Se connecter / S'enregistrer
Votre question

J'ai un Hacktool.rootkit

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Décembre 2007 07:38:32

Bonjour,

Je viens d'attraper ce virus par une clé USB. Comment faire pour s'en débarasser? J'ai lu un peu les échanges qu'il y a déjà sur le sujet, mais ça m'aide pas trop.

SVP, ne pas aller trop vite avec moi, ch'uis pas une as de l'ordi, désolée.

Merci d'avance.

Autres pages sur : hacktool rootkit

20 Décembre 2007 07:51:06

Si ça peu aider la réponse, voici mon dernier Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:48:56, on 19/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Symantec AntiVirus\DoScan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\StickyNote\StickyNote.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Documents and Settings\ASUS\Local Settings\Application Data\lsass.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\WINDOWS\system32\ping.exe
C:\WINDOWS\system32\ping.exe
C:\WINDOWS\system32\ping.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\INF\norBtok.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Empty.pif = f:\mydocu~1\work\lurker\sys\objfre_wxp_x86\i386\opengl.pdb
O4 - Global Startup: StickyNote.lnk = C:\Program Files\StickyNote\StickyNote.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

--
End of file - 5294 bytes
a b 8 Sécurité
20 Décembre 2007 16:18:04

Bonjour,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Redémarre en mode sans échec

  • Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.
    Contenus similaires
    20 Décembre 2007 17:46:22

    Merci infiniment Angeldark,

    Question idiote pour la plupart d'entre vous, mais c'est quoi déjà la touche pour le redémarrage en mode sans échec?

    Merci.
    a b 8 Sécurité
    20 Décembre 2007 18:05:52

    J'ai donné un lien :) 
    20 Décembre 2007 18:11:09

    OK, merci.
    On a un décalage horaire de -11h pour moi par rapport à la Métropole, donc je reprendrai cette discussion ce soir (pour moi) et demain matin très très tôt pour toi.
    Encore merci et à bientôt.
    a b 8 Sécurité
    20 Décembre 2007 18:17:15

    Ok :) 
    21 Décembre 2007 00:54:09

    Salut Angeldark,

    Tout s'est bien passé, j'ai tout fait à la lettre. Voici le rapport SDFix, suivi du log HJT.

    SDFix: Version 1.119

    Run by ASUS on 20/12/2007 at 13:40

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\DOCUME~1\ASUS\Bureau\SDFix

    Safe Mode:
    Checking Services:


    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...


    Normal Mode:
    Checking Files:

    No Trojan Files Found





    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.



    Final Check:

    catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-20 13:47:00
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden services ...

    HKLM\SYSTEM\CurrentControlSet\Services\ParVdmr

    HKLM\SYSTEM\CurrentControlSet\Services\PCIVdm

    HKLM\SYSTEM\CurrentControlSet\Services\PCIIdep

    HKLM\SYSTEM\CurrentControlSet\Services\PDRELIE

    HKLM\SYSTEM\CurrentControlSet\Services\perc2AME

    HKLM\SYSTEM\CurrentControlSet\Services\PerfNetk

    HKLM\SYSTEM\CurrentControlSet\Services\PerfOSt

    HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgentHPZ12

    HKLM\SYSTEM\CurrentControlSet\Services\PSchedtedStorage

    HKLM\SYSTEM\CurrentControlSet\Services\ql1080k

    HKLM\SYSTEM\CurrentControlSet\Services\ql12400

    HKLM\SYSTEM\CurrentControlSet\Services\RasManp

    HKLM\SYSTEM\CurrentControlSet\Services\Rasptioe

    HKLM\SYSTEM\CurrentControlSet\Services\Rdbssi

    HKLM\SYSTEM\CurrentControlSet\Services\RDPDDD

    HKLM\SYSTEM\CurrentControlSet\Services\redbookgr

    HKLM\SYSTEM\CurrentControlSet\Services\RpcLocatorstry

    HKLM\SYSTEM\CurrentControlSet\Services\RpcSscator

    HKLM\SYSTEM\CurrentControlSet\Services\RSVPs

    HKLM\SYSTEM\CurrentControlSet\Services\SAVRTam

    HKLM\SYSTEM\CurrentControlSet\Services\Secdrvrt

    HKLM\SYSTEM\CurrentControlSet\Services\senfiltn

    HKLM\SYSTEM\CurrentControlSet\Services\SENSilt

    HKLM\SYSTEM\CurrentControlSet\Services\Serialm

    HKLM\SYSTEM\CurrentControlSet\Services\SimbadWDetection

    HKLM\SYSTEM\CurrentControlSet\Services\smwdmd

    HKLM\SYSTEM\CurrentControlSet\Services\SparrowX Agent Service (default)

    HKLM\SYSTEM\CurrentControlSet\Services\Spoolerr

    HKLM\SYSTEM\CurrentControlSet\Services\srooler

    HKLM\SYSTEM\CurrentControlSet\Services\Srvervice

    HKLM\SYSTEM\CurrentControlSet\Services\stisvcV

    HKLM\SYSTEM\CurrentControlSet\Services\SwPrvi

    HKLM\SYSTEM\CurrentControlSet\Services\swwdv

    HKLM\SYSTEM\CurrentControlSet\Services\symc810c AntiVirus

    HKLM\SYSTEM\CurrentControlSet\Services\SYMTDIRV

    HKLM\SYSTEM\CurrentControlSet\Services\TapiSrvog

    HKLM\SYSTEM\CurrentControlSet\Services\Tcpiprv

    HKLM\SYSTEM\CurrentControlSet\Services\TDTCPE

    HKLM\SYSTEM\CurrentControlSet\Services\Themesrvice

    HKLM\SYSTEM\CurrentControlSet\Services\TosIder

    HKLM\SYSTEM\CurrentControlSet\Services\TSDDDs

    HKLM\SYSTEM\CurrentControlSet\Services\UdfsD

    HKLM\SYSTEM\CurrentControlSet\Services\UPSphost

    HKLM\SYSTEM\CurrentControlSet\Services\usbhubi

    HKLM\SYSTEM\CurrentControlSet\Services\usbscant

    HKLM\SYSTEM\CurrentControlSet\Services\VgaSaveIS

    HKLM\SYSTEM\CurrentControlSet\Services\viagfx1

    HKLM\SYSTEM\CurrentControlSet\Services\VSSSnap

    HKLM\SYSTEM\CurrentControlSet\Services\W3SVCme

    HKLM\SYSTEM\CurrentControlSet\Services\WDICAp

    HKLM\SYSTEM\CurrentControlSet\Services\winachsft

    HKLM\SYSTEM\CurrentControlSet\Services\winmgmtf

    HKLM\SYSTEM\CurrentControlSet\Services\WmimPmSN

    HKLM\SYSTEM\CurrentControlSet\Services\wscsvcworkSvc

    HKLM\SYSTEM\CurrentControlSet\Services\WudfPfrv

    HKLM\SYSTEM\CurrentControlSet\Services\WZCSVCc

    scanning hidden autostart entries ...

    scanning hidden files ...


    scan completed successfully
    hidden processes: 0
    hidden services: 56
    hidden files: 0


    Remaining Services:
    ------------------



    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
    "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
    "C:\\Documents and Settings\\ASUS\\Local Settings\\Temporary Internet Files\\Content.IE5\\6ZCJIBE5\\incredimail_install[1].exe"="C:\\Documents and Settings\\ASUS\\Local Settings\\Temporary Internet Files\\Content.IE5\\6ZCJIBE5\\incredimail_install[1].exe:*:Enabled:IncrediMail Installer"
    "C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\IncrediMail\\bin\\ImApp.exe"="C:\\Program Files\\IncrediMail\\bin\\ImApp.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
    "C:\\Documents and Settings\\ASUS\\Local Settings\\Temporary Internet Files\\Content.IE5\\6ZCJIBE5\\magentic_install[1].exe"="C:\\Documents and Settings\\ASUS\\Local Settings\\Temporary Internet Files\\Content.IE5\\6ZCJIBE5\\magentic_install[1].exe:*:Enabled:IncrediMail Installer"
    "C:\\Documents and Settings\\ASUS\\Local Settings\\Temp\\ImInstaller\\Magentic\\magentic_install[1].exe"="C:\\Documents and Settings\\ASUS\\Local Settings\\Temp\\ImInstaller\\Magentic\\magentic_install[1].exe:*:Enabled:IncrediMail Installer"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

    Remaining Files:
    ---------------


    Files with Hidden Attributes:

    Thu 20 Dec 2007 30,311 A.SH. --- "C:\NeroCheck.exe"
    Thu 20 Dec 2007 47,605 A.SH. --- "C:\WINDOWS\system32\WUpdate$!.TMP"
    Thu 4 Oct 2007 131,072 ...H. --- "C:\WINDOWS\inf\norBtok.exe"
    Thu 20 Dec 2007 17,280 A.SH. --- "C:\WINDOWS\system32\drivers\opengl.sys"
    Thu 20 Dec 2007 56,320 A..H. --- "C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0081356.exe"
    Thu 20 Dec 2007 56,320 A..H. --- "C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0081534.exe"
    Wed 24 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5c703fe0947475848e966b61999878d1\BIT1.tmp"
    Thu 6 Sep 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
    Wed 5 Jan 2005 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Franck\~WRL0001.tmp"
    Wed 5 Jan 2005 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Franck\~WRL0003.tmp"
    Wed 5 Jan 2005 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Franck\~WRL0558.tmp"
    Wed 5 Jan 2005 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Franck\~WRL3888.tmp"
    Wed 5 Jan 2005 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Sauvegarde USB\Franck\~WRL0001.tmp"
    Wed 5 Jan 2005 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Sauvegarde USB\Franck\~WRL0003.tmp"
    Wed 5 Jan 2005 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Sauvegarde USB\Franck\~WRL0558.tmp"
    Wed 5 Jan 2005 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Sauvegarde USB\Franck\~WRL3888.tmp"
    Tue 27 Nov 2007 491,520 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\A.TA\Secretariat\PECC\~WRL2671.tmp"
    Mon 4 Oct 2004 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\A.TA\Noun\Modeles\Doc Adm\~WRL0003.tmp"
    Mon 4 Oct 2004 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\A.TA\Noun\Modeles\Doc Adm\~WRL0005.tmp"
    Mon 4 Oct 2004 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\A.TA\Noun\Modeles\Doc Adm\~WRL0558.tmp"
    Mon 4 Oct 2004 20,480 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\A.TA\Noun\Modeles\Doc Adm\~WRL2535.tmp"
    Sun 28 Dec 2003 37,888 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Anouck ancien\Anouck 2\Etre\Autres\~WRL0005.tmp"
    Wed 5 Jan 2005 28,160 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Anouck ancien\Anouck 2\A.TA\Noun\Salons PPT\Made in fenua\~WRL0001.tmp"
    Fri 7 Jan 2005 38,400 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Anouck ancien\Anouck 2\A.TA\Noun\Salons PPT\Made in fenua\~WRL0002.tmp"
    Fri 7 Jan 2005 34,816 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Anouck ancien\Anouck 2\A.TA\Noun\Salons PPT\Made in fenua\~WRL0003.tmp"
    Fri 7 Jan 2005 33,792 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Anouck ancien\Anouck 2\A.TA\Noun\Salons PPT\Made in fenua\~WRL0005.tmp"
    Fri 7 Jan 2005 33,280 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Anouck ancien\Anouck 2\A.TA\Noun\Salons PPT\Made in fenua\~WRL1522.tmp"
    Fri 7 Jan 2005 33,792 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Anouck ancien\Anouck 2\A.TA\Noun\Salons PPT\Made in fenua\~WRL2461.tmp"
    Fri 7 Jan 2005 38,912 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Anouck ancien\Anouck 2\A.TA\Noun\Salons PPT\Made in fenua\~WRL4069.tmp"
    Mon 4 Oct 2004 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Anouck ancien\Anouck 2\A.TA\Noun\Modeles\Doc Adm\~WRL0003.tmp"
    Mon 4 Oct 2004 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Anouck ancien\Anouck 2\A.TA\Noun\Modeles\Doc Adm\~WRL0005.tmp"
    Mon 4 Oct 2004 19,456 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Anouck ancien\Anouck 2\A.TA\Noun\Modeles\Doc Adm\~WRL0558.tmp"
    Mon 4 Oct 2004 20,480 A..H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Anouck ancien\Anouck 2\A.TA\Noun\Modeles\Doc Adm\~WRL2535.tmp"
    Wed 20 Jun 2007 48,128 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL0004.tmp"
    Wed 20 Jun 2007 48,128 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL1758.tmp"
    Wed 20 Jun 2007 49,152 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL1359.tmp"
    Wed 20 Jun 2007 49,664 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL0166.tmp"
    Wed 20 Jun 2007 49,664 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL0642.tmp"
    Wed 20 Jun 2007 49,664 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL2425.tmp"
    Wed 20 Jun 2007 49,664 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL3730.tmp"
    Wed 20 Jun 2007 48,640 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL3869.tmp"
    Wed 20 Jun 2007 48,640 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL2730.tmp"
    Wed 20 Jun 2007 49,664 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL0235.tmp"
    Wed 20 Jun 2007 48,640 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL1563.tmp"
    Wed 20 Jun 2007 48,640 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL2113.tmp"
    Wed 20 Jun 2007 49,664 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL1965.tmp"
    Wed 20 Jun 2007 51,200 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL2635.tmp"
    Wed 20 Jun 2007 50,688 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL3916.tmp"
    Wed 20 Jun 2007 50,688 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL0585.tmp"
    Wed 20 Jun 2007 50,176 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL1055.tmp"
    Wed 20 Jun 2007 51,200 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL0965.tmp"
    Wed 20 Jun 2007 49,664 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL0920.tmp"
    Wed 20 Jun 2007 49,664 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL3250.tmp"
    Wed 20 Jun 2007 50,176 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL3287.tmp"
    Wed 20 Jun 2007 51,200 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\ESC102 Strategie marketing\ESC102 Anouck\Examen\~WRL1432.tmp"
    Tue 27 Mar 2007 20,992 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\EME101 Management Processus et organisation de l'entreprise\EME101\Ch 6\~WRL0005.tmp"
    Tue 27 Mar 2007 20,992 ...H. --- "C:\Documents and Settings\ASUS\Mes documents\Anouck 2\Cnam\Faits\2006-2007\2eme semestre\EME101 Management Processus et organisation de l'entreprise\EME101\Ch 6\~WRL2574.tmp"

    Finished!



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:54:38, on 20/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\winlogon.exe
    C:\Program Files\StickyNote\StickyNote.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\services.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\lsass.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\ping.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\INF\norBtok.exe"
    O4 - HKLM\..\Run: [BootClean] smartdrv.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Empty.pif = f:\mydocu~1\work\lurker\sys\objfre_wxp_x86\i386\opengl.pdb
    O4 - Global Startup: StickyNote.lnk = C:\Program Files\StickyNote\StickyNote.exe
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

    --
    End of file - 5338 bytes


    Merci encore à toi.


    21 Décembre 2007 07:38:40

    D'autre part, je viens de remarquer que le virus a dupliqué dans chacun de mes dossiers dans "Mes Documents", comme un dossier du même nom mais d'un contenu différent et toujours le même. Je suis en train de tous les envoyer dans la corbeille. Est-ce que je peux les supprimer sans risque? Merci.
    21 Décembre 2007 08:17:44

    Je viens de me rendre compte que ça ne sert à rien, ils reviennent aux mêmes emplacements !!!!!!!
    21 Décembre 2007 08:28:54

    Mon Norton indique que j'ai maintenant un Backdoor.Bifrose que j'ai trouvé dans "Eléments sauvegardés" et en type de fichier j'ai du Smartdrv.exe, autorun.exe, du Nerocheck.exe
    a b 8 Sécurité
    21 Décembre 2007 11:00:24

    Re,

    Désactive tes protections résidentes (antivirus...) ![/#f]

  • Télécharge [#ff0000]combofix.exe
  • (par sUBs) sur ton Bureau.
  • Double clique combofix.exe.
  • Tape sur la touche 1 (Yes) pour démarrer le scan.
  • Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt
    21 Décembre 2007 16:57:03

    Bonjour Angeldark,

    Je peux pas télécharger combofix.exe, mon PC s'éteint dès que je clique sur "télécharger". Il m'a fait la même chose quand j'ai essayé de télécharger avg anti rootkit au début.
    21 Décembre 2007 18:08:09

    Ca me fait la même chose !!!!!!!!!!!! J'ai désactivé Norton pour essayer de le télécharger, ça fonctionne pas. J'ai les Boules !!!!!!!!
    Il va falloir que j'y aille, je te lirai à mon retour.

    Merci pour ce que tu fais.
    a b 8 Sécurité
    21 Décembre 2007 18:09:22

    Tu peux le tranférer d'un autre pc ?
    21 Décembre 2007 18:20:36

    Non, j'en ai qu'un à la maison, mais j'ai un PC au bureau. Si c'est une solution, comment dois-je m'y prendre?

    Ch'uis super en retard, j'attends tes dernières consignes avant de sauter dans la voiture.

    Merci.
    a b 8 Sécurité
    21 Décembre 2007 19:07:01

    Une clé USB ?
    22 Décembre 2007 00:07:45

    Ouf, je l'ai téléchargé sur mon PC au travail et me le suis envoyée par email. Voici donc le rapport demandé :

    ComboFix 07-12-21.4 - ASUS 2007-12-21 13:02:07.1 - FAT32x86
    Running from: C:\Documents and Settings\ASUS\Mes documents\Mes vidéos\ComboFix.exe
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2007-11-21 to 2007-12-21 ))))))))))))))))))))))))))))))))))))
    .

    2007-12-20 13:39 . 2007-12-20 13:39 <REP> d-------- C:\WINDOWS\ERUNT
    2007-12-20 06:23 . 2007-12-20 06:23 17,280 --ahs---- C:\WINDOWS\system32\drivers\opengl.sys
    2007-12-19 19:56 . 2007-12-19 19:56 <REP> d-------- C:\Program Files\Trend Micro
    2007-12-19 18:59 . 2007-12-19 18:59 <REP> d-------- C:\Program Files\CCleaner
    2007-12-19 18:30 . 2007-12-19 18:30 <REP> d-------- C:\Hiajckthis
    2007-12-19 15:59 . 2007-12-20 06:23 47,605 --ahs---- C:\WINDOWS\system32\WUpdate$!.TMP
    2007-12-08 11:08 . 2007-12-08 11:08 <REP> d-------- C:\WINDOWS\system32\Viewers

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-05 00:40 131,072 ---h--w C:\WINDOWS\inf\norBtok.exe
    2007-10-05 00:40 131,072 ----a-w C:\WINDOWS\system32\3D Animation.scr
    1999-04-06 12:27 99,840 ----a-w C:\Program Files\Fichiers communs\IRAABOUT.DLL
    1998-12-09 02:53 70,144 ----a-w C:\Program Files\Fichiers communs\IRAMDMTR.DLL
    1998-12-09 02:53 48,640 ----a-w C:\Program Files\Fichiers communs\IRALPTTR.DLL
    1998-12-09 02:53 31,744 ----a-w C:\Program Files\Fichiers communs\IRAWEBTR.DLL
    1998-12-09 02:53 186,368 ----a-w C:\Program Files\Fichiers communs\IRAREG.DLL
    1998-12-09 02:53 17,920 ----a-w C:\Program Files\Fichiers communs\IRASRIAL.DLL
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54]
    "IncrediMail"="C:\PROGRA~1\INCRED~1\bin\IncMail.exe" [2007-05-20 14:50]
    "Tok-Cirrhatus"="C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe" [2007-10-04 14:40]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-04-18 16:02]
    "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2005-05-09 10:47]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-03-30 09:50]
    "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 11:45]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
    "Bron-Spizaetus"="C:\WINDOWS\INF\norBtok.exe" [2007-10-04 14:40]
    "BootClean"="smartdrv.exe" []

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:54]

    C:\Documents and Settings\ASUS\Menu D‚marrer\Programmes\D‚marrage\
    Empty.pif [2007-10-04 14:40:54]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    StickyNote.lnk - C:\Program Files\StickyNote\StickyNote.exe [2005-12-16 16:48:07]
    hpoddt01.exe.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 01:06:58]
    hp psc 1000 series.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 01:17:18]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableRegistryTools"= 1 (0x1)
    "DisableCMD"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoFolderOptions"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
    backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
    2007-12-20 07:09 1417216 --a------ C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
    VTTimer.exe


    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2006-03-18 00:39:18 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1134860335.job"
    - C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-21 13:05:22
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\OpenGL]
    "ImagePath"="system32\DRIVERS\opengl.sys"
    .
    Completion time: 2007-12-21 13:06:17
    .
    2007-10-31 04:06:17 --- E O F ---
    a b 8 Sécurité
    22 Décembre 2007 12:10:12

    Re,

    [#ff0000]Désactive tes protections résidentes (antivirus...) ![/#f]
    Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

    File::
    C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe
    C:\WINDOWS\INF\norBtok.exe

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Tok-Cirrhatus"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Bron-Spizaetus"=-


    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


    Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
    [#ff0000]NOTE : S'il n'y a pas de rédémarrage, poste quand même les rapports demandés.[/#f]
    22 Décembre 2007 18:45:50

    OK Merci.
    Après avoir tapé 1, les fichiers commencent à s'installer mais au niveau du 9ème sur 11 mon PC s'éteint.
    Est-ce qu'on peut essayer en mode sans échec?
    Merci.
    a b 8 Sécurité
    22 Décembre 2007 18:58:26

    Euh...où tu as vu qu'il fallait taper un truc ? :heink: 
    22 Décembre 2007 19:03:23

    Pour relancer Combofix... tu le dis toi-même plus haut.
    a b 8 Sécurité
    22 Décembre 2007 19:07:34

    Mais tu as bien glissé le script dedans ?
    22 Décembre 2007 19:08:29

    YES
    a b 8 Sécurité
    22 Décembre 2007 19:11:06

    Ok.
    Tente en mode sans échec.
    22 Décembre 2007 19:30:11

    OK, ça a fonctionné. Mais en effet, ça n'a pas redémarré. J'ai donc redémarré moi-même. Voici le rapport Combofix suivi d'un log HJT :

    ComboFix 07-12-21.4 - ASUS 2007-12-22 8:18:09.2 - FAT32x86 MINIMAL
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.134 [GMT -10:00]
    Running from: C:\Documents and Settings\ASUS\Mes documents\Mes vidéos\ComboFix.exe
    Command switches used :: C:\Documents and Settings\ASUS\Bureau\CFScript.txt

    FILE
    C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe
    C:\WINDOWS\INF\norBtok.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe
    C:\WINDOWS\INF\norBtok.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2007-11-22 to 2007-12-22 ))))))))))))))))))))))))))))))))))))
    .

    2007-12-22 08:17 . 2007-12-22 08:17 30,311 --ahs---- C:\WINDOWS\system32\smartdrv.exe
    2007-12-20 13:39 . 2007-12-20 13:39 <REP> d-------- C:\WINDOWS\ERUNT
    2007-12-20 06:23 . 2007-12-20 06:23 17,280 --ahs---- C:\WINDOWS\system32\drivers\opengl.sys
    2007-12-19 19:56 . 2007-12-19 19:56 <REP> d-------- C:\Program Files\Trend Micro
    2007-12-19 18:59 . 2007-12-19 18:59 <REP> d-------- C:\Program Files\CCleaner
    2007-12-19 18:30 . 2007-12-19 18:30 <REP> d-------- C:\Hiajckthis
    2007-12-19 15:59 . 2007-12-20 06:23 47,605 --ahs---- C:\WINDOWS\system32\WUpdate$!.TMP
    2007-12-08 11:08 . 2007-12-08 11:08 <REP> d-------- C:\WINDOWS\system32\Viewers

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-05 00:40 131,072 ----a-w C:\WINDOWS\system32\3D Animation.scr
    1999-04-06 12:27 99,840 ----a-w C:\Program Files\Fichiers communs\IRAABOUT.DLL
    1998-12-09 02:53 70,144 ----a-w C:\Program Files\Fichiers communs\IRAMDMTR.DLL
    1998-12-09 02:53 48,640 ----a-w C:\Program Files\Fichiers communs\IRALPTTR.DLL
    1998-12-09 02:53 31,744 ----a-w C:\Program Files\Fichiers communs\IRAWEBTR.DLL
    1998-12-09 02:53 186,368 ----a-w C:\Program Files\Fichiers communs\IRAREG.DLL
    1998-12-09 02:53 17,920 ----a-w C:\Program Files\Fichiers communs\IRASRIAL.DLL
    .

    ((((((((((((((((((((((((((((( snapshot@2007-12-21_13.05.45.28 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2007-03-13 20:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54]
    "IncrediMail"="C:\PROGRA~1\INCRED~1\bin\IncMail.exe" [2007-05-20 14:50]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-04-18 16:02]
    "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2005-05-09 10:47]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-03-30 09:50]
    "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 11:45]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
    "BootClean"="smartdrv.exe" [2007-12-22 08:17 C:\WINDOWS\system32\smartdrv.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:54]

    C:\Documents and Settings\ASUS\Menu D‚marrer\Programmes\D‚marrage\
    Empty.pif [2007-10-04 14:40:54]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    StickyNote.lnk - C:\Program Files\StickyNote\StickyNote.exe [2005-12-16 16:48:07]
    hpoddt01.exe.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 01:06:58]
    hp psc 1000 series.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 01:17:18]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
    backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
    2007-12-20 07:09 1417216 --a------ C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
    VTTimer.exe


    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2006-03-18 00:39:18 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1134860335.job"
    - C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-22 08:19:44
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\OpenGL]
    "ImagePath"="system32\DRIVERS\opengl.sys"
    .
    Completion time: 2007-12-22 8:20:25
    C:\ComboFix2.txt ... 2007-12-21 13:06
    .
    2007-10-31 04:06:17 --- E O F ---



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 08:31:08, on 22/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\StickyNote\StickyNote.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\winlogon.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\services.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\lsass.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\ping.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\INF\norBtok.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Empty.pif = f:\mydocu~1\work\lurker\sys\objfre_wxp_x86\i386\opengl.pdb
    O4 - Global Startup: StickyNote.lnk = C:\Program Files\StickyNote\StickyNote.exe
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

    --
    End of file - 5360 bytes
    22 Décembre 2007 19:35:14

    Heu... j'ai une hésitation. Est-ce que tu peux me confirmer que c'est le bon rapport Combofix ? C'est à dire celui qui vient d'être fait. Dans mon dossier C:Combofix, j'ai 2 rapports et je sais plus lequel je viens de t'envoyer....
    a b 8 Sécurité
    22 Décembre 2007 21:31:51

    C'est le bon rapport.
    C'est mieux ?
    23 Décembre 2007 00:58:03

    Non désolée, je vois aucune différence.
    J'ai toujours tous ces "dossiers .exe" dupliqués dans "Mes documents" que je ne peux supprimer et Norton a toujours Hacktool.rootkit en quarantaine et Backdoor.Bifrose en "éléments sauvegardés".
    L'Auto-protect de Norton continue son analyse et continue à détecter des fichiers infectés par Backdoor.Bifrose.
    Qu'en penses-tu?
    a b 8 Sécurité
    23 Décembre 2007 12:14:41

    Tu as essayé le scan en sans échec ?
    Refais un scan Combofix.
    23 Décembre 2007 19:51:45

    Je viens de refaire un scan Combofix en mode sans échec (de toute façon le scan ne peut se faire en mode normal, mon PC continue à s'éteindre) et ça ne change rien. Les fichiers .exe dans "Mes documents" n'ont pas bougé.

    Le fichier CFScript.txt qui était sur mon bureau a disparu après que j'ai redémarré l'ordi lorsque que je l'ai glissé dans le Combofix.exe, ch'ais pas si c'est un détail important pour toi. Ca te montre mes connaissances en la matière ;-)

    Je te copie colle le rapport du scan que je viens de faire, à tout hazard, suivi d'un log HJT.

    ComboFix 07-12-21.4 - ASUS 2007-12-23 7:43:58.3 - FAT32x86 MINIMAL
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.138 [GMT -10:00]
    Running from: C:\Documents and Settings\ASUS\Mes documents\Mes vidéos\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Autorun.inf
    D:\Autorun.inf
    F:\Autorun.inf

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2007-11-23 to 2007-12-23 ))))))))))))))))))))))))))))))))))))
    .

    2007-12-20 13:39 . 2007-12-20 13:39 <REP> d-------- C:\WINDOWS\ERUNT
    2007-12-19 19:56 . 2007-12-19 19:56 <REP> d-------- C:\Program Files\Trend Micro
    2007-12-19 18:59 . 2007-12-19 18:59 <REP> d-------- C:\Program Files\CCleaner
    2007-12-19 18:30 . 2007-12-19 18:30 <REP> d-------- C:\Hiajckthis
    2007-12-19 15:59 . 2007-12-20 06:23 47,605 --ahs---- C:\WINDOWS\system32\WUpdate$!.TMP
    2007-12-08 11:08 . 2007-12-08 11:08 <REP> d-------- C:\WINDOWS\system32\Viewers

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-05 00:40 131,072 ---h--w C:\WINDOWS\inf\norBtok.exe
    2007-10-05 00:40 131,072 ----a-w C:\WINDOWS\system32\3D Animation.scr
    1999-04-06 12:27 99,840 ----a-w C:\Program Files\Fichiers communs\IRAABOUT.DLL
    1998-12-09 02:53 70,144 ----a-w C:\Program Files\Fichiers communs\IRAMDMTR.DLL
    1998-12-09 02:53 48,640 ----a-w C:\Program Files\Fichiers communs\IRALPTTR.DLL
    1998-12-09 02:53 31,744 ----a-w C:\Program Files\Fichiers communs\IRAWEBTR.DLL
    1998-12-09 02:53 186,368 ----a-w C:\Program Files\Fichiers communs\IRAREG.DLL
    1998-12-09 02:53 17,920 ----a-w C:\Program Files\Fichiers communs\IRASRIAL.DLL
    .

    ((((((((((((((((((((((((((((( snapshot@2007-12-21_13.05.45.28 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2007-03-13 20:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54]
    "IncrediMail"="C:\PROGRA~1\INCRED~1\bin\IncMail.exe" [2007-05-20 14:50]
    "Tok-Cirrhatus"="C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe" [2007-10-04 14:40]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-04-18 16:02]
    "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2005-05-09 10:47]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-03-30 09:50]
    "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 11:45]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
    "Bron-Spizaetus"="C:\WINDOWS\INF\norBtok.exe" [2007-10-04 14:40]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:54]

    C:\Documents and Settings\ASUS\Menu D‚marrer\Programmes\D‚marrage\
    Empty.pif [2007-10-04 14:40:54]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    StickyNote.lnk - C:\Program Files\StickyNote\StickyNote.exe [2005-12-16 16:48:07]
    hpoddt01.exe.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 01:06:58]
    hp psc 1000 series.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 01:17:18]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
    backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
    2007-12-20 07:09 1417216 --a------ C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
    VTTimer.exe

    S0 OpenGL;Kernel OpenGL Service;C:\WINDOWS\system32\DRIVERS\opengl.sys []

    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2006-03-18 00:39:18 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1134860335.job"
    - C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-23 07:45:19
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-12-23 7:45:46
    C:\ComboFix3.txt ... 2007-12-21 13:06
    C:\ComboFix2.txt ... 2007-12-22 08:20
    .
    2007-10-31 04:06:17 --- E O F ---


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 08:51:52, on 23/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\StickyNote\StickyNote.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\winlogon.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\services.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\lsass.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\WINDOWS\system32\ping.exe
    C:\Program Files\DesignSoft\myHouse pour Windows\MYHOUSE.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\ping.exe
    C:\WINDOWS\system32\ping.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\INF\norBtok.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Empty.pif = f:\mydocu~1\work\lurker\sys\objfre_wxp_x86\i386\opengl.pdb
    O4 - Global Startup: StickyNote.lnk = C:\Program Files\StickyNote\StickyNote.exe
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

    --
    End of file - 5449 bytes


    a b 8 Sécurité
    23 Décembre 2007 20:53:59

    On retente la suppression :

    [#ff0000]Désactive tes protections résidentes (antivirus...) ![/#f]
    Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

    Rootkit::
    C:\WINDOWS\inf\norBtok.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Tok-Cirrhatus"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Bron-Spizaetus"=-


    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


    Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
    [#ff0000]NOTE : S'il n'y a pas de rédémarrage, poste quand même les rapports demandés.[/#f]
    23 Décembre 2007 22:13:58

    Bon, j'ai refait à la lettre la manipe en mode sans échec, car en mode normal que j'ai quand même essayé, mon PC continue à s'éteindre.

    Cela dit, ch'ais pas si c'est important, mais à la fin des étapes terminées de combofix, y a un message qui s'affiche rapidement indiquant quelque chose comme "... combofix ne peut pas atteindre C:/ root car il est utilisé par ...." Désolée j'ai pas eu le temps de bien noter le truc, en tout cas c'est dans le genre. Si c'est important et que tu veux que je te note la phrase, dis-le moi et je referrais la manipe.
    Cette fois-ci Windows a bien redémarré après, chose qu'il n'avait pas fait la 1ère fois.

    Ci-dessous le rapport et le log HJT :

    ComboFix 07-12-21.4 - ASUS 2007-12-23 10:59:53.4 - FAT32x86 MINIMAL
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.137 [GMT -10:00]
    Running from: C:\Documents and Settings\ASUS\Mes documents\Mes vidéos\ComboFix.exe
    Command switches used :: C:\Documents and Settings\ASUS\Bureau\CFScript.txt
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe
    C:\WINDOWS\inf\norBtok.exe

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-23 to 2007-12-23 ))))))))))))))))))))))))))))))))))))
    .

    2007-12-23 07:50 . 2007-12-23 07:50 17,280 --ahs---- C:\WINDOWS\system32\drivers\opengl.sys
    2007-12-20 13:39 . 2007-12-20 13:39 <REP> d-------- C:\WINDOWS\ERUNT
    2007-12-19 19:56 . 2007-12-19 19:56 <REP> d-------- C:\Program Files\Trend Micro
    2007-12-19 18:59 . 2007-12-19 18:59 <REP> d-------- C:\Program Files\CCleaner
    2007-12-19 18:30 . 2007-12-19 18:30 <REP> d-------- C:\Hiajckthis
    2007-12-19 15:59 . 2007-12-23 07:50 47,605 --ahs---- C:\WINDOWS\system32\WUpdate$!.TMP
    2007-12-08 11:08 . 2007-12-08 11:08 <REP> d-------- C:\WINDOWS\system32\Viewers

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-05 00:40 131,072 ----a-w C:\WINDOWS\system32\3D Animation.scr
    1999-04-06 12:27 99,840 ----a-w C:\Program Files\Fichiers communs\IRAABOUT.DLL
    1998-12-09 02:53 70,144 ----a-w C:\Program Files\Fichiers communs\IRAMDMTR.DLL
    1998-12-09 02:53 48,640 ----a-w C:\Program Files\Fichiers communs\IRALPTTR.DLL
    1998-12-09 02:53 31,744 ----a-w C:\Program Files\Fichiers communs\IRAWEBTR.DLL
    1998-12-09 02:53 186,368 ----a-w C:\Program Files\Fichiers communs\IRAREG.DLL
    1998-12-09 02:53 17,920 ----a-w C:\Program Files\Fichiers communs\IRASRIAL.DLL
    .

    ((((((((((((((((((((((((((((( snapshot@2007-12-21_13.05.45.28 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2007-03-13 20:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54]
    "IncrediMail"="C:\PROGRA~1\INCRED~1\bin\IncMail.exe" [2007-05-20 14:50]
    "Tok-Cirrhatus"="C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe" [2007-10-04 14:40]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-04-18 16:02]
    "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2005-05-09 10:47]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-03-30 09:50]
    "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" []
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
    "BootClean"="smartdrv.exe" []
    "Bron-Spizaetus"="C:\WINDOWS\INF\norBtok.exe" [2007-10-04 14:40]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:54]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableRegistryTools"= 1 (0x1)
    "DisableCMD"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoFolderOptions"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
    backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
    2007-12-20 07:09 1417216 --a------ C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
    VTTimer.exe


    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2006-03-18 00:39:18 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1134860335.job"
    - C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-23 11:03:51
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\OpenGL]
    "ImagePath"="system32\DRIVERS\opengl.sys"
    .
    Completion time: 2007-12-23 11:05:38 - machine was rebooted
    C:\ComboFix2.txt ... 2007-12-23 07:45
    C:\ComboFix3.txt ... 2007-12-22 08:20
    .
    2007-10-31 04:06:17 --- E O F ---


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:13:35, on 23/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\WgaTray.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\StickyNote\StickyNote.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\winlogon.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\services.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\lsass.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\ping.exe
    C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [BootClean] smartdrv.exe
    O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\INF\norBtok.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Empty.pif = f:\mydocu~1\work\lurker\sys\objfre_wxp_x86\i386\opengl.pdb
    O4 - Global Startup: StickyNote.lnk = C:\Program Files\StickyNote\StickyNote.exe
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

    --
    End of file - 5355 bytes


    Je viens de vérifier "Mes doculments", y a toujours ces foutus fichiers.
    Merci pour ton aide, je ne te le dirai pas assez.
    23 Décembre 2007 22:51:35

    Suite à mon précédent message, j'ai encore refait la manipe (2ème ce matin) en désactivant Symantec en déchargeant le service, alors que jusqu'à présent je me contentais de désactiver l'auto-protect seulement.

    J'ai lancé le mode sans échec, j'ai glissé le fichier CFScript.txt dans Combofix.exe et j'ai encore eu ce message de tout à l'heure ".... ne peut pas accéder à C:\combofix.dirroot car il est utilisé par un autre processus" ou un truc du genre (ça s'affiche super vite).

    Et après avoir relancé moi-même Windows en mode normal, c'est toujours la même chose par rapport aux fichiers .exe dans "Mes documents".

    Je t'envoie tout de même le 2e rapport et le 2e log HJT de la matinée.
    Est-ce sans espoir ou quoi? Ch'uis assez désespérée là, j'dois avouer.

    ComboFix 07-12-21.4 - ASUS 2007-12-23 11:30:15.5 - FAT32x86 MINIMAL
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.137 [GMT -10:00]
    Running from: C:\Documents and Settings\ASUS\Mes documents\Mes vidéos\ComboFix.exe
    Command switches used :: C:\Documents and Settings\ASUS\Bureau\CFScript.txt
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2007-11-23 to 2007-12-23 ))))))))))))))))))))))))))))))))))))
    .

    2007-12-23 11:29 . 2007-12-23 11:29 30,311 --ahs---- C:\WINDOWS\system32\smartdrv.exe
    2007-12-23 07:50 . 2007-12-23 07:50 17,280 --ahs---- C:\WINDOWS\system32\drivers\opengl.sys
    2007-12-20 13:39 . 2007-12-20 13:39 <REP> d-------- C:\WINDOWS\ERUNT
    2007-12-19 19:56 . 2007-12-19 19:56 <REP> d-------- C:\Program Files\Trend Micro
    2007-12-19 18:59 . 2007-12-19 18:59 <REP> d-------- C:\Program Files\CCleaner
    2007-12-19 18:30 . 2007-12-19 18:30 <REP> d-------- C:\Hiajckthis
    2007-12-19 15:59 . 2007-12-23 07:50 47,605 --ahs---- C:\WINDOWS\system32\WUpdate$!.TMP
    2007-12-08 11:08 . 2007-12-08 11:08 <REP> d-------- C:\WINDOWS\system32\Viewers

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-05 00:40 131,072 ---h--w C:\WINDOWS\inf\norBtok.exe
    2007-10-05 00:40 131,072 ----a-w C:\WINDOWS\system32\3D Animation.scr
    1999-04-06 12:27 99,840 ----a-w C:\Program Files\Fichiers communs\IRAABOUT.DLL
    1998-12-09 02:53 70,144 ----a-w C:\Program Files\Fichiers communs\IRAMDMTR.DLL
    1998-12-09 02:53 48,640 ----a-w C:\Program Files\Fichiers communs\IRALPTTR.DLL
    1998-12-09 02:53 31,744 ----a-w C:\Program Files\Fichiers communs\IRAWEBTR.DLL
    1998-12-09 02:53 186,368 ----a-w C:\Program Files\Fichiers communs\IRAREG.DLL
    1998-12-09 02:53 17,920 ----a-w C:\Program Files\Fichiers communs\IRASRIAL.DLL
    .

    ((((((((((((((((((((((((((((( snapshot@2007-12-21_13.05.45.28 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2007-03-13 20:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54]
    "IncrediMail"="C:\PROGRA~1\INCRED~1\bin\IncMail.exe" [2007-05-20 14:50]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-04-18 16:02]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-03-30 09:50]
    "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 11:45]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
    "BootClean"="smartdrv.exe" [2007-12-23 11:29 C:\WINDOWS\system32\smartdrv.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:54]

    C:\Documents and Settings\ASUS\Menu D‚marrer\Programmes\D‚marrage\
    Empty.pif [2007-10-04 14:40:54]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    StickyNote.lnk - C:\Program Files\StickyNote\StickyNote.exe [2005-12-16 16:48:07]
    hpoddt01.exe.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 01:06:58]
    hp psc 1000 series.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 01:17:18]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
    backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
    2007-12-20 07:09 1417216 --a------ C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
    VTTimer.exe


    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2006-03-18 00:39:18 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1134860335.job"
    - C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-23 11:31:46
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\OpenGL]
    "ImagePath"="system32\DRIVERS\opengl.sys"
    .
    Completion time: 2007-12-23 11:32:31
    C:\ComboFix3.txt ... 2007-12-23 07:45
    C:\ComboFix2.txt ... 2007-12-23 11:05
    .
    2007-10-31 04:06:17 --- E O F ---




    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:49:24, on 23/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\StickyNote\StickyNote.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\winlogon.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\services.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\lsass.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\ping.exe
    C:\WINDOWS\system32\ping.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [BootClean] smartdrv.exe
    O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\INF\norBtok.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Empty.pif = f:\mydocu~1\work\lurker\sys\objfre_wxp_x86\i386\opengl.pdb
    O4 - Global Startup: StickyNote.lnk = C:\Program Files\StickyNote\StickyNote.exe
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

    --
    End of file - 5292 bytes

    a b 8 Sécurité
    24 Décembre 2007 12:11:42

    Cette fois c'est la bonne.

    [#ff0000]Désactive tes protections résidentes (antivirus...) ![/#f]
    Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

    Rootkit::
    C:\WINDOWS\system32\drivers\opengl.sys
    C:\WINDOWS\inf\norBtok.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Tok-Cirrhatus"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Bron-Spizaetus"=-


    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


    Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
    [#ff0000]NOTE : S'il n'y a pas de rédémarrage, poste quand même les rapports demandés.[/#f]
    24 Décembre 2007 17:49:22

    Joyeux Noël Angeldark !

    Bon ! J'ai copié ton nouveau script, patati, patata mode sans échec etc.

    Voici le rapport Combofix suivi d'un log HJT.
    PS. Les fichiers .exe dans "Mes documents" sont toujours là.

    ComboFix 07-12-21.4 - ASUS 2007-12-24 6:40:27.6 - FAT32x86 MINIMAL
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.134 [GMT -10:00]
    Running from: C:\Documents and Settings\ASUS\Mes documents\Mes vidéos\ComboFix.exe
    Command switches used :: C:\Documents and Settings\ASUS\Bureau\CFScript.txt
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe
    C:\WINDOWS\inf\norBtok.exe
    C:\WINDOWS\system32\drivers\opengl.sys

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-24 to 2007-12-24 ))))))))))))))))))))))))))))))))))))
    .

    2007-12-20 13:39 . 2007-12-20 13:39 <REP> d-------- C:\WINDOWS\ERUNT
    2007-12-19 19:56 . 2007-12-19 19:56 <REP> d-------- C:\Program Files\Trend Micro
    2007-12-19 18:59 . 2007-12-19 18:59 <REP> d-------- C:\Program Files\CCleaner
    2007-12-19 18:30 . 2007-12-19 18:30 <REP> d-------- C:\Hiajckthis
    2007-12-19 15:59 . 2007-12-23 07:50 47,605 --ahs---- C:\WINDOWS\system32\WUpdate$!.TMP
    2007-12-08 11:08 . 2007-12-08 11:08 <REP> d-------- C:\WINDOWS\system32\Viewers

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
    2007-10-05 00:40 131,072 ----a-w C:\WINDOWS\system32\3D Animation.scr
    1999-04-06 12:27 99,840 ----a-w C:\Program Files\Fichiers communs\IRAABOUT.DLL
    1998-12-09 02:53 70,144 ----a-w C:\Program Files\Fichiers communs\IRAMDMTR.DLL
    1998-12-09 02:53 48,640 ----a-w C:\Program Files\Fichiers communs\IRALPTTR.DLL
    1998-12-09 02:53 31,744 ----a-w C:\Program Files\Fichiers communs\IRAWEBTR.DLL
    1998-12-09 02:53 186,368 ----a-w C:\Program Files\Fichiers communs\IRAREG.DLL
    1998-12-09 02:53 17,920 ----a-w C:\Program Files\Fichiers communs\IRASRIAL.DLL
    .

    ((((((((((((((((((((((((((((( snapshot@2007-12-21_13.05.45.28 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2007-03-13 20:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
    - 2006-12-19 21:49:48 8,509,952 ----a-w C:\WINDOWS\system32\shell32.dll
    + 2007-10-25 16:43:26 8,516,608 ----a-w C:\WINDOWS\system32\shell32.dll
    - 2007-08-21 10:50:52 369,152 ----a-w C:\WINDOWS\system32\xpsp3res.dll
    + 2007-10-30 02:07:16 369,152 ----a-w C:\WINDOWS\system32\xpsp3res.dll
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54]
    "IncrediMail"="C:\PROGRA~1\INCRED~1\bin\IncMail.exe" [2007-05-20 14:50]
    "Tok-Cirrhatus"="C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe" [2007-10-04 14:40]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-04-18 16:02]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-03-30 09:50]
    "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" []
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
    "BootClean"="smartdrv.exe" []
    "vptray"="C:\PROGRA~1\SYMANT~1\\vptray.exe" [2005-05-09 10:47]
    "Bron-Spizaetus"="C:\WINDOWS\INF\norBtok.exe" [2007-10-04 14:40]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:54]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableRegistryTools"= 1 (0x1)
    "DisableCMD"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoFolderOptions"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
    backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
    2007-12-20 07:09 1417216 --a------ C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
    VTTimer.exe


    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2006-03-18 00:39:18 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1134860335.job"
    - C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-24 06:44:20
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\EraserUtilDrvI4]
    "ImagePath"="\??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilDrvI4.sys"
    --

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\OpenGL]
    "ImagePath"="system32\DRIVERS\opengl.sys"
    .
    Completion time: 2007-12-24 6:46:23 - machine was rebooted
    C:\ComboFix3.txt ... 2007-12-23 11:05
    C:\ComboFix2.txt ... 2007-12-23 11:32
    .
    2007-12-24 07:03:35 --- E O F ---



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 06:50:58, on 24/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\WgaTray.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
    C:\PROGRA~1\SYMANT~1\vptray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\StickyNote\StickyNote.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\winlogon.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\services.exe
    C:\Documents and Settings\ASUS\Local Settings\Application Data\lsass.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\ping.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [BootClean] smartdrv.exe
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
    O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\INF\norBtok.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\ASUS\Local Settings\Application Data\smss.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Empty.pif = f:\mydocu~1\work\lurker\sys\objfre_wxp_x86\i386\opengl.pdb
    O4 - Global Startup: StickyNote.lnk = C:\Program Files\StickyNote\StickyNote.exe
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

    --
    End of file - 5405 bytes
    a b 8 Sécurité
    24 Décembre 2007 18:11:53

    Comprends pas :/ 

    Télécharge Gmer.
    Dézippe le dans un dossier ou sur ton bureau.

    Déconnecte toi d'Internet puis et ferme tous les programmes.
    Double-clique sur Gmer.exe.

    IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

    Clique sur l'onglet rootkit.
    A droite, coche Files et Services.
    Clique maintenant sur Scan.

    Lorsque le scan est terminé, clique sur Copy.

    Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
    Le rapport doit alors apparaître.
    Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
    25 Décembre 2007 00:17:00

    OK, voici le rapport gmer. Je l'ai peut-être collé 2 fois parce qu'en fait ça se fait automatiquement et moi j'ai quand même cliqué sur "coller" pour suivre tes instructions. Du coup j'ai laissé...

    GMER 1.0.13.12551 - http://www.gmer.net
    Rootkit scan 2007-12-24 13:02:25
    Windows 5.1.2600 Service Pack 2


    ---- Services - GMER 1.0.13 ----

    Service system32\DRIVERS\opengl.sys (*** hidden *** ) [BOOT] OpenGL <-- ROOTKIT !!!

    ---- Files - GMER 1.0.13 ----

    File C:\autorun.inf
    File D:\autorun.exe
    File D:\autorun.inf
    File F:\autorun.exe
    File F:\autorun.inf

    ---- EOF - GMER 1.0.13 ----
    GMER 1.0.13.12551 - http://www.gmer.net
    Rootkit scan 2007-12-24 13:02:25
    Windows 5.1.2600 Service Pack 2


    ---- Services - GMER 1.0.13 ----

    Service system32\DRIVERS\opengl.sys (*** hidden *** ) [BOOT] OpenGL <-- ROOTKIT !!!

    ---- Files - GMER 1.0.13 ----

    File C:\autorun.inf
    File D:\autorun.exe
    File D:\autorun.inf
    File F:\autorun.exe
    File F:\autorun.inf

    ---- EOF - GMER 1.0.13 ----
    a b 8 Sécurité
    26 Décembre 2007 11:35:56

    Re,

    On va essayé par une autre méthode.
    Désactive ton antivirus pendant le scan.
    Désinstalle Kaspersky à la fin.

    - Télécharge la version d'évaluation de Kaspersky Antivirus : http://www.kaspersky.com/fr/trials?chapter=186498689 - tutorial : http://www.malekal.com/tutorial_Kaspersky_trial.html
    - Après l'installation, lors de la configuration via l'assistant :
    - Active la version d'évaluation des licences de 30 jours
    - Lance une mise à jour automatique
    - Active la protection de base
    ** Ne lance pas un scan une fois le programme installé et configuré **

    - Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    - Démarre Kaspersky à partir du Menu Démarrer / Tous les programmes / Kaspersky Anti-virus
    - Une icone avec un K grisé va apparaître en bas à droite à côté de l'horloge
    - Fais un clic droit sur cette icône puis "Analyser le Poste de travail"
    - Le scan de l'ordinateur va démarrer
    - Une fois le scan terminé, supprime tous les malwares détectés
    - Créé un rapport à partir du bouton Enregistrer-sous en bas de la fenêtre, enregistre le fichier sous le nom Kaspersky.txt sur ton bureau

    -- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur
    Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

    Double-clic sur le fichier Kaspersky.txt qui se trouve sur ton bureau
    Copie/colle le rapport ici

    Aide : N'hésite pas à consulter ce : http://www.malekal.com/tutorial_Kaspersky_trial.html
    27 Décembre 2007 08:19:39

    Bon, je dois t'avouer que ça ne s'est pas passé tout à fait comme prévu...

    J'ai désactivé Norton. J'ai téléchargé Kaspersky. Je l'ai installé mais dans l'assistant installation y avait pas tout à fait les options que tu disais. J'ai pu tout de même cocher la version d'évaluation, par contre les options MAJ automatique et activation protection de base, y avait pas !!!!

    Kaspersky indique alors de redémarrer l'ordi. Bon je le redémarre en mode sans échec et je commence l'analyse du poste de travail. Assez rapidement, y a des fenêtres qui sont apparues indiquant que Kaspersky n'avait pas toutes les MAJ patati patata. J'ai compris que la MAJ automatique dont tu parlais ne s'était pas faite. J'ai intérrompu l'analyse. J'ai redémarré Windows en mode normal, car en mode sans échec on peut pas faire la MAJ, et j'ai en effet téléchargé la MAJ des fichiers. Là, j'ai eu une coupure de courant du secteur pendant une bonne heure. Quand le courant est revenu, j'ai fini le téléchargement des fichiers.

    J'ai redémarré en mode sans échec et j'ai repris l'analyse du poste de travail depuis le début. Voici le rapport (mon histoire n'est pas finie, voir après ce 1er rapport):

    Analyse du Poste de travail : terminé
    -------------------------------------
    Fichiers Analysés : 293069
    Détectés : 2590
    Non traités : 3
    Lancement : 26/12/2007 16:26:58
    Durée : 01:57:51
    Fin : 26/12/2007 18:24:49


    Détectés
    --------
    Etat Objet
    ---- -----
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: c:\windows\system32\smartdrv.exe//Expressor
    supprimé : virus Trojan.Generic (modification) Le fichier: c:\windows\system32\nerocheck.exe//Expressor
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: c:\program files\ahead\nero backitup\backitup.exe//#
    non trouvé : cheval de Troie Trojan.Win32.Inject.ph Le fichier: c:\documents and settings\asus\mes documents\mes vidéos\combofix.exe//PE_Patch.UPX/catchme.cfexe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: c:\program files\netmeeting\conf.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: c:\program files\kyplot\kyplot.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: c:\program files\designsoft\myhouse pour windows\myhouse.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: c:\program files\ahead\coverdesigner\coverdes.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: c:\program files\ahead\wmpburn\wmpburn.exe//#
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081839.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081840.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081841.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081842.exe
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081843.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081844.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081845.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081846.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081847.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081848.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081849.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081850.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081851.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081852.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081853.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081854.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081855.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081856.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081857.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081858.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081859.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081860.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081861.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081862.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081863.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081864.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081865.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081866.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081867.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081868.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081869.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081870.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081871.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081872.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081873.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081874.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081875.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081876.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081877.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081878.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081879.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081880.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081881.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081882.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081883.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081884.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081885.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081886.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081887.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081888.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081889.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081890.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081891.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081892.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081893.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081894.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081895.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081896.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081897.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081898.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081899.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081900.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081901.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081902.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081903.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081904.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081905.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081906.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081907.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081908.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081909.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081910.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081911.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081912.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081913.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081914.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081915.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081916.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081917.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081918.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081919.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081920.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081921.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081922.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081923.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081924.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081925.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081926.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081927.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081928.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081929.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081930.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081931.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081932.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081933.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081934.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081935.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081936.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081937.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081938.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081939.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081940.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081941.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081942.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081943.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081944.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081945.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081946.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081947.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081948.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081949.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081950.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081951.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081952.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081953.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081954.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081955.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081956.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081957.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081958.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081959.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081960.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081961.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081962.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081963.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081964.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081965.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081966.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081967.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081968.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081969.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081970.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081971.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081972.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081973.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081974.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081975.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081976.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081977.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081978.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081979.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081980.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081981.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081982.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081983.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081984.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081985.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081986.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081987.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081988.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081989.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081990.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081991.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081992.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081993.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081994.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081995.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081996.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081997.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081998.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0081999.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082000.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082001.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082002.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082003.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082004.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082005.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082006.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082007.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082008.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082009.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082010.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082011.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082012.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082013.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082014.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082015.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082016.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082017.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082018.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082019.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082020.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082021.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082022.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082023.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082024.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082025.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082026.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082027.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082028.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082029.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082030.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082031.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082032.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082033.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082034.exe//#
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082041.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082042.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082043.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082044.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082045.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082046.pif
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082047.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082048.scr
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082049.exe
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082050.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082053.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082054.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082055.EXE//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082056.exe//#
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082057.exe
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082058.exe//#
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082063.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082064.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082065.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082066.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082067.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082068.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082069.pif
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082070.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082071.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082072.scr
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082073.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082076.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082077.EXE//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082078.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082079.EXE//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082080.EXE//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082081.EXE//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082082.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082083.exe//#
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082088.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082089.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082090.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082091.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082092.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082093.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082095.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082097.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082098.scr
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082099.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082100.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082101.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082102.EXE//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082106.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082107.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082108.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082109.EXE//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082110.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082111.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082112.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082113.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082114.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082115.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082116.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082117.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082118.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082119.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082120.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082121.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082122.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082123.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082124.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082125.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082126.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082127.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082128.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082129.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082130.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082131.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082132.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082133.exe//#
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082162.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082163.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082164.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082165.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082166.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082167.pif
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082168.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082169.scr
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082170.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082173.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082213.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082214.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082215.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082216.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082217.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082218.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082219.pif
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082220.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082221.scr
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082222.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082230.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082231.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082232.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082233.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082234.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082235.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082236.pif
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082237.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082238.scr
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP757\A0082239.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP758\A0082246.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP758\A0082247.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP758\A0082248.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP758\A0082249.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083003.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083004.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083005.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083006.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083016.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083017.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083018.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083019.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083020.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083021.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083022.pif
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083023.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083024.scr
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083025.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083074.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083075.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083076.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083077.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083078.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083079.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP762\A0083080.scr
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP763\A0083119.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP763\A0083120.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP763\A0083121.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP763\A0083122.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP763\A0083170.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP763\A0083171.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP763\A0083172.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP763\A0083173.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP763\A0083174.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP763\A0083175.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP763\A0083176.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP763\A0083178.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP763\A0083179.scr
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0083225.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0083226.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0083227.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0083228.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0083229.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0083230.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0083233.pif
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0083234.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0083235.scr
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0083236.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084223.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084224.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084225.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084226.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084227.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084228.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084229.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084230.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084231.scr
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084246.sys
    supprimé : virus Trojan.Generic (modification) Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084250.exe//Expressor
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084253.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084254.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084255.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084256.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084257.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084258.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0084259.scr
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0088248.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0088249.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0088250.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0088251.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0088252.pif
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0088253.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0088254.scr
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP764\A0088256.exe
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0081367.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0081368.exe//#
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0080918.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0080919.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0080920.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0080921.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0080922.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0080923.com
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0080924.scr
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0080925.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0080928.exe
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0081219.pif
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0081369.exe//#
    supprimé : cheval de Troie Backdoor.Win32.Bifrose.ago Le fichier: C:\System Volume Information\_restore{A3FF2226-C486-49C5-B405-20E245D0AD55}\RP756\A0081223.sys
    supprimé : virus Email-Worm.Win32.Brontok.a Le fichier: C:\System Volume Information\_restore{A3FF2226-
    27 Décembre 2007 08:28:32

    Mon dernier post ne s'affiche pas entièrement ?????? Il manque pas mal d'info..... Est-ce que tu peux le lire entièrement Angeldark, de ton côté ?
    27 Décembre 2007 08:47:28

    J'AI UN MEGA PROBLEME AVEC MES FICHIERS !!!!!!!!!!

    Quand je clique sur l'icone d'un fichier à moi, j'ai une fenêtre "Windows install" qui apparaît.

    Angeldark, j'ai comme le mauvais goût que tous mes fichiers ont été supprimé...
    a b 8 Sécurité
    27 Décembre 2007 12:40:27

    Il faut les réinstaller, les fichier des programmes étaient infectés.
    27 Décembre 2007 17:10:33

    OK, est-ce que c'est Windows qu'il faut que je réinstalle?

    Est-ce que mon problème de virus est réglé? Ca a l'air, mais d'après toi, est-ce le cas ?

    Merci.
    a b 8 Sécurité
    27 Décembre 2007 17:13:52

    Citation :
    OK, est-ce que c'est Windows qu'il faut que je réinstalle?

    Non, les logiciels en question.

    Citation :
    Est-ce que mon problème de virus est réglé? Ca a l'air, mais d'après toi, est-ce le cas ?

    Reposte un rapport Hijackthis.
    27 Décembre 2007 17:45:46

    Log HJT :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 06:47:57, on 27/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\PROGRA~1\ACDSYS~1\ACDSEE~1\ACDSEE.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: StickyNote.lnk = C:\Program Files\StickyNote\StickyNote.exe
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

    --
    End of file - 3639 bytes
    27 Décembre 2007 17:54:46

    Comme je ne sais pas si tu as pu lire la 2e partie de mon "histoire". Il faut que tu saches, qu'il a fallu que je fasse 2 scan Kaspersky car il en restait encore une bonne trentaine de virus après le 1er scan.

    C'est pour ça que je souhaite que tu me confirmes qu'il ne reste vraiment plus rien.

    Même Symantec était infecté... il a été supprimé.
    a b 8 Sécurité
    27 Décembre 2007 18:11:33

    C'est apparemment ok.
    Refais un scan Gmer stp.
    28 Décembre 2007 00:00:48

    Alors pour info. les logs HJT n'indiquent pas tout...apparemment.

    Suite à mon dernier post, j'ai dû téléchargé un nouveau antivirus, puisque Symantec avait été supprimé par Kaspersky. J'ai donc choisi Avast et j'ai lancé un scan, juste comme ça. Et bien Avast a déniché une bonne quinzaine de fichiers infectés et juste à l'instant, je viens d'en supprimer d'autres qu'Avast détecte. Il apparaît que le fichier "rebel" est souvent C:\Windows\system32\drivers\opengl.sys et le virus est Win32:Trojan-gen Version 071227-0.27/12/2007. J'ai beau cliquer sur tous les boutons "supprimer" pour m'en débarasser, mais il résiste.

    Le scan gmer n'a lui non-plus rien indiqué alors que tout de suite après le scan, Avast indiquait de nouveau le même fichier infecté que je "supprime" à chq fois, bien entendu.

    Ca veut dire quoi tout ça?
    Merci.
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS