Se connecter / S'enregistrer
Votre question

[résolu]

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
23 Février 2008 20:35:41

Salut tout le monde!

Je sollicite votre aide car mon ordi me pose des problèmes et je n'arrive pas à les résoudre malgré plusieurs analyse antivirus en ligne et un surf intensif sur ce site et bien d'autres à la recherche de solutions. Je désespère...

Les symptomes de mon ordi sont les suivants:

1) lenteur

2) double circonflexe (^^) et double tréma (¨¨) automatiques

3) 2 logiciels 0 octet sur mon bureau insupprimables ("impossible de supprimer fichier : impossible de lire à partir du fichier ou de la disquette source")

Voici mon rapport hijackthis en vous remerciant d'avance pour votre aide!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:51:37, on 23.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.0.24\ShoppingReport.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.ch/ImageUploader4.cab
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AppMgmt - Apple, Inc. - (no file)
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

--
End of file - 6309 bytes

Autres pages sur : resolu

23 Février 2008 20:40:02

bonsoir

Télécharge BTFix de Bibi26.
  • Dézippe l'archive sur ton Bureau.
  • Ouvre le dossier BTFix.
  • Double clique sur BTFix.exe.
  • Clique sur Rechercher.
  • Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

    23 Février 2008 22:54:02

    Bonsoir, merci pour votre aide>> Voici le rapport de BTFix:

    BTFix 1.080 (par bibi26) - 23/02/2008 22:52:04 - Analyse
    Lancé depuis C:\Documents and Settings\Propriétaire\Bureau\BTFix\BTFix.exe

    ---> Fichiers/Dossiers trouvés

    - C:\WINDOWS\system32\bitsprx4.dll
    - C:\Program Files\ShoppingReport\
    - C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\

    ---> Analyse terminée
    Contenus similaires
    23 Février 2008 23:24:27

    re

    1

  • Ouvre BTFix.
  • Clique sur Nettoyer.
  • Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

    2

    Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.

    Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    ***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFi... ***

    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
    23 Février 2008 23:52:22

    Je ne veux pas interrompre Sham_Rock, je voudrais juste préciser que dans les cas ou tu as des fichiers que tu n'arrive pas à supprimer, utilise Unlocker ! Il est très efficace ! ;) 

    Now, je laisse Sham_Rock te désinfecter ! ;) 
    24 Février 2008 01:11:43

    Merci testeur01 pour ta proposition que je vais m'empresser d'essayer:-

    Sham_Rock, tout semble avoir marché! Juste avant d'aller dormir car mes paupières ne tiennent plus..., voici les 3 rapports (je m'empresserai de te répondre aux aurores si d'autres manoeuvres sont encore à effectuer, encore Merci!):

    BTFix 1.080 (par bibi26) - 23/02/2008 23:55:56 - Nettoyage - Mode normal
    Lancé depuis C:\Documents and Settings\Propriétaire\Bureau\BTFix\BTFix.exe

    ---> Fichiers/dossiers supprimés (Première passe)

    - Fichiers temporaires effacés
    - C:\WINDOWS\system32\bitsprx4.dll
    - C:\Program Files\ShoppingReport\Bin\2.0.24\
    - C:\Program Files\ShoppingReport\Bin\
    - C:\Program Files\ShoppingReport\cs\
    - C:\Program Files\ShoppingReport\
    - C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\cs\db\
    - C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\cs\dwld\
    - C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\cs\report\
    - C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\cs\res1\
    - C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\cs\
    - C:\Documents and Settings\Propriétaire\Application Data\ShoppingReport\

    ---> Nettoyage terminé

    SDFix: Version 1.145

    Run by Propri‚taire on 24.02.2008 at 00:24

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    Checking Services :

    Name:
    runtime
    QWC05

    Path:
    \??\C:\WINDOWS\System32\drivers\runtime.sys
    System32\Drivers\Qwc05.sys

    runtime - Deleted
    QWC05 - Deleted



    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting

    Service QWC05 - Deleted after Reboot

    Checking Files :

    Trojan Files Found:

    C:\WINDOWS\system32\drivers\QWC05(2).sys - Deleted
    C:\WINDOWS\system32\drivers\QWC05.sys - Deleted
    C:\WINDOWS\system32\2_exception.nls - Deleted
    C:\WINDOWS\system32\WLCtrl32.dll - Deleted
    C:\WINDOWS\system32\ntos.exe - Deleted
    C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
    C:\WINDOWS\system32\wsnpoem\video.dll - Deleted



    Folder C:\WINDOWS\system32\wsnpoem - Removed


    Removing Temp Files

    ADS Check :



    Final Check :

    catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-24 00:41:19
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "h0"=dword:00000000
    "khjeh"=hex:29,04,91,93,33,60,64,f7,81,71,1a,d0,93,03,2f,7d,20,0f,25,c0,59,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "h0"=dword:00000000
    "khjeh"=hex:29,04,91,93,33,60,64,f7,81,71,1a,d0,93,03,2f,7d,20,0f,25,c0,59,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "h0"=dword:00000000
    "khjeh"=hex:63,eb,e1,90,d0,29,45,cf,5c,8e,19,73,d2,fe,b1,a1,0b,b8,19,26,ba,..

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
    "khjeh"=hex:e2,c0,60,21,d7,f3,db,e5,11,ac,b2,70,93,b8,ae,cb,92,ad,08,26,31,..
    "d0"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
    "khjeh"=hex:a8,09,c2,63,fa,f5,1f,8a,de,59,54,8b,63,26,07,69,12,e7,a5,15,e3,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "h0"=dword:00000000
    "khjeh"=hex:29,04,91,93,33,60,64,f7,81,71,1a,d0,93,03,2f,7d,20,0f,25,c0,59,..

    scanning hidden registry entries ...

    scanning hidden files ...


    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 2


    Remaining Services :



    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
    "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
    "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:D isabled:RealPlayer"
    "C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\WINDOWS\\system32\\msiexec.exe"="C:\\WINDOWS\\system32\\msiexec.exe:*:Enabled:Windows© installer"
    "C:\\Documents and Settings\\Propri‚taire\\Bureau\\Jeux\\Nes\\a NESTCL95.EXE"="C:\\Documents and Settings\\Propri‚taire\\Bureau\\Jeux\\Nes\\a NESTCL95.EXE:*:Enabled:a NESTCL95"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
    "C:\\Program Files\\palmOne\\Hotsync.exe"="C:\\Program Files\\palmOne\\Hotsync.exe:*:Enabled:HotSync© Manager Application"
    "C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"
    "C:\\Documents and Settings\\Propri‚taire\\Bureau\\installer-13395-33-Nero-General-Clean-Tool-1-1-6-4-French.exe"="C:\\Documents and Settings\\Propri‚taire\\Bureau\\installer-13395-33-Nero-General-Clean-Tool-1-1-6-4-French.exe:*:Enabled:installer-13395-33-Nero-General-Clean-Tool-1-1-6-4-French"
    "C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:D isabled:Microsoft Management Console"
    "C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
    "C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

    Remaining Files :


    File Backups: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes :


    Finished!


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 00:52:51, on 24.02.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    C:\Program Files\CA\eTrust Antivirus\InoRT.exe
    C:\Program Files\CA\eTrust Antivirus\InoTask.exe
    C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\UPHClean\uphclean.exe
    C:\WINDOWS\system32\SearchIndexer.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\SearchProtocolHost.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
    O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
    O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
    O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
    O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.ch/ImageUploader4.cab
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: AppMgmt - Apple, Inc. - (no file)
    O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
    O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
    O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
    O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

    --
    End of file - 5641 bytes


    24 Février 2008 09:49:01

    Hello:-

    Au vu de ces 3 rapports est-ce que vous pensez qu'il y a encore des signes d'infection?
    24 Février 2008 10:15:25

    bonjour

    ~Télécharge Clean de Malekal

    Enregistre-le sur ton bureau et dézippe-le
    Cela va créer un dossier clean.
    Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
    Double-clic sur clean.cmd.
    Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
    Clean va travailler.
    Poste le contenu du rapport généré en C:\rapport_clean.txt.

    24 Février 2008 10:58:38

    Voici le rapport_clean:

    24.02.2008 a 10:51:03.51

    *** Recherche des fichiers dans C:

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32
    C:\WINDOWS\system32\SpoonUninstall.exe FOUND
    "C:\Documents and Settings\Propri‚taire\Application Data\DriveCleaner 2006\" FOUND

    *** Recherche des fichiers dans C:\Program Files
    "C:\Program Files\Fichiers communs\DriveCleaner 2006\" FOUND
    "C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\" FOUND
    "C:\Program Files\Microsoft Security Adviser\" FOUND
    *** Fin du rapport !
    24 Février 2008 11:45:53

    re

    ~Redémarre l'ordinateur en mode sans échec (F8 au démarrage de l'ordinateur)
    Aide


    Ouvre le dossier clean, double-clique sur clean.cmd.
    Choisis l'option 2 puis patiente.

    ~Redémarre normalement
    Poste le rapport clean qui se trouve en C:\rapport_clean.txt


    24 Février 2008 12:21:48

    Voici le second rapport_clean:

    Script execute en mode sans echec
    Rapport clean par Malekal_morte - http://www.malekal.com
    Script execute en mode sans echec 24.02.2008 a 12:09:22.68

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression des fichiers dans C:

    *** Suppression des fichiers dans C:\WINDOWS\

    *** Suppression des fichiers dans C:\WINDOWS\system32

    *** Suppression des fichiers dans C:\Program Files

    *** Suppression des clefs du registre effectuee..
    *** Fin du rapport !
    24 Février 2008 14:02:47

    Faut-il encore effectuer d'autres manip ou est-ce que je peux considérer mon ordi comme sain et sauf?

    Le problème des accents s'est résolu et il me semble avoir eu un gain certain en rapidité. MERCI MERCI MERCI 1000X!

    P.S. Merci aussi à testeur01 pr son programme unlocker qui m'a effacé ces maudits fichiers 0 octet sans aucun problème:-
    24 Février 2008 17:57:41

    bonsoir

    ~Fais une analyse antivirus en ligne sur le site de Kaspersky
    http://webscanner.kaspersky.fr/

    ~ Clique sur Online Scanner.
    ~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

    ~Sélectionne le poste de travail comme analyse.

    ~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.

    Tuto du scan en ligne
    29 Février 2008 09:02:11

    Bonjour

    Voici avec bcp de retard (...), le rapport du scanner online Kaspersky. Il semble qu'il y ait encore quelques soucis...

    KASPERSKY ON-LINE SCANNER REPORT
    Friday, February 29, 2008 8:48:42 AM
    Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 28/02/2008
    Enregistrements dans la base antivirus Kaspersky : 539925


    Paramètres d'analyse
    Analyser avec la base antivirus suivante standard
    Analyser les archives vrai
    Analyser les bases de messagerie vrai

    Cible de l'analyse Poste de travail
    A:\
    C:\
    D:\
    E:\
    G:\

    Statistiques de l'analyse
    Total d'objets analysés 45397
    Nombre de virus trouvés 8
    Nombre d'objets infectés 61 / 0
    Nombre d'objets suspects 0
    Durée de l'analyse 02:08:30

    Nom de l'objet infecté Nom du virus Dernière action
    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex\SystemIndex.7.Crwl L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex\SystemIndex.7.gthr L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\MSS.log L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010001.wid L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010002.wid L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010003.wid L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010007.ci L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010007.wid L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\00010007.wsb L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\0001000D.wid L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\Indexer\CiFiles\INDEX.000 L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\PropMap\CiPT0000.000 L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\PropMap\Used0000.000 L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SecStore\CiST0000.000 L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SystemIndex.chk1.gthr L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SystemIndex.chk2.gthr L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SystemIndex.Ntfy62.gthr L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\tmp.edb L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\Windows.edb L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Temp\usgthrsvc\Ntf2.tmp L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Temp\usgthrsvc\Ntf3.tmp L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Temp\usgthrsvc\Perflib_Perfdata_188.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\ntuser.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\Propriétaire\Cookies\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\Propriétaire\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Propriétaire\Local Settings\Historique\History.IE5\MSHist012008022820080229\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Propriétaire\Local Settings\TEMPMBROIT.EXE.0.AVB L'objet est verrouillé ignoré

    C:\Documents and Settings\Propriétaire\Local Settings\TEMPMBROIT.EXE.1.AVB L'objet est verrouillé ignoré

    C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Propriétaire\ntuser.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Propriétaire\ntuser.dat.LOG L'objet est verrouillé ignoré

    C:\Program Files\CA\eTrust Antivirus\DB\rtmaster.dbf L'objet est verrouillé ignoré

    C:\Program Files\CA\eTrust Antivirus\DB\rtmaster.ntx L'objet est verrouillé ignoré

    C:\SDFix\backups\backups.zip/backups/WLCtrl32.dll Infecté : Trojan.Win32.Small.agv ignoré

    C:\SDFix\backups\backups.zip ZIP: infecté - 1 ignoré

    C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP25\A0007390.dll Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP25\A0007396.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP25\A0007402.dll Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP25\A0007408.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007651.exe Infecté : Trojan-Downloader.Win32.Small.grg ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007652.exe Infecté : Trojan-PSW.Win32.LdPinch.dis ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007653.exe Infecté : Trojan-Spy.Win32.Zbot.abd ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007654.exe Infecté : Trojan-Spy.Win32.Zbot.abd ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007668.dll Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007673.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007693.dll Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007699.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007713.dll Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007718.dll Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007722.dll Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007727.dll Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007734.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007739.dll Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007744.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0007867.dll Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0008867.dll Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0008883.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0008900.dll Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0008921.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0008978.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP30\A0009101.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP31\A0010065.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP31\A0010099.EXE.0.AVB L'objet est verrouillé ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP31\A0010111.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP34\A0010219.exe Infecté : Trojan-Dropper.Win32.Agent.ecc ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP34\A0010246.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP34\A0010247.exe Infecté : Trojan-Spy.Win32.Zbot.abd ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP34\A0010248.sys Infecté : Email-Worm.Win32.Agent.e ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP34\A0010258.exe Infecté : Trojan-Clicker.Win32.VB.aaw ignoré

    C:\System Volume Information\_restore{D5E11122-CD22-4FBB-B025-08FC5863D917}\RP42\change.log L'objet est verrouillé ignoré

    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\mssadv.dll Infecté : Trojan-Clicker.Win32.VB.aaw ignoré

    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

    C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

    C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

    C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

    C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\WindowsPowerShell.evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

    C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

    C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

    C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/nBe0P7b.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/dSPbH7m.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/fl2lXa7.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/a4WhTw0.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/C0Tfefe.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/sQkX3fE.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/p2x5fP8.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/t55JTp8.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/luwp0jm.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/u686k7K.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/bdHmTQd.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/a°JK8EU.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/w4CmOVm.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/kk5NtmR.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/Nw3IRf4.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/vqbpbsL.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/EDkF7kk.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/w57obDJ.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/f1Ex1D2.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/saNBBRG.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/cv5K43c.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/uS3J678.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/xrM23xf.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar/V71nnVG.exe Infecté : Email-Worm.Win32.Glowa.g ignoré

    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar RAR: infecté - 24 ignoré

    Analyse terminée.
    29 Février 2008 17:56:09

    bonjour

    pas tant de soucis que ça...

    supprime:
    C:\WINDOWS\mssadv.dll
    G:\A trier\4LATINO\COMPAY SEGUNDO-Gracias Compay The Definitive Collection-192kbs + covers-by Tomclans.rar

    ~Désactive puis réactive la restauration en suivant ce tuto:
    http://service1.symantec.com/SUPPORT/INTER/tsgeninfoint...
    Il faudra désactiver la restauration, redémarrer l'ordinateur et réactiver aussitôt la restauration.


    Supprime tous les programmes installés pour la désinfection.

    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    ~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.

    :hello: 
    2 Mars 2008 13:08:46

    Bonjour,

    Tout d'abord merci pour l'excellent dossier que je me suis empressé d'enregistrer et que j'ai commencé à lire.

    J'ai effectué les opérations conseillées (suppression et point de restauration) mais au démarrage de l'ordinateur j'ai le message d'erreur suivant qui apparaît: "LogWatNT.exe a rencontré un problème et doit fermer"...

    Que faire, est-ce un virus récalcitrant ou un défaut apparu à la suite de la désinfection?

    Merci d'avance:-
    2 Mars 2008 15:40:11

    bonjour

    comme le montre hijacthis, le fichier est toujours présent:
    O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe


    voilà à quoi ça correspond:
    http://www.generation-nt.com/logwatnt-logwatnt-exe-proc...

    reposte un log hijackthis stp
    7 Mars 2008 22:46:35

    Bonsoir

    En gros, si j'ai bien compris, LogWatNT.exe est un processus faisant partie de mon antivirus e-trust (qui ne doit plus valoir grand chose en terme de protection vu qu'il date un peu...).

    Par contre, je ne comprends pas pourquoi à présent il rencontre un problème à chaque démarrage de l'ordi.

    Quoiqu'il en soit voici un nouveau log hijackthis:


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:34:21, on 07.03.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    C:\Program Files\CA\eTrust Antivirus\InoRT.exe
    C:\Program Files\CA\eTrust Antivirus\InoTask.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\UPHClean\uphclean.exe
    C:\WINDOWS\system32\SearchIndexer.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Opera\Opera.exe
    C:\Program Files\HDD Health\hddhealth.exe
    C:\WINDOWS\system32\SearchProtocolHost.exe
    C:\Documents and Settings\Propriétaire\Mes documents\Eric\Programmes\Désinfection-Nettoyage\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O12 - Plugin for .mu3: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
    O12 - Plugin for .mus: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
    O12 - Plugin for .mut: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
    O12 - Plugin for .myr: C:\Program Files\Internet Explorer\Plugins\NPMyrMus.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} -
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
    O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.ch/ImageUploader4.cab
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: AppMgmt - Apple, Inc. - (no file)
    O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
    O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
    O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

    --
    End of file - 5298 bytes
    7 Mars 2008 23:59:31

    bonsoir

    désinstalle puis réinstalle eTrust Antivirus

    ou remplace le par Antivir qui est gratuit et très performant.
    Antivir.

    -->Tuto<--
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS