Se connecter / S'enregistrer
Votre question

Xp recovery virus

Tags :
  • Windows XP
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Juin 2011 18:53:52

Bonjour,

J'ai eu une bnne infecion de lka part de Windows XP recovery, un truc sympa qui te ait penser que ton disque dur à un problème.

J'ai vu des le debut et vu l'interface graphique que ce n'etait pas un logiciel interne a Windows XP, mais ayant racheter mon pc a quelqu'un je pensais que c'était lui qui avait installer cela au debut.

Je me suis vite apperçu de la supercherie, apres une invasion de messages d'erreur, et des dossier qui disparaissait.

Voyant que l'espace libre sur mon disque dur n'augmentait pas, je me suis dis que ce n'etait pas si mechant que ça.

j'ai finalement reussi a aller sur le net pour voir des solution.

j'ai dl Rogue killer: tres bien, d'ailleurs merci aux concepteurs! option 2 pour killer tout les processus envahissant et 6 pour faire reapparaitre les dossiers.

j'ai eliminer un certain nombre de rootkit avec malwarebytes.

Mais j'ai encore des soucis:

- dans menu/demarrer beaucop de mes programmes ne sont plus accessible, je dois aller rechercher chacun dans c:/prografile/etc... c'est longs et fastidieu. est ce que qq'un aurais quelquechose pour tous remettre comme avant (j'ai des dizaines de programmes)?

- je n'ai plus de driver d'imprimante, et n'arrive ni a en rajouer une, ni a remettre mes drivers (j'ai plus de cd, mais je les ai dl du net)

- j'ai encore des processus illegitime qui se lance

-lors des scans de aavast j'ai de nomreux positif, et parfois des redemarage intempestif

-en allant sur le net avec nimporte quel navigateur ( IE7, FF4 Opera11) j'ai des redirection vers des sites bidons (ou est ce que le virus agit et comment ? comment reparer?)

voila en gros mes problemes!

donc je m'enremets a vous pour essayer de trouver une solution, car j'aimerai beaucoup pouvoir en venir a bout sans formater!

et est ce que le virus est aussi un vers qui se dupliquera sur tout media que l'on connecterait?
j'aimerai eventuellement retirer mes information en cas de formatage, mais j'ai peur de copier le virus en meme temps que le reste. à noter que j'ai plusieur live cd de linux sous la main.

merci d'avance!

Autres pages sur : recovery virus

10 Juin 2011 20:58:54

Salut,


infecté par un rogue ...

suivant la variante , cela peut-être coton pour le virer ... ( Avast ne pourra pas faire grand chose ).



/!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    commence par faire ce qui suit pour avoir un diagnostique précis de la situation :


    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 066 ( important ! ) .

  • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 15 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....









    14 Juin 2011 20:22:22

    bonjour et merci sle69 pour ton aide,
    désolé de ne pas avoir repondu plutot.


    voilà le resultat de ZHPDiag comme tu me l'as demandé:
    http://www.cijoint.fr/cjlink.php?file=cj201106/cijppPZQ...

    j'ai simplement oculté quelques infos sur le rapport, comme le nom de l'ordi ou les DNS utilisés, rien de capital pour une "etude de cas".

    mes actions jusqu'ici ont étées:
    dl et utilisation de roguekiller (mode 1 2 5 6)
    dl et scan avec malwarebytes qui trouve frequement des rootkit ds C:/windows/drivers/ (en general le nom est a deux chiffres genre 3645 ou 7228).
    scan en ligne.

    les scan avec avast n'ont rien donnés, meme si avast bloc le lancement de ces processus.

    dans "msconfig" j'ai empecher un certain nombre de processus que je ne trouvais pas legitimes de ce lancer au demarrage.

    Ce pc à été racheter "en l'etat", un certain nombre de programme etait deja installés avant que je l'ai, et je ne sais pas toujours l'utilité de ces derniers.

    J'aimerai savoir s'il est ossible de recuperé sans formater ?
    si oui:
    - est il possible de remettre tout les raccourci de lancements dans demarrer/tous les programme, de façon automatique.
    -je n'ai plus acces au "outils d'administration" dans le panneau deconfig, je dois les lancer en commande.
    - est il possible de reinstaller une imprimante (en l'etat j'ai un message d'erreur a chaque fois que j'essaye "ajouter une imprimante", meme en demarrantle service spouleur d'impression avant. je n'ai pas de essage de pilote non reconnu lorsque je la branche (ou je pourrait installer les drivers), et plusaucune imprimante n'est disponnible (meme pdfcreator ou autre).

    voila.

    en tout cas merci de votre aide, j'espere que le delais de reponse n'etait pas trop important, je ne me conecte pas tout le temps. Merci egalement d'avance pour votre discression lors de vos analyses sur les rapports uilisés.

    Cordialement,
    Prob-73
    Contenus similaires
    14 Juin 2011 20:38:19

    hello,


    bah si tu te lance toi même dans le truc en solo , merci de me faire parvenir les rapports obtenus si tu veux que je t'aide !


    Citation :
    mes actions jusqu'ici ont étées:
    dl et utilisation de roguekiller (mode 1 2 5 6)
    dl et scan avec malwarebytes qui trouve frequement des rootkit ds Cwindows/drivers/ (en general le nom est a deux chiffres genre 3645 ou 7228).
    scan en ligne.



    donc rapports de RK et de MBAM stp ... :) 




    et la dessus :

    Citation :
    j'ai simplement oculté quelques infos sur le rapport, comme le nom de l'ordi ou les DNS utilisés, rien de capital pour une "etude de cas".


    là, je ne suis pas trop d'accord ... Pour les DNS par exemple , rien ne me dira du coup si tu es victime d'un détournement ! ...

    Donc il me faut le rapport tel qu'il est stp ! ( essentiel également si je doit pratiqué des scripts de suppression ) .

    si tu veux , je ferais sauter les leins des rapport ZHPDiag une fois qu'on aura terminé ...

    Donc il me faut le rapport ZHPDiag d'origine stp ... :D 




    14 Juin 2011 22:51:15

    les rapports roguekiller ne t'aideront pas, vu que je le demarre a chaque session et vu qu'il genere beaucoupde rapport (surtout au depart ou il etait indispensable), j'ai "ecrasé" les plus vieux avec les derniers. donc rien a recup pour pouvoir travailler de cecoté ci.

    les rapport mbam:
    http://www.cijoint.fr/cjlink.php?file=cj201106/cijncDPI...
    http://www.cijoint.fr/cjlink.php?file=cj201106/cijivjSg...
    j'en ai pas refait d'autre recemment mais avant ledernier y'en a 3 ou RAZ.

    pour les DNS j'ai verifier ce sont bien les dns du Fai auquel je suis connecter,
    le nm du pc est inutile dans une annalyse et ce meme pour scripter en général.
    la derniere chose remplacer est un nom de document word dont le nom à étéremplacer par xxxx.

    donc aucune information utile n'a été perdue.

    Sinon je pensais formater, mais je ne suis pas sur d'avoir les cd, c'est toujours long et galère, j'ai encore quelques infos que j'aimerai bien garder, et tout est sur la meme partition, je ne sais trop si je peux les copier sur un dd externe au risque de l'infecter, bien que les vers semblent assez localiser dans c:/windows/drivers et qu'aucun processus suspect ne semble tourner dans le gestionnaire des tache (apres il y a toujours la possibilité d'u rootkit+blackdoor).
    Ce qui m'ennuit aussi dans le formatage c'est que l'instalation de windows xp ecrase le mrb et que je perdrais mon dualboot (ubuntu), et donc que j'aurais ça de plus a reistaller, d'autant plus que j'ai pas mal delogiciel d'installer certain sont des shareware, donc faut retrouver la pochette avec les cléfs.... bref c'est long et fastidieu.

    peu etre les infos transmises auront fait avancer les choses.
    14 Juin 2011 23:48:33

    re,


    l'infection TDSS n'est pas complètement éradiquer ... le MBR est infecté ...
    ( j'espère que le nettoyage n'affectera pas le dual-boot )


    Des restes du rogue et des restes d'ardwares également ...

    et un sacré bronxe dans l'ordi ! ...
    y en a des log d'installés ... faire le ménage ne serait pas du luxe ...


    Pour les raccourcis perdus et le menu démarrer , on va pouvoir arrangé ça ...




    Commence par faire ceci Dans l'ordre :


    1- Les logiciels d'émulation de CD ( comme Daemon Tools ) peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    http://www.jpshortstuff.247fixes.com/Defogger.exe
    * Lance le
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande
    * Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


    ====================================


    2- Télécharge sur ton bureau l'outil TdssKiller ( de Kaspersky lab ) :

    > http://support.kaspersky.com/downloads/utils/tdsskiller...


    ! Ferme toutes applications en cours, déconnecte toi et désactive ton antivirus le temps de la procédure !


  • Lance TdssKiller.exe .


    > La fenêtre suivante va s'ouvrir::




    > Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.


    ( Note : si aucune infection n'est détectée après le scan, clique sur close pour fermer l'outil ... )


  • Si des fichiers infectés sont trouvés, une nouvelle fenêtre va s'ouvrir:



    o Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

    o Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

    o Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

    o Si Suspicious file est indiqué, laisse l'option cochée sur Skip .


    > Clique sur Continue puis sur Reboot now pour redémarrer le PC.

    laisse travailler ...


    > Une fois finit, fait moi parvenir le rapport généré dans ta prochaine réponse

    Ce rapport sera sauvegardé à la racine de ta partition système sous le nom C:\TDSSKillerJJ.MM.AA_HH.MM.SS.txt (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).


    ( tutoriel--> http://support.kaspersky.com/viruses/solutions?qid=2082... )


    ===========================

    3- Ré-ouvre ZHPDiag .

  • On va le mettre à jour : pour cela, clique sur le bouton

  • A la fenêtre "Télécharger la version du..." , clique sur OUI et laisse toi guider pour installer la nouvelle version ...

    ( note : ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).



    Puis relance un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    16 Juin 2011 17:30:42

    Rebonjour, et encore merci de suivre mon pb.

    J'arrive pas à lancer TdssKiller, en regardant le gestionnaire des taches je vois qu'un processus nommé cf.bin semble s'y opposer, mais impossible a killer, et rogue killer ne semble pas s'y opposer non plus (à cf.bin).

    l'infection à changer d'aspect un peu, j'ai maintenant un temps limité (environ 1Heure) avant que l'affichage ne se detraque, obliger d'eteindre en apuyant 6sec sur off.
    Je n'arrive pas a finir une analyse malwarebytes en mode complet (le mode ecllaire et le mode rapide ne donne aucun resultats).
    Avast ne rode toujours rien en mode scan rapide, et j'ai toujours un bug avant la fin du mode complet comme avec malbytes.

    Malgres le risque j'ai quand meme copier les dossiers que je voulais garder sur un dd externe.

    j'ai penser a tout formater, mais je me suis apperçu qu'il me manquait le cd : "fujitsu siemens recovery cd-rom" (oui j'ai un fujitsi amilio) avec l'OS inclu, mais il me reste le cd de drivers. je me demandais s'il etaitpossible d'installer un classique windows XP2 ou 3 avec ma clé actuelle, puis de mettre les drivers par la suite?
    ou est ce que ça risque de poser un problème?

    tu dis : "Des restes du rogue et des restes d'ardwares" ok des reste durogue, je m'en doute vu les effets, mais qu'appele tu "ardwares"?



    16 Juin 2011 21:59:30

    rapport ZHPDiag:
    http://www.cijoint.fr/cjlink.php?file=cj201106/cijjugH8...

    Mbam est entraint de tourné en scan complet et semble trouvé des truc, rapport a suivre si ça plante pas entre temps...

    j'ai regarder un peu d'autre forum, des gens avec le meme pb que moi, et ils ont pas vraiment l'air de s'en sortir... c'est pas super encourageant.

    des idées déjà sur la source possible d'infection?
    16 Juin 2011 23:01:50

    hello,


    Citation :
    09:12.0484 3888 Detected object count: 1
    2011/06/16 21:09:12.0484 3888 Actual detected object count: 1
    2011/06/16 21:10:13.0312 3888 VolSnap (4d39b6fbf65832f9ae75d8157694afb0) C:\WINDOWS\system32\drivers\VolSnap.sys
    2011/06/16 21:10:13.0312 3888 Suspicious file (Forged): C:\WINDOWS\system32\drivers\VolSnap.sys. Real md5: 4d39b6fbf65832f9ae75d8157694afb0, Fake md5: 46de1126684369bace4849e4fc8c43ca
    2011/06/16 21:10:14.0984 3888 Backup copy found, using it..
    2011/06/16 21:10:15.0000 3888 C:\WINDOWS\system32\drivers\VolSnap.sys - will be cured after reboot
    2011/06/16 21:10:15.0000 3888 Rootkit.Win32.TDSS.tdl3(VolSnap) - User select action: Cure
    2011/06/16 21:10:32.0312 2648 Deinitialize success



    un driver syteme était patché par l'infection ... version coraice de TDSS ... :whistle: 


    t'as du chopper cela par 'Exploit' sur un site daubé ... ou téléchargement d'un crack ...


    MBAM n'a rien biché derrière ... ( juste des merdes désactivées qui trainent dans la quarantaine de RK ) ... c'est plutôt encourageant ...



    Parcontre je vois que tu parts un peu 'seul' à l'aventure ; suivre le procédure d'autre sans être guider par quelqu'un qui s'y connait , c'est faire prendre beaucoup de risque à l'ordi ...

    Donc je te conseille d'arrèter et de rester ici ( et uniquement ici ) afin qu'on puisse finir le job ensemble ...
    Et bien suivre les directives que je te donne et RIEN FAIRE D'AUTRE ! ... ( pas même un scan avec ton AV )


    On est OK ? ... ;) 





    donc la suite dans l'ordre ( et merci de respecter cet ordre de procédure ) :




    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    O61 - LFC:Last File Created 03/06/2011 - 02:30:32 ---A- C:\Documents And Settings\All Users\Application Data\21094180 [344]
    O61 - LFC:Last File Created 03/06/2011 - 02:30:58 ---A- C:\Documents And Settings\Florent\Menu Démarrer\Programmes\Windows XP Recovery\Uninstall Windows XP Recovery.lnk [903] => Infection Rogue (Rogue.WindowsXPRecovery)
    O61 - LFC:Last File Created 03/06/2011 - 02:30:58 ---A- C:\Documents And Settings\Florent\Menu Démarrer\Programmes\Windows XP Recovery\Windows XP Recovery.lnk [831] => Infection Rogue (Rogue.WindowsXPRecovery)
    O61 - LFC:Last File Created 03/06/2011 - 02:31:08 --HA- C:\Documents And Settings\All Users\Application Data\~21094180r [152]
    O61 - LFC:Last File Created 03/06/2011 - 02:31:09 --HA- C:\Documents And Settings\All Users\Application Data\~21094180 [136]
    HiddenFix
    EmptyTemp



    > Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.


    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [GO] pour lancer le nettoyage .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé sur ton bureau > ZHPFix.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ======================================


    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://www.teamxscript.org/adremoverTelechargement.html
    ou ici http://forum-aide-contre-virus.be/download/AD-Remover.h...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe pour lancer l'installation .

    Une fois l'outil installé, ce dernier s'ouvre directement ( et un raccourci se crée sur le bureau ).

    • Au menu principal, clique directement sur le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    ===================================


    3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Double-clique sur l'icône "ComboFix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).

    *Une fois la console installée,

    Déconnecte toi si possible avant de cliquer sur "Oui" pour lancer le scan --


    Notes importantes :
    -> Ne rien faire avec le PC pendant le scan !
    -> N'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Si l'otuil t'anonce qu'un version plus récente de ComboFix est disponible, accepte la mise à jour.
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
    -> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore ComboFix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses une fois la procédure terminée.


    > Poste le rapport ComboFix pour analyse et attends la suite ...










    17 Juin 2011 15:11:20

    re

    voici le rapport 1: ZHPFixReport.txt
    http://www.cijoint.fr/cjlink.php?file=cj201106/cijEkiqj...

    2 le rapport: Ad-Report-CLEAN[1].txt
    http://www.cijoint.fr/cjlink.php?file=cj201106/ciji8qg5...

    pour ce qui est du 'solo' comme tu dis, c'est pour eviter la propagation, et lutter contre les effet, je le fais quand je trouve ça justifié, et quand je comprend les consequence. Et il est difficile de faire confiance aveuglement à quelqu'un, meme si tu passe du temps sur mon cas, et je t'en remercie, tu n'est pas pour autant une personne dite de confiance pour moi. j'ai deja installer un certains nombre de logiciel nouveaux pour moi, dont je ne comprends pas forcement les actions, ni s'ils dissimulent eux meme des dangers.
    Pour l'instant je suis tes procedures à la lettre en oubliant deverifier les sources.

    Bref tous ça pour dire qu'il est difficile de faire confiance aveuglement en quelqu'un sur le net, et que par ailleurs je dois me servir de ce pc pour certaine action, comme la consultation de mail, je n'ai pas trop le choix.
    J'essaye de diminuer le risque d'espionnage en changeant de mot de passe regulierement, mais ça ne l'enleve pas, bien sur.

    j'ai du mal aussi a evaluer la longueur de cetteprocedure, ni le nombre d'outils suplementaires necessaires, si tu pouvait m"eclairer sur la situation: est ce qu'on est qu'au debut?
    est ce que la situation connait une fin?
    as tu deja recontré cette infection?
    si oui as tu des cas ou tu en es venu a bout ?
    d'ou te provient la connaissance sur ce virus et sur les outils a employer?
    est tu sur de ces outils ?

    bref j'ai pas mal d'interrogation et je medemande si un formatage qui me dureraita pire une jourée ne serait pas mieux qu'une epique chasse aux residu qui dure des semaines et qui finalement laisse un systeme instable, ou pas complet.

    Cordialement,
    Pob_73
    17 Juin 2011 16:52:25

    rapport combofix:
    **************************************************************
    ComboFix 11-06-16.02 - Florent 17/06/2011 17:13:52.1.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1471.955 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Florent\Bureau\ComboFix.exe
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\documents and settings\Florent\Menu Démarrer\Programmes\Windows XP Recovery
    c:\windows\daemon.dll
    c:\windows\system32\Ijl11.dll
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-05-17 au 2011-06-17 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-06-17 00:27 . 2011-06-17 00:27 -------- d-----w- c:\program files\Ad-Remover
    2011-06-16 16:43 . 2011-06-16 18:21 -------- dc----w- C:\W
    2011-06-16 15:52 . 2011-06-16 16:01 -------- d-----w- c:\program files\InterVideo
    2011-06-14 18:39 . 2011-06-14 18:39 512 -c--a-w- C:\PhysicalDisk0_MBR.bin
    2011-06-14 17:59 . 2011-06-17 00:22 -------- d-----w- c:\program files\ZHPDiag
    2011-06-10 17:31 . 2011-06-10 17:31 -------- dc----w- c:\documents and settings\Florent\Application Data\ScanSoft
    2011-06-10 17:31 . 2011-06-10 17:31 -------- dc----w- c:\documents and settings\All Users\Application Data\SSScanWizard
    2011-06-10 17:31 . 2011-06-10 17:31 -------- dc----w- c:\documents and settings\All Users\Application Data\SSScanAppDataDir
    2011-06-10 17:30 . 2011-06-10 17:31 -------- d-----w- c:\program files\Fichiers communs\ScanSoft Shared
    2011-06-10 17:30 . 2011-06-10 17:30 -------- d-----w- c:\program files\ScanSoft
    2011-06-10 17:28 . 2011-06-10 17:28 -------- d-----w- c:\program files\ArcSoft
    2011-06-10 17:25 . 2011-06-10 17:25 -------- dc----w- c:\documents and settings\Florent\Application Data\InterTrust
    2011-06-08 15:22 . 2011-06-08 23:01 -------- dc----w- c:\documents and settings\All Users\Application Data\AVAST Software
    2011-06-08 15:22 . 2011-06-08 15:22 -------- d-----w- c:\program files\AVAST Software
    2011-06-03 19:08 . 2011-06-03 19:08 -------- dc----w- c:\documents and settings\Florent\Application Data\Malwarebytes
    2011-06-03 19:08 . 2011-06-03 19:08 -------- dc----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2011-06-03 19:08 . 2011-06-16 00:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2011-06-03 15:30 . 2011-06-03 19:06 -------- dc----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2011-06-03 01:44 . 2011-06-03 01:44 0 -c--a-w- c:\documents and settings\Florent\ntuser.tmp
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-06-16 19:11 . 2004-08-05 12:00 53376 ----a-w- c:\windows\system32\drivers\volsnap.sys
    2011-05-02 15:31 . 2007-10-28 15:37 692736 ----a-w- c:\windows\system32\inetcomm.dll
    2011-04-29 16:19 . 2004-10-28 01:14 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2011-04-25 15:45 . 2004-09-29 18:49 832512 ----a-w- c:\windows\system32\wininet.dll
    2011-04-25 15:45 . 2004-08-05 12:00 1830912 ------w- c:\windows\system32\inetcpl.cpl
    2011-04-25 15:45 . 2004-08-05 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
    2011-04-25 15:45 . 2004-08-05 12:00 17408 ------w- c:\windows\system32\corpol.dll
    2011-04-25 12:01 . 2004-08-05 12:00 389120 ----a-w- c:\windows\system32\html.iec
    2011-04-21 13:37 . 2004-08-05 12:00 105472 ----a-w- c:\windows\system32\drivers\mup.sys
    2011-03-25 23:48 . 2011-03-25 23:48 4284416 ----a-w- c:\windows\system32\GPhotos.scr
    2011-05-04 00:20 . 2011-04-06 14:51 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2011-05-10 12:10 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
    @="{C5994560-53D9-4125-87C9-F193FC689CB2}"
    [HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
    2009-08-13 17:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
    @="{C5994561-53D9-4125-87C9-F193FC689CB2}"
    [HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
    2009-08-13 17:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
    @="{C5994562-53D9-4125-87C9-F193FC689CB2}"
    [HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
    2009-08-13 17:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
    @="{C5994563-53D9-4125-87C9-F193FC689CB2}"
    [HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
    2009-08-13 17:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
    @="{C5994564-53D9-4125-87C9-F193FC689CB2}"
    [HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
    2009-08-13 17:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
    @="{C5994565-53D9-4125-87C9-F193FC689CB2}"
    [HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
    2009-08-13 17:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
    @="{C5994566-53D9-4125-87C9-F193FC689CB2}"
    [HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
    2009-08-13 17:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
    @="{C5994567-53D9-4125-87C9-F193FC689CB2}"
    [HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
    2009-08-13 17:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
    @="{C5994568-53D9-4125-87C9-F193FC689CB2}"
    [HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
    2009-08-13 17:55 85768 ----a-w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "VTTimer"="VTTimer.exe" [2005-03-08 53248]
    "SoundMan"="SOUNDMAN.EXE" [2005-08-17 90112]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-07-08 729178]
    "avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-05-10 3459712]
    "Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
    .
    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AutoStart IR.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\AutoStart IR.lnk
    backup=c:\windows\pss\AutoStart IR.lnkCommon Startup
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
    backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Desktop Search.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Windows Desktop Search.lnk
    backup=c:\windows\pss\Windows Desktop Search.lnkCommon Startup
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^Florent^Menu Démarrer^Programmes^Démarrage^OneNote 2007 - Capture d'écran et lancement.lnk]
    path=c:\documents and settings\Florent\Menu Démarrer\Programmes\Démarrage\OneNote 2007 - Capture d'écran et lancement.lnk
    backup=c:\windows\pss\OneNote 2007 - Capture d'écran et lancement.lnkStartup
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^Florent^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.2.lnk]
    path=c:\documents and settings\Florent\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.2.lnk
    backup=c:\windows\pss\OpenOffice.org 3.2.lnkStartup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2011-03-30 17:29 937920 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2011-01-30 15:45 35736 ----a-w- c:\program files\Adobe\Reader 10.0\Reader\reader_sl.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
    2009-08-13 14:51 177440 ----a-w- c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath]
    2004-12-15 18:01 40960 ----a-w- c:\windows\VM_STI.EXE
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
    2010-03-25 00:50 2516296 ----a-w- c:\program files\Canon\MyPrinter\BJMYPRT.EXE
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
    2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTSyncU.exe]
    2006-09-28 19:09 700416 ------w- c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
    2004-08-22 16:05 81920 ----a-w- c:\program files\D-Tools\daemon.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\flockbox]
    2007-12-14 15:59 1071472 ----a-w- c:\program files\My Lockbox\flockbox.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
    2008-10-25 10:44 31072 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
    2009-01-22 15:16 2745776 ----a-w- c:\program files\Internet Download Manager\IDMan.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
    2004-08-09 05:03 221184 ----a-w- c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
    2004-08-09 05:03 81920 ----a-w- c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    2009-09-08 20:09 305440 ----a-w- c:\program files\iTunes\iTunesHelper.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    2008-04-14 02:34 1695232 ----a-w- c:\program files\Messenger\msmsgs.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OPSE reminder]
    2003-07-07 08:30 729088 ----a-r- c:\program files\ScanSoft\OmniPageSE2.0\EregFre\Ereg.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE2]
    2003-05-08 10:00 49152 ----a-w- c:\program files\ScanSoft\OmniPageSE2.0\opwareSE2.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2009-09-05 00:54 417792 ----a-w- c:\program files\QuickTime\QTTask.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spiceworks]
    2011-01-27 13:04 66912 ----a-w- c:\program files\Spiceworks\bin\spicetray_silent.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2010-01-11 13:21 246504 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier2.exe]
    2006-07-07 16:45 1052672 ----a-w- c:\program files\SuperCopier2\SuperCopier2.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    2009-03-22 21:32 198160 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
    2008-05-06 08:42 202088 ----a-w- c:\program files\TomTom HOME 2\HOMERunner.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
    2006-09-26 14:49 35328 ----a-w- c:\program files\Winamp\winampa.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "ose"=3 (0x3)
    "odserv"=3 (0x3)
    "Microsoft Office Groove Audit Service"=3 (0x3)
    "gupdate"=2 (0x2)
    "SLService"=2 (0x2)
    "JavaQuickStarterService"=2 (0x2)
    "Apple Mobile Device"=2 (0x2)
    "WMPNetworkSvc"=3 (0x3)
    "vmount2"=2 (0x2)
    "rpcapd"=3 (0x3)
    "PctrlsInjectService"=2 (0x2)
    "idsvc"=3 (0x3)
    "gusvc"=3 (0x3)
    "gupdatem"=3 (0x3)
    "VMware NAT Service"=2 (0x2)
    "VMnetDHCP"=2 (0x2)
    "VMAuthdService"=2 (0x2)
    "iPod Service"=3 (0x3)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
    "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
    "c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
    "c:\\Program Files\\Opera\\opera.exe"=
    "c:\\Program Files\\Microsoft Games\\Age of Empires II\\EMPIRES2.ICD"=
    "c:\\WINDOWS\\system32\\dplaysvr.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\Google\\Google Earth\\plugin\\geplugin.exe"=
    "c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Mozilla Firefox\\emule.exe"=
    "c:\\Program Files\\Spiceworks\\httpd\\bin\\spiceworks-httpd.exe"=
    "c:\\Program Files\\Spiceworks\\bin\\spiceworks.exe"=
    "c:\\Program Files\\D-day\\r1q2.exe"=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "15304:TCP"= 15304:TCP:*:D isabled:emule1
    "15314:UDP"= 15314:UDP:*:D isabled:emule2
    .
    R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-05-29 366640]
    R3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2010-05-11 13192]
    R3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2010-05-11 8456]
    R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
    R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-05-29 39984]
    R3 s3chipid;s3chipid;c:\docume~1\Florent\LOCALS~1\Temp\s3chipid.sys [x]
    R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2010-06-25 100496]
    R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [x]
    R3 VBoxUSB;VirtualBox USB;c:\windows\system32\Drivers\VBoxUSB.sys [2010-06-25 31632]
    R4 d347bus;d347bus;c:\windows\system32\DRIVERS\d347bus.sys [2004-08-22 155136]
    R4 d347prt;d347prt;c:\windows\System32\Drivers\d347prt.sys [2004-08-22 5248]
    R4 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-09-04 136176]
    R4 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-09-04 136176]
    R4 PctrlsInjectService;PctrlsInjectService;c:\program files\ParetoLogic\PGsurfer\InjectService.exe [x]
    S0 MPRIFL;MPRIFL;c:\windows\SYSTEM32\DRIVERS\MPRIFL.SYS [2007-12-13 17264]
    S1 aswSnx;aswSnx; [x]
    S1 aswSP;aswSP; [x]
    S1 VBoxDrv;VirtualBox Service;c:\windows\system32\DRIVERS\VBoxDrv.sys [2010-06-25 142992]
    S1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\DRIVERS\VBoxUSBMon.sys [2010-06-25 41936]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2009-10-20 50704]
    .
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-05-13 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]
    .
    2011-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-09-04 11:24]
    .
    2011-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-09-04 11:24]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyOverride = *.local
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm
    IE: Télécharger le contenu de video FLV avec IDM - c:\program files\Internet Download Manager\IEGetVL.htm
    IE: Télécharger tous les liens avec IDM - c:\program files\Internet Download Manager\IEGetAll.htm
    TCP: DhcpNameServer = @IP ok
    FF - ProfilePath - c:\documents and settings\Florent\Application Data\Mozilla\Firefox\Profiles\q5nd6tpz.default\
    FF - user.js: general.useragent.extra.zencast - Creative ZENcast v1.02.12
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    SafeBoot-77062892.sys
    MSConfigStartUp-kqAIrvwyxLeS - c:\documents and settings\All Users\Application Data\kqAIrvwyxLeS.exe
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-06-17 17:25
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    [HKEY_LOCAL_MACHINE\System\ControlSet003\Services\-213E8]
    "imagepath"="\??\c:\windows\TEMP\-213E8.tmp"
    .
    [HKEY_LOCAL_MACHINE\System\ControlSet003\Services\1453E8]
    "imagepath"="\??\c:\windows\TEMP\1453E8.tmp"
    .
    [HKEY_LOCAL_MACHINE\System\ControlSet003\Services\2143E8]
    "imagepath"="\??\c:\windows\TEMP\2143E8.tmp"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{594fc45b-9b17-40ab-a2c4-f34598dda338}]
    @Denied: (Full) (Everyone)
    "Model"=dword:00000060
    "Therad"=dword:00000015
    "MData"=hex(0):2c,b3,18,7d,fd,a4,33,51,9a,46,a3,e0,0b,6e,45,6d,cf,4d,10,33,0c,
    2b,3a,17,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,\
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
    @Denied: (Full) (Everyone)
    "scansk"=hex(0):48,92,75,1b,29,0a,d2,fb,b4,57,f6,16,fe,c2,bb,7f,a1,2e,7e,ee,49,
    bc,f1,d6,39,b8,cd,1e,17,a6,72,30,c2,de,19,54,00,ba,dd,f3,00,00,00,00,00,00,\
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
    @Denied: (Full) (Everyone)
    "scansk"=hex(0):0c,0e,77,ac,3b,a3,19,d3,7b,5d,4f,d3,4e,4e,f6,60,84,38,dd,86,d3,
    10,05,5f,a2,da,1f,96,11,18,4d,8e,ce,79,52,5e,7d,ae,50,88,00,00,00,00,00,00,\
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{b18b9019-a3d3-4a11-b529-9d25a0a63e8e}]
    @Denied: (Full) (Everyone)
    "Model"=dword:0000001d
    "Therad"=dword:00000017
    .
    Heure de fin: 2011-06-17 17:32:04
    ComboFix-quarantined-files.txt 2011-06-17 15:31
    .
    Avant-CF: 11 829 444 608 octets libres
    Après-CF: 12 208 287 744 octets libres
    .
    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect /noguiboot
    C:\wubildr.mbr = "Ubuntu"
    .
    - - End Of File - - C4152B48D39E0FF959059B0ABD060D7F
    ******************************************************************
    17 Juin 2011 22:59:28

    Hello,


    pour faire le point vite fait :

    on arrive bientôt au bout .
    ce type d'infection ( rogue ) est la start du moment ... suivant les variantes, c'est plus où moins coton à virer ... et des rogues , j'en ai plus qu'il en faut à mon actif ... ;) 
    Ca fait maintenant plus de trois ans que je désinfecte les PC d'autrui sur les forum , et tu sais quoi : pour pas un rond ! ... normal , on est tous bénévoles et on aime faire cela ...

    Donc si tu veux voir mon historique , pas de soucis , regarde déjà les sujets que j'ai traité ici ( et aussi sur CommentCaMarche sous le même pseudo ) ...

    pour ce qui est de la confiance , je peux le comprendre ... mais dans ce cas là, bah paye un pro et il te rends un ordi 'tout neuf' , formaté avec les données perso de récupérées ; c'est leur métier et ils sont là pour ça...



    Tu me dis :

    Citation :
    je medemande si un formatage qui me dureraita pire une jourée ne serait pas mieux qu'une epique chasse aux residu qui dure des semaines et qui finalement laisse un systeme instable, ou pas complet.


    un clique pour s'infecter ... mais pour réparer le truc , bah c'est loin d'être aussi rapide ! ...

    et dans ton sujet initial tu précises bien :

    Citation :
    donc je m'enremets a vous pour essayer de trouver une solution, car j'aimerai beaucoup pouvoir en venir a bout sans formater!



    Donc on retrousse les manches et on y va ... :whistle: 



    ==================================

    bien ... revenons en à l'ordi ...


    rapport ZHPFix obtenu :

    Citation :
    ========== Dossiers/Fichiers cachés restaurés ==========
    Mes images (My Pictures) : 3340 Restauré(s) avec succès
    Ma musique (My Music) : 6 Restauré(s) avec succès
    Ma Video (My Video) : 6 Restauré(s) avec succès
    Mes Favoris (My Favorites) : 6 Restauré(s) avec succès
    Mes Documents (My Documents) : 6 Restauré(s) avec succès
    Mon Bureau (My Desktop) : 6 Restauré(s) avec succès
    Menu demarrer (Programs) : 6 Restauré(s) avec succès
    Dossier utilisateur (AppData) : 6 Restauré(s) avec succès
    Programmes (Program Files) : 6 Restauré(s) avec succès



    > dis moi si tu as bien récupérer ton bureau , si le 'menu démarrer' est fonctionnel , si tu as bien accès à tous tes prg ....




    fait moi aussi un topo sur les disfonctionnements qui éventeullement persitent encore ...



    Dans l'ordre :


    1- Rends toi sur ce site :

    http://www.virustotal.com/

  • Clique sur "parcourir" et va jusqu'au fichier suivant :

    c:\windows\TEMP\-213E8.tmp

  • Clique sur Send File ( = " Envoyer le fichier " ).

    -> Un rapport va s'élaborer ligne à ligne.

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

  • Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

  • Copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ...

    Petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    Fais de même pour :
    c:\windows\TEMP\1453E8.tmp
    c:\windows\TEMP\2143E8.tmp



    Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) .



    =======================


    2- Puis refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...



    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS