[05/08/2008|20:15] C:\Program Files\Azureus
[18/04/2008|14:33] C:\Program Files\Bonjour
[04/08/2008|22:14] C:\Program Files\CentenniaWM
[17/04/2008|18:05] C:\Program Files\ComPlus Applications
[19/04/2008|12:26] C:\Program Files\Creative
[19/04/2008|12:23] C:\Program Files\Creative Installation Information
[18/04/2008|09:37] C:\Program Files\DIFX
[18/08/2008|16:45] C:\Program Files\eMule
[19/04/2008|12:22] C:\Program Files\Fichiers communs
[19/04/2008|12:16] C:\Program Files\Foto.com
[18/04/2008|20:07] C:\Program Files\GigaTribe
[06/07/2008|09:33] C:\Program Files\Google
[20/04/2008|16:01] C:\Program Files\InstallShield Installation Information
[15/08/2008|00:27] C:\Program Files\Internet Explorer
[18/04/2008|14:34] C:\Program Files\iPod
[18/04/2008|14:34] C:\Program Files\iTunes
[01/01/2002|00:23] C:\Program Files\Java
[18/04/2008|14:36] C:\Program Files\K-Lite Codec Pack
[22/08/2008|13:25] C:\Program Files\Malwarebytes' Anti-Malware
[15/08/2008|00:29] C:\Program Files\Messenger
[17/04/2008|18:09] C:\Program Files\microsoft frontpage
[18/04/2008|19:25] C:\Program Files\Microsoft Office
[17/04/2008|18:06] C:\Program Files\Movie Maker
[17/04/2008|18:04] C:\Program Files\MSN
[17/04/2008|18:04] C:\Program Files\MSN Gaming Zone
[01/01/2002|00:04] C:\Program Files\MSN Messenger
[17/04/2008|18:06] C:\Program Files\NetMeeting
[17/04/2008|18:05] C:\Program Files\Online Services
[18/04/2008|14:39] C:\Program Files\OpenOffice.org 2.4
[18/04/2008|09:05] C:\Program Files\Outlook Express
[18/04/2008|14:42] C:\Program Files\PDFCreator
[26/06/2008|21:28] C:\Program Files\PhotoFiltre
[18/04/2008|14:33] C:\Program Files\QuickTime
[18/04/2008|14:33] C:\Program Files\QuickZip4
[18/04/2008|14:44] C:\Program Files\Real
[18/04/2008|09:41] C:\Program Files\Realtek
[18/04/2008|09:27] C:\Program Files\RocketDock
[17/04/2008|18:07] C:\Program Files\Services en ligne
[30/04/2008|16:56] C:\Program Files\Skyline
[17/04/2008|18:27] C:\Program Files\Uninstall Information
[18/04/2008|14:49] C:\Program Files\Windows Media Connect 2
[18/04/2008|14:49] C:\Program Files\Windows Media Player
[17/04/2008|18:04] C:\Program Files\Windows NT
[17/04/2008|18:07] C:\Program Files\WindowsUpdate
[09/07/2008|18:00] C:\Program Files\WMV9_VCM
[17/04/2008|18:09] C:\Program Files\xerox

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[19/04/2008|07:43] C:\Program Files\Fichiers communs\Adobe
[18/04/2008|14:27] C:\Program Files\Fichiers communs\Ahead
[18/04/2008|14:32] C:\Program Files\Fichiers communs\Apple
[18/04/2008|09:29] C:\Program Files\Fichiers communs\ATI Technologies
[19/04/2008|12:22] C:\Program Files\Fichiers communs\Creative
[18/04/2008|19:25] C:\Program Files\Fichiers communs\Designer
[18/04/2008|09:25] C:\Program Files\Fichiers communs\InstallShield
[18/04/2008|14:37] C:\Program Files\Fichiers communs\Java
[18/04/2008|19:26] C:\Program Files\Fichiers communs\Microsoft Shared
[17/04/2008|18:06] C:\Program Files\Fichiers communs\MSSoap
[17/04/2008|19:57] C:\Program Files\Fichiers communs\ODBC
[18/04/2008|14:44] C:\Program Files\Fichiers communs\Real
[17/04/2008|18:06] C:\Program Files\Fichiers communs\Services
[17/04/2008|19:57] C:\Program Files\Fichiers communs\SpeechEngines
[18/04/2008|19:25] C:\Program Files\Fichiers communs\System
[18/04/2008|14:44] C:\Program Files\Fichiers communs\xing shared

--------------------\\ Process

( 45 Processus )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE

--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-23 15:43:52
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\CCILET~1\Mes documents\Documents\Logiciels\dBpower.AMP.Music.Converter_v11.5+ Cracks.+.Codecs.rar
C:\DOCUME~1\CCILET~1\Mes documents\Documents\Logiciels\Photoshop7\Adobe-Photoshop-7.0.1-crack.zip

[F:362][D:64]-> C:\DOCUME~1\CCILET~1\LOCALS~1\Temp
[F:97][D:0]-> C:\DOCUME~1\CCILET~1\Cookies
[F:12389][D:17]-> C:\DOCUME~1\CCILET~1\LOCALS~1\TEMPOR~1\content.IE5

--------------------\\ Fin du rapport a 15:44:39

En fait, j'avais une fenêtre "windows security alert" qui s'ouvrait. Elle disait :
"To help protect your computer, Windows Firewall has detected activity of harmful software. Do you want to block this software from sending date over the internet"
Name : Trojan-Downloader.Win32.Agent.bq
Est-ce que c'est normal ou c toujours le virus ?

par **Falkra** » **23 Aoû 2008 15:43**

Re. On n'a pas fini, on a à peine commencé.

Télécharge Malwarebytes' Anti-Malware (MBAM)

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen rapide"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

NB : si MBAM te demande à redémarrer, fais-le après avoir posté ton rapport.
Après le redémarrage, poste un nouveau rapport hijackThis stp, qui suivra le rapport de MBAM.

par **claripuce** » **23 Aoû 2008 18:53**

Voila ce que j'obtiens

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1078
Windows 5.1.2600 Service Pack 2

19:00:04 23/08/2008
mbam-log-08-23-2008 (19-00-04).txt

Type de recherche: Examen rapide
Eléments examinés: 52853
Temps écoulé: 40 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

par **Falkra** » **23 Aoû 2008 19:58**

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

Assure toi que tous les programmes sont fermés avant de commencer.
Double-clique combofix.exe afin de l'exécuter.
Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copie-colle ce rapport dans ta prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).

par **claripuce** » **24 Aoû 2008 10:31**

Voici le rapport :

ComboFix 08-08-23.03 - Cécile Touron 2008-08-24 10:26:15.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1091 [GMT 2:00]
Endroit: C:\Documents and Settings\Cécile Touron\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\License Agreement.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Uninstall.lnk

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_sysrest.sys

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-24 to 2008-08-24 ))))))))))))))))))))))))))))))))))))
.

2008-08-23 10:38 . 2008-08-23 15:44 <REP> d-------- C:\Lop SD
2008-08-22 14:32 . 2008-08-22 14:32 90,112 --a------ C:\WINDOWS\system32\sbohwlyz.exe
2008-08-22 14:30 . 2008-08-22 14:30 268 --ah----- C:\sqmdata12.sqm
2008-08-22 14:30 . 2008-08-22 14:30 244 --ah----- C:\sqmnoopt12.sqm
2008-08-22 14:11 . 2008-08-22 14:11 268 --ah----- C:\sqmdata11.sqm
2008-08-22 14:11 . 2008-08-22 14:11 244 --ah----- C:\sqmnoopt11.sqm
2008-08-22 14:01 . 2008-08-22 14:11 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-22 13:35 . 2008-08-22 13:35 73,728 --a------ C:\WINDOWS\system32\mbidcrub.exe
2008-08-22 13:33 . 2008-08-22 13:33 268 --ah----- C:\sqmdata10.sqm
2008-08-22 13:33 . 2008-08-22 13:33 244 --ah----- C:\sqmnoopt10.sqm
2008-08-22 13:25 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-22 13:25 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-22 13:24 . 2008-08-22 13:25 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-22 13:24 . 2008-08-22 13:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-22 12:35 . 2008-08-22 12:35 0 --a------ C:\WINDOWS\MSREGUSR.INI
2008-08-22 09:33 . 2008-08-22 09:33 268 --ah----- C:\sqmdata09.sqm
2008-08-22 09:33 . 2008-08-22 09:33 244 --ah----- C:\sqmnoopt09.sqm
2008-08-21 09:27 . 2008-08-21 09:27 268 --ah----- C:\sqmdata08.sqm
2008-08-21 09:27 . 2008-08-21 09:27 244 --ah----- C:\sqmnoopt08.sqm
2008-08-21 08:27 . 2008-08-21 08:27 186,880 --a------ C:\WINDOWS\system32\mtcjihet.exe
2008-08-19 12:04 . 2008-08-19 12:04 268 --ah----- C:\sqmdata07.sqm
2008-08-19 12:04 . 2008-08-19 12:04 244 --ah----- C:\sqmnoopt07.sqm
2008-08-19 10:05 . 2008-08-19 10:05 268 --ah----- C:\sqmdata06.sqm
2008-08-19 10:05 . 2008-08-19 10:05 244 --ah----- C:\sqmnoopt06.sqm
2008-08-19 09:37 . 2008-08-19 09:37 268 --ah----- C:\sqmdata05.sqm
2008-08-19 09:37 . 2008-08-19 09:37 244 --ah----- C:\sqmnoopt05.sqm
2008-08-19 01:30 . 2008-08-19 01:30 268 --ah----- C:\sqmdata04.sqm
2008-08-19 01:30 . 2008-08-19 01:30 244 --ah----- C:\sqmnoopt04.sqm
2008-08-19 01:27 . 2008-08-19 01:27 268 --ah----- C:\sqmdata03.sqm
2008-08-19 01:27 . 2008-08-19 01:27 244 --ah----- C:\sqmnoopt03.sqm
2008-08-19 01:19 . 2008-08-19 01:19 268 --ah----- C:\sqmdata02.sqm
2008-08-19 01:19 . 2008-08-19 01:19 244 --ah----- C:\sqmnoopt02.sqm
2008-08-19 01:05 . 2008-08-22 13:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\services
2008-08-19 00:58 . 2008-08-19 00:58 268 --ah----- C:\sqmdata01.sqm
2008-08-19 00:58 . 2008-08-19 00:58 244 --ah----- C:\sqmnoopt01.sqm
2008-08-19 00:36 . 2008-08-19 00:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\kdgpazed
2008-08-19 00:36 . 2008-08-19 00:36 86,016 --a------ C:\WINDOWS\system32\mponkpyv.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-18 14:45 --------- d-----w C:\Program Files\eMule
2008-08-11 10:25 --------- d-----w C:\Program Files\American Conquest - Fight Back
2008-08-05 18:15 --------- d-----w C:\Program Files\Azureus
2008-08-04 20:14 --------- d-----w C:\Program Files\CentenniaWM
2008-07-12 18:59 --------- d-----w C:\Program Files\Anuman Interactive
2008-07-12 13:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Azureus
2008-07-09 16:01 278,728 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2008-07-09 16:01 25,416 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys
2008-07-09 16:00 --------- d-----w C:\Program Files\WMV9_VCM
2008-07-06 07:33 --------- d-----w C:\Program Files\Google
2008-06-26 19:28 --------- d-----w C:\Program Files\PhotoFiltre
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"RocketDock"="C:\Program Files\RocketDock\RocketDock.exe" [2007-09-02 13:58 495616]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 11:03 868352]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55 5674352]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-07-06 09:33 171448]
"CfgGen"="C:\WINDOWS\system32\mponkpyv.exe" [2008-08-19 00:36 86016]
"strwin"="C:\WINDOWS\system32\mbidcrub.exe" [2008-08-22 13:35 73728]
"SrvApi"="C:\WINDOWS\system32\sbohwlyz.exe" [2008-08-22 14:32 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 09:28 16126464 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"uOOFWykY2S"="C:\Documents and Settings\All Users\Application Data\kdgpazed\ermdqvyx.exe" [2008-08-19 00:36 65536]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Documents and Settings^Cécile Touron^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]
path=C:\Documents and Settings\Cécile Touron\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.4.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.4.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-19 13:10 267048 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 15:40 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 05:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-04-18 14:44 185896 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\GigaTribe\\gigatribe.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33e765d5-0c9b-11dd-a02e-943b4c86806d}]
\Shell\AutoRun\command - I:\Autorun.exe /run
\Shell\Shell00\Command - I:\Autorun.exe /run
\Shell\Shell01\Command - I:\Autorun.exe /action
\Shell\Shell02\Command - I:\Autorun.exe /uninstall
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-AnumanLive - C:\Documents and Settings\Cécile Touron\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe

.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/advanced_search?hl=fr
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-24 10:31:12
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-24 10:36:10 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-24 08:36:07

Pre-Run: 23,440,408,576 octets libres
Post-Run: 23,903,334,400 octets libres

179 --- E O F --- 2008-08-14 22:29:29

par **Falkra** » **24 Aoû 2008 10:35**

C'est bon, on va nettoyer l'essentiel de ces saletés.

Ce qui suit n'est que pour ta machine, et ta machine seulement.
Ne surtout pas utiliser sur une autre machine : dangereux.

Désactive ton antivirus, il peut gêner.
Ouvre le bloc notes. Vérifie que dans le menu format, le retour automatique à la ligne est désactivé. Copie colle ceci dedans :

File::
C:\WINDOWS\system32\sbohwlyz.exe
C:\WINDOWS\system32\mbidcrub.exe
C:\WINDOWS\system32\mtcjihet.exe
C:\WINDOWS\system32\mponkpyv.exe

Folder::
C:\Documents and Settings\All Users\Application Data\kdgpazed

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CfgGen"=-
"strwin"=-
"SrvApi"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"uOOFWykY2S"=-

Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là, et réactive ton antivirus.

par **claripuce** » **24 Aoû 2008 18:33**

Voici le rapport Combo Fix

ComboFix 08-08-23.03 - Cécile Touron 2008-08-24 18:33:28.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1059 [GMT 2:00]
Endroit: C:\Documents and Settings\Cécile Touron\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Cécile Touron\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
C:\WINDOWS\system32\mbidcrub.exe
C:\WINDOWS\system32\mponkpyv.exe
C:\WINDOWS\system32\mtcjihet.exe
C:\WINDOWS\system32\sbohwlyz.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\kdgpazed
C:\Documents and Settings\All Users\Application Data\kdgpazed\ermdqvyx.exe
C:\WINDOWS\system32\mbidcrub.exe
C:\WINDOWS\system32\mponkpyv.exe
C:\WINDOWS\system32\mtcjihet.exe
C:\WINDOWS\system32\sbohwlyz.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-24 to 2008-08-24 ))))))))))))))))))))))))))))))))))))
.

2008-08-23 10:38 . 2008-08-23 15:44 <REP> d-------- C:\Lop SD
2008-08-22 14:30 . 2008-08-22 14:30 268 --ah----- C:\sqmdata12.sqm
2008-08-22 14:30 . 2008-08-22 14:30 244 --ah----- C:\sqmnoopt12.sqm
2008-08-22 14:11 . 2008-08-22 14:11 268 --ah----- C:\sqmdata11.sqm
2008-08-22 14:11 . 2008-08-22 14:11 244 --ah----- C:\sqmnoopt11.sqm
2008-08-22 14:01 . 2008-08-22 14:11 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-22 13:33 . 2008-08-22 13:33 268 --ah----- C:\sqmdata10.sqm
2008-08-22 13:33 . 2008-08-22 13:33 244 --ah----- C:\sqmnoopt10.sqm
2008-08-22 13:25 . 2008-08-22 13:25 <REP> d-------- C:\Documents and Settings\Cécile Touron\Application Data\Malwarebytes
2008-08-22 13:25 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-22 13:25 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-22 13:24 . 2008-08-22 13:25 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-22 13:24 . 2008-08-22 13:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-22 12:35 . 2008-08-22 12:35 0 --a------ C:\WINDOWS\MSREGUSR.INI
2008-08-22 09:33 . 2008-08-22 09:33 268 --ah----- C:\sqmdata09.sqm
2008-08-22 09:33 . 2008-08-22 09:33 244 --ah----- C:\sqmnoopt09.sqm
2008-08-21 09:27 . 2008-08-21 09:27 268 --ah----- C:\sqmdata08.sqm
2008-08-21 09:27 . 2008-08-21 09:27 244 --ah----- C:\sqmnoopt08.sqm
2008-08-19 12:04 . 2008-08-19 12:04 268 --ah----- C:\sqmdata07.sqm
2008-08-19 12:04 . 2008-08-19 12:04 244 --ah----- C:\sqmnoopt07.sqm
2008-08-19 10:05 . 2008-08-19 10:05 268 --ah----- C:\sqmdata06.sqm
2008-08-19 10:05 . 2008-08-19 10:05 244 --ah----- C:\sqmnoopt06.sqm
2008-08-19 09:37 . 2008-08-19 09:37 268 --ah----- C:\sqmdata05.sqm
2008-08-19 09:37 . 2008-08-19 09:37 244 --ah----- C:\sqmnoopt05.sqm
2008-08-19 01:30 . 2008-08-19 01:30 268 --ah----- C:\sqmdata04.sqm
2008-08-19 01:30 . 2008-08-19 01:30 244 --ah----- C:\sqmnoopt04.sqm
2008-08-19 01:27 . 2008-08-19 01:27 268 --ah----- C:\sqmdata03.sqm
2008-08-19 01:27 . 2008-08-19 01:27 244 --ah----- C:\sqmnoopt03.sqm
2008-08-19 01:19 . 2008-08-19 01:19 268 --ah----- C:\sqmdata02.sqm
2008-08-19 01:19 . 2008-08-19 01:19 244 --ah----- C:\sqmnoopt02.sqm
2008-08-19 01:05 . 2008-08-22 13:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\services
2008-08-19 00:58 . 2008-08-19 00:58 268 --ah----- C:\sqmdata01.sqm
2008-08-19 00:58 . 2008-08-19 00:58 244 --ah----- C:\sqmnoopt01.sqm

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-18 14:45 --------- d-----w C:\Program Files\eMule
2008-08-14 18:40 --------- d-----w C:\Documents and Settings\Cécile Touron\Application Data\Azureus
2008-08-11 10:25 --------- d-----w C:\Program Files\American Conquest - Fight Back
2008-08-05 18:15 --------- d-----w C:\Program Files\Azureus
2008-08-04 20:14 --------- d-----w C:\Program Files\CentenniaWM
2008-07-12 18:59 --------- d-----w C:\Program Files\Anuman Interactive
2008-07-12 13:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Azureus
2008-07-09 16:01 278,728 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2008-07-09 16:01 25,416 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys
2008-07-09 16:01 --------- d-----w C:\Documents and Settings\Cécile Touron\Application Data\Anuman Interactive
2008-07-09 16:00 --------- d-----w C:\Program Files\WMV9_VCM
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-06 07:33 --------- d-----w C:\Program Files\Google
2008-06-26 19:28 --------- d-----w C:\Program Files\PhotoFiltre
2008-06-26 19:27 --------- d-----w C:\Documents and Settings\Cécile Touron\Application Data\Canon
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-05-09 10:56 77,505 ----a-w C:\Documents and Settings\Cécile Touron\Application Data\mdbu.bin
2008-04-27 09:59 20,936 ----a-w C:\Documents and Settings\Cécile Touron\Application Data\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"RocketDock"="C:\Program Files\RocketDock\RocketDock.exe" [2007-09-02 13:58 495616]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 11:03 868352]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55 5674352]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-07-06 09:33 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 09:28 16126464 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Documents and Settings^Cécile Touron^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]
path=C:\Documents and Settings\Cécile Touron\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.4.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.4.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-19 13:10 267048 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 15:40 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 05:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-04-18 14:44 185896 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\GigaTribe\\gigatribe.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33e765d5-0c9b-11dd-a02e-943b4c86806d}]
\Shell\AutoRun\command - I:\Autorun.exe /run
\Shell\Shell00\Command - I:\Autorun.exe /run
\Shell\Shell01\Command - I:\Autorun.exe /action
\Shell\Shell02\Command - I:\Autorun.exe /uninstall
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-24 18:34:25
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

**************************************************************************
.
Temps d'accomplissement: 2008-08-24 18:36:42
ComboFix-quarantined-files.txt 2008-08-24 16:35:40
ComboFix2.txt 2008-08-24 08:36:11

Pre-Run: 23,848,120,320 octets libres
Post-Run: 23,883,149,312 octets libres

157 --- E O F --- 2008-08-14 22:29:29

Et le rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:11, on 24/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Cécile Touron\Local Settings\Temporary Internet Files\Content.IE5\ZTVQ1NV0\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/advanced_search?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Event Reminder.lnk = C:\pmw\PMREMIND.EXE
O4 - Startup: GigaTribe.lnk = C:\Program Files\GigaTribe\gigatribe.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 6645 bytes

par **Falkra** » **24 Aoû 2008 18:38**

Le rapport est propre. Ca doit aller mieux, non ?

par **claripuce** » **24 Aoû 2008 19:34**

Oui je pense que c'est pas mal comme ça !
Merci

par **Falkra** » **24 Aoû 2008 19:50**

Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer.
Après cela, efface ce dossier s'il existe encore.
C:\QooBox

Désinstalle Lop S&D par ajout/suppression de programmes ou le raccourci du menu démarrer.
Efface ensuite le dossier C:\Lop SD à la main s'il existe encore.

Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage).
Antivir est tout aussi gratuit (bientôt disponible en français) et surtout bien plus efficace.
Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes.
Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel :
http://www.avast.com/fre/avast-uninstall-utility.html
Au besoin en mode sans échec, si ça rouspète.

Pour Antivir voici un lien de téléchargement direct :
http://dl1.avgate.net/down/windows/anti ... u_en_h.exe
Tuto : http://www.libellules.ch/tuto_antivir.php

Des cracks ont probablement infecté la machine, et elle reste vulnérable par ailleurs aux infections type faux antivirus.
Cracks, Keygens, ... es-tu sûr de ton choix ? (une petite vidéo vaut mieux que bien des discours)

Il faut bien garder ton système et les logiciels à jour.
PSI de Secunia peut t'y aider. https://psi.secunia.com/
JavaRa peut t'y aider pour Java : http://raproducts.org/

Il faudra passer au SP3 de windows XP. (lien)

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

Plus d'infos dans la FAQ sécurité du site.

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

par **claripuce** » **25 Aoû 2008 18:04**

Merci beaucoup.

par **Falkra** » **25 Aoû 2008 18:10**

De rien, ça fait plaisir. :-D

Mon dernier post est long à digérer, si des questions viennent pendant le processus, viens les poser directement à la suite, c'est fait pour. :wink:

Infecté par WINDOWS WARNING MESSAGE - RESOLU

Infecté par WINDOWS WARNING MESSAGE - RESOLU

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE

Re: Infecté par WINDOWS WARNING MESSAGE - RESOLU

Qui est en ligne