Se connecter / S'enregistrer
Votre question

Infection virus win32 :brontok-I [Wrm]

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Avril 2007 13:14:51

Bonjour,

Mon ordi est infecté par ce virus.win32 :brontok-I [Wrm]
Avast le supprime mais il revient toujours.
Comment pourrais-je faire pour le supprimer réellement de mon ordi.

Merci de l'aide

Autres pages sur : infection virus win32 brontok wrm

a b 8 Sécurité
29 Avril 2007 13:38:40

Bonjour,

Télécharge Hijackthis (de Merjin).
Dézippe-le dans un dossier ou sur ton Bureau.

Lance l'application (Hijackthis.exe) :
- Choisis l'option "Do a system scan and save a logfile"
- Le Bloc-Notes s'ouvre, poste son contenu :

-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse


AIDE : Tuto en vidéo sur Hijackthis
29 Avril 2007 15:00:56

Dsl pour le temps mis! voila le rapport

Logfile of HijackThis v1.99.1
Scan saved at 13:56:42, on 29/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\ScanPanel\ScnPanel.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\winlogon.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\services.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\lsass.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Admin\Bureau\Nouveau dossier\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
O1 - Hosts: "http://www.w3.org/TR/html4/loose.dtd">
O1 - Hosts: <html>
O1 - Hosts: <head>
O1 - Hosts: <script LANGUAGE="JavaScript">
O1 - Hosts: <!--
O1 - Hosts: if (window != top)
O1 - Hosts: top.location.href = location.href;
O1 - Hosts: // -->
O1 - Hosts: </script>
O1 - Hosts: <title>Site Unavailable</title>
O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
O1 - Hosts: <style type="text/css">
O1 - Hosts: body{text-align:center;}
O1 - Hosts: .geohead {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;width:750px;margin:10px 0 10px 0;height:35px;}
O1 - Hosts: .geohead #geologo {width:270px;display:block; float:left; }
O1 - Hosts: .geohead #rightside {width:480px;display:block; float:right;border-bottom:1px solid #999999; height:27px;}
O1 - Hosts: .geohead #rightside #welcome {width:50%;display:block; float:left; text-align:left;}
O1 - Hosts: .geohead #rightside #wlinks {width:50%;display:block; float:right; text-align:right;}
O1 - Hosts: .ftr { margin:0px; color:#404040; font:x-small Arial,sans-serif; text-align:center; width:750px;}
O1 - Hosts: .bodywrap{display:block;height:470px;}
O1 - Hosts: .bodycnt{width:510px; display:block; float:left; background-color:#EEE9F5; height:auto; text-align:left; font-family:Arial, Helvetica, sans-serif;font-size:13px; color:#000000; padding:20px 20px 35px 20px;}
O1 - Hosts: .title { font-family:Arial, Helvetica, sans-serif; font-weight:bold; font-size:24px; color:#7C56A9}
O1 - Hosts: .adcnt{width:172px; display:block; float:right; text-align:left;cursor:p ointer;cursor:hand;}
O1 - Hosts: .adcnt td {text-align:left;}
O1 - Hosts: .adsubt{font-size:10px; font-family:verdana; font-weight:bold; color:#b4b4b4; cursor:D efault;margin-top:5px;}
O1 - Hosts: .ybadge { font-family: Verdana, Arial, Helvetica, sans-serif; font-size:10px; color: #666666; margin-top:10px;}
O1 - Hosts: .ybadge img {margin-top:6px;}
O1 - Hosts: .adtable {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;border: 1px solid #d6dbe7; background-color:#eff7ff; padding:3px; margin-bottom:10px; width:172px;}
O1 - Hosts: .adttl{font-weight:bold;margin-bottom:3px;}
O1 - Hosts: .addescr{color:#6b6b6b; margin-bottom:3px;}
O1 - Hosts: .adlink a {color:#008200; text-decoration:none;}
O1 - Hosts: </style>
O1 - Hosts: </head>
O1 - Hosts: <body>
O1 - Hosts: <!-- following code added by server. PLEASE REMOVE -->
O1 - Hosts: <!-- preceding code added by server. PLEASE REMOVE -->
O1 - Hosts: <div id="maincnt">
O1 - Hosts: <div class="geohead"><div id="geologo"><a href="http://geocities.yahoo.com"><img height=33 alt="Yahoo! GeoCities" src="http://us.i1.yimg.com/us.yimg.com/i/us/nt/ma/ma_geo_1.g..." width=259 border=0></a></div>
O1 - Hosts: <div id="rightside"><div id="wlinks"><a href="http://geocities.yahoo.com">GeoCities Home</a> - <a href="http://www.yahoo.com">Yahoo!</a> - <a href="http://help.yahoo.com/help/us/geo/">Help</a></div>
O1 - Hosts: </div></div>
O1 - Hosts: <div class="bodywrap">
O1 - Hosts: <div class="bodycnt">
O1 - Hosts: <div class="title">Sorry, this GeoCities site is currently unavailable.</div>
O1 - Hosts: <p>The GeoCities web site you were trying to view has temporarily exceeded its data transfer limit. Please try again later. </p>
O1 - Hosts: <p>Are you the site owner?
O1 - Hosts: Avoid service interruptions in the future by increasing your data transfer limit!
O1 - Hosts: <a href="http://help.yahoo.com/help/us/geo/transfer/transfer-05...." target="_blank">Find out how.</a> </p>
O1 - Hosts: <p><a href="http://help.yahoo.com/help/us/geo/transfer/" target="_blank">Learn more about data transfer.</a></p>
O1 - Hosts: </div>
O1 - Hosts: <div class="adcnt">
O1 - Hosts: <a target="_top" href="http://geocities.yahoo.com"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/smbiz/b/geo_mast..." alt="Yahoo! GeoCities" border="0" height="15" hspace="0" vspace="0" width="141"></a>
O1 - Hosts: <div class="adsubt">SPONSORED LINKS</div>
O1 - Hosts: <!--<table width="172" border="0" bgcolor="#FFFFFF" class="adtable"><tr><td align=left>-->
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting" target="_blank">Yahoo! Web Hosting<br>
O1 - Hosts: $25 Setup Waived</a></div>
O1 - Hosts: <div class="addescr" title="Reliable plans include domain & 24x7 support.">Reliable plans include domain & 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting" target="_blank">webhosting.yahoo.com</a></div>
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/" target="_blank">Domain Names from Yahoo! only $9.95/yr</a></div>
O1 - Hosts: <div class="addescr" title="Includes starter web page, email & domain forwarding, 24x7 support.">Includes starter web page, email & domain forwarding, 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="Includes starter web page, email & domain forwarding, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/" target="_blank">domains.yahoo.com</a></div>
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail" target="_blank">Yahoo! Business Email<br> Domain Included</a></div>
O1 - Hosts: <div class="addescr" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.">Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.</div>
O1 - Hosts: <div class="adlink" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail" target="_blank">smallbusiness.yahoo.com</a></div>
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant" target="_blank">Ecommerce from Yahoo!<br> 1 Month Free</a></div>
O1 - Hosts: <div class="addescr" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support.">$50 setup fee waived. A reliable ecommerce plan, 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant" target="_blank">smallbusiness.yahoo.com</a></div>
O1 - Hosts: </div>
O1 - Hosts: <div class="ybadge">
O1 - Hosts: Get your own web site at <br><a target="_top" href="http://geocities.yahoo.com">Yahoo! GeoCities</a>
O1 - Hosts: <a href="http://smallbusiness.yahoo.com/webhosting/" target="_top"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/wh/gr/badge_host..." alt="Hosted by Yahoo! Web Hosting" align="middle" border="0" height="31" width="88"></a>
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: <div class=ftr>
O1 - Hosts: <hr size=1 width=100%>
O1 - Hosts: Copyright ©
O1 - Hosts: 2005 Yahoo! Inc. All rights reserved<br>
O1 - Hosts: <a href="http://privacy.yahoo.com/privacy/us/geo/">Privacy Policy</a>
O1 - Hosts: - <a href="http://docs.yahoo.com/info/copyright/copyright.html">Copyright Policy</a>
O1 - Hosts: - <a href="http://docs.yahoo.com/info/guidelines/community.html">Guidelines</a>
O1 - Hosts: - <a href="http://docs.yahoo.com/info/terms/geoterms.html">Terms of Service</a>
O1 - Hosts: - <a href="http://help.yahoo.com/help/us/geo/">Help</a>
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: </body>
O1 - Hosts: </html>
O1 - Hosts: <!-- text below generated by server. PLEASE REMOVE --></object></layer></div></span></style></noscript></table></script></applet>
O1 - Hosts: <IMG SRC="http://geo.yahoo.com/serv?s=19190039&t=1175676814&f=us-..." ALT=1 WIDTH=1 HEIGHT=1>
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\test\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Tok-Cirrhatus-1464] "C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe"
O4 - Startup: Empty.pif = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: ScanPanel.lnk = C:\Program Files\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSig...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Contenus similaires
29 Avril 2007 15:08:23

Voila le rapport

Logfile of HijackThis v1.99.1
Scan saved at 13:56:42, on 29/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\ScanPanel\ScnPanel.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\winlogon.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\services.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\lsass.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Admin\Bureau\Nouveau dossier\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
O1 - Hosts: "http://www.w3.org/TR/html4/loose.dtd">
O1 - Hosts: <html>
O1 - Hosts: <head>
O1 - Hosts: <script LANGUAGE="JavaScript">
O1 - Hosts: <!--
O1 - Hosts: if (window != top)
O1 - Hosts: top.location.href = location.href;
O1 - Hosts: // -->
O1 - Hosts: </script>
O1 - Hosts: <title>Site Unavailable</title>
O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
O1 - Hosts: <style type="text/css">
O1 - Hosts: body{text-align:center;}
O1 - Hosts: .geohead {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;width:750px;margin:10px 0 10px 0;height:35px;}
O1 - Hosts: .geohead #geologo {width:270px;display:block; float:left; }
O1 - Hosts: .geohead #rightside {width:480px;display:block; float:right;border-bottom:1px solid #999999; height:27px;}
O1 - Hosts: .geohead #rightside #welcome {width:50%;display:block; float:left; text-align:left;}
O1 - Hosts: .geohead #rightside #wlinks {width:50%;display:block; float:right; text-align:right;}
O1 - Hosts: .ftr { margin:0px; color:#404040; font:x-small Arial,sans-serif; text-align:center; width:750px;}
O1 - Hosts: .bodywrap{display:block;height:470px;}
O1 - Hosts: .bodycnt{width:510px; display:block; float:left; background-color:#EEE9F5; height:auto; text-align:left; font-family:Arial, Helvetica, sans-serif;font-size:13px; color:#000000; padding:20px 20px 35px 20px;}
O1 - Hosts: .title { font-family:Arial, Helvetica, sans-serif; font-weight:bold; font-size:24px; color:#7C56A9}
O1 - Hosts: .adcnt{width:172px; display:block; float:right; text-align:left;cursor:p ointer;cursor:hand;}
O1 - Hosts: .adcnt td {text-align:left;}
O1 - Hosts: .adsubt{font-size:10px; font-family:verdana; font-weight:bold; color:#b4b4b4; cursor:D efault;margin-top:5px;}
O1 - Hosts: .ybadge { font-family: Verdana, Arial, Helvetica, sans-serif; font-size:10px; color: #666666; margin-top:10px;}
O1 - Hosts: .ybadge img {margin-top:6px;}
O1 - Hosts: .adtable {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;border: 1px solid #d6dbe7; background-color:#eff7ff; padding:3px; margin-bottom:10px; width:172px;}
O1 - Hosts: .adttl{font-weight:bold;margin-bottom:3px;}
O1 - Hosts: .addescr{color:#6b6b6b; margin-bottom:3px;}
O1 - Hosts: .adlink a {color:#008200; text-decoration:none;}
O1 - Hosts: </style>
O1 - Hosts: </head>
O1 - Hosts: <body>
O1 - Hosts: <!-- following code added by server. PLEASE REMOVE -->
O1 - Hosts: <!-- preceding code added by server. PLEASE REMOVE -->
O1 - Hosts: <div id="maincnt">
O1 - Hosts: <div class="geohead"><div id="geologo"><a href="http://geocities.yahoo.com"><img height=33 alt="Yahoo! GeoCities" src="http://us.i1.yimg.com/us.yimg.com/i/us/nt/ma/ma_geo_1.g..." width=259 border=0></a></div>
O1 - Hosts: <div id="rightside"><div id="wlinks"><a href="http://geocities.yahoo.com">GeoCities Home</a> - <a href="http://www.yahoo.com">Yahoo!</a> - <a href="http://help.yahoo.com/help/us/geo/">Help</a></div>
O1 - Hosts: </div></div>
O1 - Hosts: <div class="bodywrap">
O1 - Hosts: <div class="bodycnt">
O1 - Hosts: <div class="title">Sorry, this GeoCities site is currently unavailable.</div>
O1 - Hosts: <p>The GeoCities web site you were trying to view has temporarily exceeded its data transfer limit. Please try again later. </p>
O1 - Hosts: <p>Are you the site owner?
O1 - Hosts: Avoid service interruptions in the future by increasing your data transfer limit!
O1 - Hosts: <a href="http://help.yahoo.com/help/us/geo/transfer/transfer-05...." target="_blank">Find out how.</a> </p>
O1 - Hosts: <p><a href="http://help.yahoo.com/help/us/geo/transfer/" target="_blank">Learn more about data transfer.</a></p>
O1 - Hosts: </div>
O1 - Hosts: <div class="adcnt">
O1 - Hosts: <a target="_top" href="http://geocities.yahoo.com"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/smbiz/b/geo_mast..." alt="Yahoo! GeoCities" border="0" height="15" hspace="0" vspace="0" width="141"></a>
O1 - Hosts: <div class="adsubt">SPONSORED LINKS</div>
O1 - Hosts: <!--<table width="172" border="0" bgcolor="#FFFFFF" class="adtable"><tr><td align=left>-->
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting" target="_blank">Yahoo! Web Hosting<br>
O1 - Hosts: $25 Setup Waived</a></div>
O1 - Hosts: <div class="addescr" title="Reliable plans include domain & 24x7 support.">Reliable plans include domain & 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting" target="_blank">webhosting.yahoo.com</a></div>
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/" target="_blank">Domain Names from Yahoo! only $9.95/yr</a></div>
O1 - Hosts: <div class="addescr" title="Includes starter web page, email & domain forwarding, 24x7 support.">Includes starter web page, email & domain forwarding, 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="Includes starter web page, email & domain forwarding, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/" target="_blank">domains.yahoo.com</a></div>
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail" target="_blank">Yahoo! Business Email<br> Domain Included</a></div>
O1 - Hosts: <div class="addescr" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.">Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.</div>
O1 - Hosts: <div class="adlink" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail" target="_blank">smallbusiness.yahoo.com</a></div>
O1 - Hosts: </div>
O1 - Hosts: <div class="adtable">
O1 - Hosts: <div class="adttl" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant" target="_blank">Ecommerce from Yahoo!<br> 1 Month Free</a></div>
O1 - Hosts: <div class="addescr" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support.">$50 setup fee waived. A reliable ecommerce plan, 24x7 support.</div>
O1 - Hosts: <div class="adlink" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant" target="_blank">smallbusiness.yahoo.com</a></div>
O1 - Hosts: </div>
O1 - Hosts: <div class="ybadge">
O1 - Hosts: Get your own web site at <br><a target="_top" href="http://geocities.yahoo.com">Yahoo! GeoCities</a>
O1 - Hosts: <a href="http://smallbusiness.yahoo.com/webhosting/" target="_top"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/wh/gr/badge_host..." alt="Hosted by Yahoo! Web Hosting" align="middle" border="0" height="31" width="88"></a>
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: <div class=ftr>
O1 - Hosts: <hr size=1 width=100%>
O1 - Hosts: Copyright ©
O1 - Hosts: 2005 Yahoo! Inc. All rights reserved<br>
O1 - Hosts: <a href="http://privacy.yahoo.com/privacy/us/geo/">Privacy Policy</a>
O1 - Hosts: - <a href="http://docs.yahoo.com/info/copyright/copyright.html">Copyright Policy</a>
O1 - Hosts: - <a href="http://docs.yahoo.com/info/guidelines/community.html">Guidelines</a>
O1 - Hosts: - <a href="http://docs.yahoo.com/info/terms/geoterms.html">Terms of Service</a>
O1 - Hosts: - <a href="http://help.yahoo.com/help/us/geo/">Help</a>
O1 - Hosts: </div>
O1 - Hosts: </div>
O1 - Hosts: </body>
O1 - Hosts: </html>
O1 - Hosts: <!-- text below generated by server. PLEASE REMOVE --></object></layer></div></span></style></noscript></table></script></applet>
O1 - Hosts: <IMG SRC="http://geo.yahoo.com/serv?s=19190039&t=1175676814&f=us-..." ALT=1 WIDTH=1 HEIGHT=1>
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\test\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Tok-Cirrhatus-1464] "C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe"
O4 - Startup: Empty.pif = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: ScanPanel.lnk = C:\Program Files\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSig...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

29 Avril 2007 16:02:49

rapport HijackThis, besoin de conseil... merci
a b 8 Sécurité
29 Avril 2007 16:21:15

Tu peux attendre ?

Télécharge R-Hosts.exe (de S!ri)
Lance R-Hosts puis clique sur "Restaurer".
Valide la modification en appuyant sur OK.
29 Avril 2007 16:28:07

oui je peux patienter qq minutes

Je viens d'effectuer le téléchargement et la manip à faire.
a b 8 Sécurité
29 Avril 2007 16:40:01

Reposte un rapport Hijackthis.
29 Avril 2007 16:43:47

le voici :

Logfile of HijackThis v1.99.1
Scan saved at 16:42:06, on 29/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\ScanPanel\ScnPanel.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\winlogon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Admin\Bureau\Nouveau dossier\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\test\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Tok-Cirrhatus-1464] "C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe"
O4 - Startup: Empty.pif = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: ScanPanel.lnk = C:\Program Files\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSig...
O17 - HKLM\System\CCS\Services\Tcpip\..\{11FF313F-7928-439D-B0C2-AD29BF40AF1E}: NameServer = 80.10.246.5 80.10.246.136
O17 - HKLM\System\CS2\Services\Tcpip\..\{11FF313F-7928-439D-B0C2-AD29BF40AF1E}: NameServer = 80.10.246.5 80.10.246.136
O17 - HKLM\System\CS3\Services\Tcpip\..\{11FF313F-7928-439D-B0C2-AD29BF40AF1E}: NameServer = 80.10.246.5 80.10.246.136
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

a b 8 Sécurité
29 Avril 2007 16:57:18

Re,

Télécharge Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.

29 Avril 2007 17:01:33

voici le rapport ... :

29/04/2007 a 17:00:43,92

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
"C:\Documents and Settings\Admin\Local Settings\Application Data\csrss.exe" FOUND
"C:\Documents and Settings\Admin\Local Settings\Application Data\inetinfo.exe" FOUND
"C:\Documents and Settings\Admin\Local Settings\Application Data\lsass.exe" FOUND
"C:\Documents and Settings\Admin\Local Settings\Application Data\winlogon.exe" FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
a b 8 Sécurité
29 Avril 2007 17:03:17

on va passer un coup de SDFix pour voir.

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Redémarre en mode sans échec

  • Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.
    29 Avril 2007 17:20:28

    J'effectue la manip ! (pb de connexion net) et poste le rapport et nouveau log d'Hijackthis
    a b 8 Sécurité
    29 Avril 2007 17:29:15

    Ok.
    29 Avril 2007 18:00:17

    voila le rapport SDFix


    SDFix: Version 1.81

    Run by Admin - 29/04/2007 - 17:30:22,39

    Microsoft Windows XP [version 5.1.2600]
    Service Pack 2

    Running From: C:\SDFix

    Safe Mode:
    Checking Services:






    Restoring Windows Registry Values
    Restoring Windows Default Hosts File


    Rebooting...

    Normal Mode:
    Checking Files:

    Below files will be copied to Backups folder then removed:

    C:\WINDOWS\odbc.INI - Deleted



    Removing Temp Files

    ADS Check:

    Checking if ADS is attached to system32 Folder
    C:\WINDOWS\system32
    No streams found.

    Checking if ADS is attached to svchost.exe
    C:\WINDOWS\system32\svchost.exe
    No streams found.



    Final Check:

    Remaining Services:
    ------------------




    Remaining Files:
    ---------------

    Backups Folder: - C:\SDFix\backups\backups.zip

    Checking For Files with Hidden Attributes:

    C:\WINDOWS\KesenjanganSosial.exe
    C:\WINDOWS\ShellNew\RakyatKelaparan.exe
    C:\Documents and Settings\Admin\Local Settings\Temp\3520842\BIT8.tmp
    C:\Documents and Settings\Admin\Mes documents\Formations Armel\~WRL2085.tmp
    C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\BIT1.tmp
    C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\BIT2.tmp
    C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\BIT3.tmp
    C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\BIT9.tmp
    C:\RECYCLER\S-1-5-21-776561741-854245398-1708537768-1003\Dc212.tmp
    C:\RECYCLER\S-1-5-21-776561741-854245398-1708537768-1003\Dc213.tmp
    C:\RECYCLER\S-1-5-21-776561741-854245398-1708537768-1003\Dc214.tmp
    C:\RECYCLER\S-1-5-21-776561741-854245398-1708537768-1003\Dc215.tmp
    C:\RECYCLER\S-1-5-21-776561741-854245398-1708537768-1003\Dc216.tmp
    C:\RECYCLER\S-1-5-21-776561741-854245398-1708537768-1003\Dc217.tmp
    C:\RECYCLER\S-1-5-21-776561741-854245398-1708537768-1003\Dc218.tmp
    C:\RECYCLER\S-1-5-21-776561741-854245398-1708537768-1003\Dc219.tmp
    C:\RECYCLER\S-1-5-21-776561741-854245398-1708537768-1003\Dc220.tmp

    Finished
    29 Avril 2007 18:01:17

    et voici le log demandé :

    Logfile of HijackThis v1.99.1
    Scan saved at 17:56:51, on 29/04/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\KesenjanganSosial.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\ShellNew\RakyatKelaparan.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe
    C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    C:\Program Files\ScanPanel\ScnPanel.exe
    C:\Documents and Settings\Admin\Menu Démarrer\Programmes\Démarrage\Empty.pif
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Documents and Settings\Admin\Bureau\Nouveau dossier\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
    O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
    O1 - Hosts: "http://www.w3.org/TR/html4/loose.dtd">
    O1 - Hosts: <html>
    O1 - Hosts: <head>
    O1 - Hosts: <script LANGUAGE="JavaScript">
    O1 - Hosts: <!--
    O1 - Hosts: if (window != top)
    O1 - Hosts: top.location.href = location.href;
    O1 - Hosts: // -->
    O1 - Hosts: </script>
    O1 - Hosts: <title>Site Unavailable</title>
    O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
    O1 - Hosts: <style type="text/css">
    O1 - Hosts: body{text-align:center;}
    O1 - Hosts: .geohead {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;width:750px;margin:10px 0 10px 0;height:35px;}
    O1 - Hosts: .geohead #geologo {width:270px;display:block; float:left; }
    O1 - Hosts: .geohead #rightside {width:480px;display:block; float:right;border-bottom:1px solid #999999; height:27px;}
    O1 - Hosts: .geohead #rightside #welcome {width:50%;display:block; float:left; text-align:left;}
    O1 - Hosts: .geohead #rightside #wlinks {width:50%;display:block; float:right; text-align:right;}
    O1 - Hosts: .ftr { margin:0px; color:#404040; font:x-small Arial,sans-serif; text-align:center; width:750px;}
    O1 - Hosts: .bodywrap{display:block;height:470px;}
    O1 - Hosts: .bodycnt{width:510px; display:block; float:left; background-color:#EEE9F5; height:auto; text-align:left; font-family:Arial, Helvetica, sans-serif;font-size:13px; color:#000000; padding:20px 20px 35px 20px;}
    O1 - Hosts: .title { font-family:Arial, Helvetica, sans-serif; font-weight:bold; font-size:24px; color:#7C56A9}
    O1 - Hosts: .adcnt{width:172px; display:block; float:right; text-align:left;cursor:p ointer;cursor:hand;}
    O1 - Hosts: .adcnt td {text-align:left;}
    O1 - Hosts: .adsubt{font-size:10px; font-family:verdana; font-weight:bold; color:#b4b4b4; cursor:D efault;margin-top:5px;}
    O1 - Hosts: .ybadge { font-family: Verdana, Arial, Helvetica, sans-serif; font-size:10px; color: #666666; margin-top:10px;}
    O1 - Hosts: .ybadge img {margin-top:6px;}
    O1 - Hosts: .adtable {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;border: 1px solid #d6dbe7; background-color:#eff7ff; padding:3px; margin-bottom:10px; width:172px;}
    O1 - Hosts: .adttl{font-weight:bold;margin-bottom:3px;}
    O1 - Hosts: .addescr{color:#6b6b6b; margin-bottom:3px;}
    O1 - Hosts: .adlink a {color:#008200; text-decoration:none;}
    O1 - Hosts: </style>
    O1 - Hosts: </head>
    O1 - Hosts: <body>
    O1 - Hosts: <!-- following code added by server. PLEASE REMOVE -->
    O1 - Hosts: <!-- preceding code added by server. PLEASE REMOVE -->
    O1 - Hosts: <div id="maincnt">
    O1 - Hosts: <div class="geohead"><div id="geologo"><a href="http://geocities.yahoo.com"><img height=33 alt="Yahoo! GeoCities" src="http://us.i1.yimg.com/us.yimg.com/i/us/nt/ma/ma_geo_1.g..." width=259 border=0></a></div>
    O1 - Hosts: <div id="rightside"><div id="wlinks"><a href="http://geocities.yahoo.com">GeoCities Home</a> - <a href="http://www.yahoo.com">Yahoo!</a> - <a href="http://help.yahoo.com/help/us/geo/">Help</a></div>
    O1 - Hosts: </div></div>
    O1 - Hosts: <div class="bodywrap">
    O1 - Hosts: <div class="bodycnt">
    O1 - Hosts: <div class="title">Sorry, this GeoCities site is currently unavailable.</div>
    O1 - Hosts: <p>The GeoCities web site you were trying to view has temporarily exceeded its data transfer limit. Please try again later. </p>
    O1 - Hosts: <p>Are you the site owner?
    O1 - Hosts: Avoid service interruptions in the future by increasing your data transfer limit!
    O1 - Hosts: <a href="http://help.yahoo.com/help/us/geo/transfer/transfer-05...." target="_blank">Find out how.</a> </p>
    O1 - Hosts: <p><a href="http://help.yahoo.com/help/us/geo/transfer/" target="_blank">Learn more about data transfer.</a></p>
    O1 - Hosts: </div>
    O1 - Hosts: <div class="adcnt">
    O1 - Hosts: <a target="_top" href="http://geocities.yahoo.com"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/smbiz/b/geo_mast..." alt="Yahoo! GeoCities" border="0" height="15" hspace="0" vspace="0" width="141"></a>
    O1 - Hosts: <div class="adsubt">SPONSORED LINKS</div>
    O1 - Hosts: <!--<table width="172" border="0" bgcolor="#FFFFFF" class="adtable"><tr><td align=left>-->
    O1 - Hosts: <div class="adtable">
    O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting" target="_blank">Yahoo! Web Hosting<br>
    O1 - Hosts: $25 Setup Waived</a></div>
    O1 - Hosts: <div class="addescr" title="Reliable plans include domain & 24x7 support.">Reliable plans include domain & 24x7 support.</div>
    O1 - Hosts: <div class="adlink" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting" target="_blank">webhosting.yahoo.com</a></div>
    O1 - Hosts: </div>
    O1 - Hosts: <div class="adtable">
    O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/" target="_blank">Domain Names from Yahoo! only $9.95/yr</a></div>
    O1 - Hosts: <div class="addescr" title="Includes starter web page, email & domain forwarding, 24x7 support.">Includes starter web page, email & domain forwarding, 24x7 support.</div>
    O1 - Hosts: <div class="adlink" title="Includes starter web page, email & domain forwarding, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/" target="_blank">domains.yahoo.com</a></div>
    O1 - Hosts: </div>
    O1 - Hosts: <div class="adtable">
    O1 - Hosts: <div class="adttl" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail" target="_blank">Yahoo! Business Email<br> Domain Included</a></div>
    O1 - Hosts: <div class="addescr" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.">Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.</div>
    O1 - Hosts: <div class="adlink" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail" target="_blank">smallbusiness.yahoo.com</a></div>
    O1 - Hosts: </div>
    O1 - Hosts: <div class="adtable">
    O1 - Hosts: <div class="adttl" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant" target="_blank">Ecommerce from Yahoo!<br> 1 Month Free</a></div>
    O1 - Hosts: <div class="addescr" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support.">$50 setup fee waived. A reliable ecommerce plan, 24x7 support.</div>
    O1 - Hosts: <div class="adlink" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant" target="_blank">smallbusiness.yahoo.com</a></div>
    O1 - Hosts: </div>
    O1 - Hosts: <div class="ybadge">
    O1 - Hosts: Get your own web site at <br><a target="_top" href="http://geocities.yahoo.com">Yahoo! GeoCities</a>
    O1 - Hosts: <a href="http://smallbusiness.yahoo.com/webhosting/" target="_top"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/wh/gr/badge_host..." alt="Hosted by Yahoo! Web Hosting" align="middle" border="0" height="31" width="88"></a>
    O1 - Hosts: </div>
    O1 - Hosts: </div>
    O1 - Hosts: </div>
    O1 - Hosts: <div class=ftr>
    O1 - Hosts: <hr size=1 width=100%>
    O1 - Hosts: Copyright ©
    O1 - Hosts: 2005 Yahoo! Inc. All rights reserved<br>
    O1 - Hosts: <a href="http://privacy.yahoo.com/privacy/us/geo/">Privacy Policy</a>
    O1 - Hosts: - <a href="http://docs.yahoo.com/info/copyright/copyright.html">Copyright Policy</a>
    O1 - Hosts: - <a href="http://docs.yahoo.com/info/guidelines/community.html">Guidelines</a>
    O1 - Hosts: - <a href="http://docs.yahoo.com/info/terms/geoterms.html">Terms of Service</a>
    O1 - Hosts: - <a href="http://help.yahoo.com/help/us/geo/">Help</a>
    O1 - Hosts: </div>
    O1 - Hosts: </div>
    O1 - Hosts: </body>
    O1 - Hosts: </html>
    O1 - Hosts: <!-- text below generated by server. PLEASE REMOVE --></object></layer></div></span></style></noscript></table></script></applet>
    O1 - Hosts: <IMG SRC="http://geo.yahoo.com/serv?s=19190039&t=1175676814&f=us-..." ALT=1 WIDTH=1 HEIGHT=1>
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [msnmsgr] "E:\test\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Tok-Cirrhatus-1464] "C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe"
    O4 - Startup: Empty.pif = ?
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    O4 - Global Startup: ScanPanel.lnk = C:\Program Files\ScanPanel\ScnPanel.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSig...
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

    29 Avril 2007 18:37:06

    Rapport à "consulter"...
    a b 8 Sécurité
    29 Avril 2007 19:47:19

    PATIENTE !

    Télécharge puis installe AVG Anti-Spyware (AVG AS)
    Fais les mises à jour mais ne lance pas de scan pour le moment.
    AIDE : Tuto sur AVG Anti-Spyware (Malekal)

    Redémarre en mode sans échec

    Relance AVG AS :
    - Choisis l'onglet "Analyse"
    - Puis l'onglet "Paramètres"
    - Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
    - Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    [#ff0000]Si un fichier est infecté en fin d'analyse, clique sur "Appliquer toutes les actions"[/#f]

    Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
    Enregistre ce fichier texte sur ton bureau.

    Redémarre normalement
    Poste le rapport AVG AS ainsi qu'un rapport Hijackthis.
    29 Avril 2007 22:08:44

    Re ...
    Ca y est enfin pu télécharger AVG !
    Voici son rapport après scan complet du système

    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 21:58:13 29/04/2007

    + Résultat de l'analyse:



    C:\Documents and Settings\Admin\Cookies\admin@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@112.2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@incredimailltd.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@karavel.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@opodo.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@adviva[1].txt -> TrackingCookie.Adviva : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@iv2.bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@casalemedia[1].txt -> TrackingCookie.Casalemedia : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@fastclick[1].txt -> TrackingCookie.Fastclick : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@i12[1].txt -> TrackingCookie.I12 : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@max.i12[2].txt -> TrackingCookie.I12 : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@search.msn[3].txt -> TrackingCookie.Msn : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@www.myaffiliateprogram[2].txt -> TrackingCookie.Myaffiliateprogram : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@toplist[1].txt -> TrackingCookie.Toplist : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@valueclick[1].txt -> TrackingCookie.Valueclick : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.
    C:\Documents and Settings\Admin\Cookies\admin@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé.
    C:\Documents and Settings\Admin\Local Settings\Application Data\csrss.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Local Settings\Application Data\inetinfo.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Local Settings\Application Data\lsass.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Local Settings\Application Data\winlogon.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\Copie de photo UV1\Copie de photo UV1.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\Ecrit ITS 2005-2006\Ecrit ITS 2005-2006.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\Ecrits ITS 2006-2007\Ecrits ITS 2006-2007.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\Formations Armel\Formations Armel.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\Formations Armel\Photos atelier EV\Photos atelier EV.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\Jardin de Cocagne, stage\Jardin de Cocagne, stage.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\Ma musique\Ma musique.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\Mes documents.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\Mes images\Mes images.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\Photos atelier EV\Photos atelier EV.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\Thierry ETSHerbault\Thierry ETSHerbault.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\loi février 2005 et janvier 2002\loi février 2005 et janvier 2002.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\mali\Azaouak Tour Le désert à portée de main 1_fichiers\Azaouak Tour Le désert à portée de main 1_fichiers.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\mali\Azaouak Tour Le désert à portée de main_fichiers\Azaouak Tour Le désert à portée de main_fichiers.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\mali\mali.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\photos Herbault\photos Herbault.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\pilotes\pilotes.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\remerciement anniversaire\remerciement anniversaire.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\terres d'aventure\Terres d'Aventure, trek Algérie, trekking Algérie, randonnée Algérie_fichiers\Terres d'Aventure, trek Algérie, trekking Algérie, randonnée Algérie_fichiers.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\terres d'aventure\Terres d'Aventure, trek Mali, trekking Mali, randonnée Mali_fichiers\Terres d'Aventure, trek Mali, trekking Mali, randonnée Mali_fichiers.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\terres d'aventure\Terres d'Aventure, trek Maroc, trekking Maroc, randonnée Maroc_fichiers\Terres d'Aventure, trek Maroc, trekking Maroc, randonnée Maroc_fichiers.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\terres d'aventure\Terres d'Aventure, trek Tunisie, trekking Tunisie, randonnée Tunisie_fichiers\Terres d'Aventure, trek Tunisie, trekking Tunisie, randonnée Tunisie_fichiers.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\terres d'aventure\algérie2_fichiers\algérie2_fichiers.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\terres d'aventure\algérie3_fichiers\algérie3_fichiers.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\terres d'aventure\algérie4_fichiers\algérie4_fichiers.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\terres d'aventure\maroc 2_fichiers\maroc 2_fichiers.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\terres d'aventure\terres d'aventure.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\terres d'aventure\tunisie2_fichiers\tunisie2_fichiers.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\zob zébu\ZOB ZEBU OVERSEAS BOARD (ex BANK) DEVELOPPEMENT RURAL ETHIQUE A MADAGASCAR_fichiers\ZOB ZEBU OVERSEAS BOARD (ex BANK) DEVELOPPEMENT RURAL ETHIQUE A MADAGASCAR_fichiers.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Mes documents\zob zébu\zob zébu.exe -> Worm.Brontok.q : Nettoyé.
    C:\Documents and Settings\Admin\Modèles\Brengkolang.com -> Worm.Brontok.q : Nettoyé.
    C:\WINDOWS\system32\Admin's Setting.scr -> Worm.Brontok.q : Nettoyé.


    Fin du rapport

    29 Avril 2007 22:10:41

    et voici à présent le rapport Hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 22:02:46, on 29/04/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Documents and Settings\Admin\Bureau\Nouveau dossier\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Documents and Settings\Admin\Bureau\Nouveau dossier\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    C:\Program Files\ScanPanel\ScnPanel.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Admin\Bureau\Nouveau dossier\HijackThis.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
    O1 - Hosts: "http://www.w3.org/TR/html4/loose.dtd">
    O1 - Hosts: <html>
    O1 - Hosts: <head>
    O1 - Hosts: <script LANGUAGE="JavaScript">
    O1 - Hosts: <!--
    O1 - Hosts: if (window != top)
    O1 - Hosts: top.location.href = location.href;
    O1 - Hosts: // -->
    O1 - Hosts: </script>
    O1 - Hosts: <title>Site Unavailable</title>
    O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
    O1 - Hosts: <style type="text/css">
    O1 - Hosts: body{text-align:center;}
    O1 - Hosts: .geohead {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;width:750px;margin:10px 0 10px 0;height:35px;}
    O1 - Hosts: .geohead #geologo {width:270px;display:block; float:left; }
    O1 - Hosts: .geohead #rightside {width:480px;display:block; float:right;border-bottom:1px solid #999999; height:27px;}
    O1 - Hosts: .geohead #rightside #welcome {width:50%;display:block; float:left; text-align:left;}
    O1 - Hosts: .geohead #rightside #wlinks {width:50%;display:block; float:right; text-align:right;}
    O1 - Hosts: .ftr { margin:0px; color:#404040; font:x-small Arial,sans-serif; text-align:center; width:750px;}
    O1 - Hosts: .bodywrap{display:block;height:470px;}
    O1 - Hosts: .bodycnt{width:510px; display:block; float:left; background-color:#EEE9F5; height:auto; text-align:left; font-family:Arial, Helvetica, sans-serif;font-size:13px; color:#000000; padding:20px 20px 35px 20px;}
    O1 - Hosts: .title { font-family:Arial, Helvetica, sans-serif; font-weight:bold; font-size:24px; color:#7C56A9}
    O1 - Hosts: .adcnt{width:172px; display:block; float:right; text-align:left;cursor:p ointer;cursor:hand;}
    O1 - Hosts: .adcnt td {text-align:left;}
    O1 - Hosts: .adsubt{font-size:10px; font-family:verdana; font-weight:bold; color:#b4b4b4; cursor:D efault;margin-top:5px;}
    O1 - Hosts: .ybadge { font-family: Verdana, Arial, Helvetica, sans-serif; font-size:10px; color: #666666; margin-top:10px;}
    O1 - Hosts: .ybadge img {margin-top:6px;}
    O1 - Hosts: .adtable {font-family:Verdana, Arial, Helvetica, sans-serif; font-size:10px;border: 1px solid #d6dbe7; background-color:#eff7ff; padding:3px; margin-bottom:10px; width:172px;}
    O1 - Hosts: .adttl{font-weight:bold;margin-bottom:3px;}
    O1 - Hosts: .addescr{color:#6b6b6b; margin-bottom:3px;}
    O1 - Hosts: .adlink a {color:#008200; text-decoration:none;}
    O1 - Hosts: </style>
    O1 - Hosts: </head>
    O1 - Hosts: <body>
    O1 - Hosts: <!-- following code added by server. PLEASE REMOVE -->
    O1 - Hosts: <!-- preceding code added by server. PLEASE REMOVE -->
    O1 - Hosts: <div id="maincnt">
    O1 - Hosts: <div class="geohead"><div id="geologo"><a href="http://geocities.yahoo.com"><img height=33 alt="Yahoo! GeoCities" src="http://us.i1.yimg.com/us.yimg.com/i/us/nt/ma/ma_geo_1.g..." width=259 border=0></a></div>
    O1 - Hosts: <div id="rightside"><div id="wlinks"><a href="http://geocities.yahoo.com">GeoCities Home</a> - <a href="http://www.yahoo.com">Yahoo!</a> - <a href="http://help.yahoo.com/help/us/geo/">Help</a></div>
    O1 - Hosts: </div></div>
    O1 - Hosts: <div class="bodywrap">
    O1 - Hosts: <div class="bodycnt">
    O1 - Hosts: <div class="title">Sorry, this GeoCities site is currently unavailable.</div>
    O1 - Hosts: <p>The GeoCities web site you were trying to view has temporarily exceeded its data transfer limit. Please try again later. </p>
    O1 - Hosts: <p>Are you the site owner?
    O1 - Hosts: Avoid service interruptions in the future by increasing your data transfer limit!
    O1 - Hosts: <a href="http://help.yahoo.com/help/us/geo/transfer/transfer-05...." target="_blank">Find out how.</a> </p>
    O1 - Hosts: <p><a href="http://help.yahoo.com/help/us/geo/transfer/" target="_blank">Learn more about data transfer.</a></p>
    O1 - Hosts: </div>
    O1 - Hosts: <div class="adcnt">
    O1 - Hosts: <a target="_top" href="http://geocities.yahoo.com"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/smbiz/b/geo_mast..." alt="Yahoo! GeoCities" border="0" height="15" hspace="0" vspace="0" width="141"></a>
    O1 - Hosts: <div class="adsubt">SPONSORED LINKS</div>
    O1 - Hosts: <!--<table width="172" border="0" bgcolor="#FFFFFF" class="adtable"><tr><td align=left>-->
    O1 - Hosts: <div class="adtable">
    O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting" target="_blank">Yahoo! Web Hosting<br>
    O1 - Hosts: $25 Setup Waived</a></div>
    O1 - Hosts: <div class="addescr" title="Reliable plans include domain & 24x7 support.">Reliable plans include domain & 24x7 support.</div>
    O1 - Hosts: <div class="adlink" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27166/*http://smallbusiness.yahoo.com/webhosting" target="_blank">webhosting.yahoo.com</a></div>
    O1 - Hosts: </div>
    O1 - Hosts: <div class="adtable">
    O1 - Hosts: <div class="adttl" title="Reliable plans include domain & 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/" target="_blank">Domain Names from Yahoo! only $9.95/yr</a></div>
    O1 - Hosts: <div class="addescr" title="Includes starter web page, email & domain forwarding, 24x7 support.">Includes starter web page, email & domain forwarding, 24x7 support.</div>
    O1 - Hosts: <div class="adlink" title="Includes starter web page, email & domain forwarding, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27176/*http://smallbusiness.yahoo.com/domains/" target="_blank">domains.yahoo.com</a></div>
    O1 - Hosts: </div>
    O1 - Hosts: <div class="adtable">
    O1 - Hosts: <div class="adttl" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail" target="_blank">Yahoo! Business Email<br> Domain Included</a></div>
    O1 - Hosts: <div class="addescr" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.">Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning.</div>
    O1 - Hosts: <div class="adlink" title="Setup fee waived. Up to 10 emails, SpamGuard, forwarding & virus scanning."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=27184/*http://smallbusiness.yahoo.com/mail" target="_blank">smallbusiness.yahoo.com</a></div>
    O1 - Hosts: </div>
    O1 - Hosts: <div class="adtable">
    O1 - Hosts: <div class="adttl" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant" target="_blank">Ecommerce from Yahoo!<br> 1 Month Free</a></div>
    O1 - Hosts: <div class="addescr" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support.">$50 setup fee waived. A reliable ecommerce plan, 24x7 support.</div>
    O1 - Hosts: <div class="adlink" title="$50 setup fee waived. A reliable ecommerce plan, 24x7 support."><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/evt=/27190/*http://smallbusiness.yahoo.com/merchant" target="_blank">smallbusiness.yahoo.com</a></div>
    O1 - Hosts: </div>
    O1 - Hosts: <div class="ybadge">
    O1 - Hosts: Get your own web site at <br><a target="_top" href="http://geocities.yahoo.com">Yahoo! GeoCities</a>
    O1 - Hosts: <a href="http://smallbusiness.yahoo.com/webhosting/" target="_top"><img src="http://us.i1.yimg.com/us.yimg.com/i/us/wh/gr/badge_host..." alt="Hosted by Yahoo! Web Hosting" align="middle" border="0" height="31" width="88"></a>
    O1 - Hosts: </div>
    O1 - Hosts: </div>
    O1 - Hosts: </div>
    O1 - Hosts: <div class=ftr>
    O1 - Hosts: <hr size=1 width=100%>
    O1 - Hosts: Copyright ©
    O1 - Hosts: 2005 Yahoo! Inc. All rights reserved<br>
    O1 - Hosts: <a href="http://privacy.yahoo.com/privacy/us/geo/">Privacy Policy</a>
    O1 - Hosts: - <a href="http://docs.yahoo.com/info/copyright/copyright.html">Copyright Policy</a>
    O1 - Hosts: - <a href="http://docs.yahoo.com/info/guidelines/community.html">Guidelines</a>
    O1 - Hosts: - <a href="http://docs.yahoo.com/info/terms/geoterms.html">Terms of Service</a>
    O1 - Hosts: - <a href="http://help.yahoo.com/help/us/geo/">Help</a>
    O1 - Hosts: </div>
    O1 - Hosts: </div>
    O1 - Hosts: </body>
    O1 - Hosts: </html>
    O1 - Hosts: <!-- text below generated by server. PLEASE REMOVE --></object></layer></div></span></style></noscript></table></script></applet>
    O1 - Hosts: <IMG SRC="http://geo.yahoo.com/serv?s=19190039&t=1175676814&f=us-..." ALT=1 WIDTH=1 HEIGHT=1>
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings\Admin\Bureau\Nouveau dossier\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [msnmsgr] "E:\test\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    O4 - Global Startup: ScanPanel.lnk = C:\Program Files\ScanPanel\ScnPanel.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSig...
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Documents and Settings\Admin\Bureau\Nouveau dossier\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

    a b 8 Sécurité
    29 Avril 2007 22:15:36

    Refais l'étape avec R-Hosts.
    29 Avril 2007 22:21:13

    c'est fait !!
    a b 8 Sécurité
    29 Avril 2007 22:33:53

    Reposte un rapport Hijackthis.
    29 Avril 2007 22:35:18

    le voilà :

    Logfile of HijackThis v1.99.1
    Scan saved at 22:35:02, on 29/04/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Documents and Settings\Admin\Bureau\Nouveau dossier\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Documents and Settings\Admin\Bureau\Nouveau dossier\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    C:\Program Files\ScanPanel\ScnPanel.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Admin\Bureau\Nouveau dossier\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings\Admin\Bureau\Nouveau dossier\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [msnmsgr] "E:\test\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    O4 - Global Startup: ScanPanel.lnk = C:\Program Files\ScanPanel\ScnPanel.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSig...
    O17 - HKLM\System\CCS\Services\Tcpip\..\{11FF313F-7928-439D-B0C2-AD29BF40AF1E}: NameServer = 80.10.246.5 80.10.246.136
    O17 - HKLM\System\CS2\Services\Tcpip\..\{11FF313F-7928-439D-B0C2-AD29BF40AF1E}: NameServer = 80.10.246.5 80.10.246.136
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Documents and Settings\Admin\Bureau\Nouveau dossier\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

    a b 8 Sécurité
    29 Avril 2007 22:36:26

    Toujours des problèmes ?

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Tuto sur le scan en ligne

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    29 Avril 2007 22:40:04

    ok ... simple question ? il reste bcp de chose à faire ?
    a b 8 Sécurité
    29 Avril 2007 22:41:41

    Non :) 
    29 Avril 2007 22:46:40

    ok, car l'ordi de mes parents est très lent ( internet sans ADSL) dc le scan en ligne va prendre des heures ...donc est ce nécessaire ?

    29 Avril 2007 23:01:12

    Je dois y aller !!
    Je viendrai lire la réponse demain !
    Qq autres questions :
    Mon ordi portable doit également être infecté par le ver, puis-je faire la mm manip ? (hostD, AVG,...)
    L'ordi de mes parents a donc maintenant deux anti-virsu (avast! et AVG) lequel dois-je garder ?

    MErci de l'aide
    bonne soirée
    a b 8 Sécurité
    30 Avril 2007 12:00:39

    1) ne pas refaire la même manip
    2) AVG antispyware n'est pas un antivirus
    3) fais le scan en ligne
    10 Mai 2007 13:03:45

    Comment se débarrasser pas à pas du virus Brontok-I ?

    N’ayant pas trouvé d’outil de désinfection de virus pour cette version de Brontok, voici ce que j’ai fait pour complètement m’en débarrasser (enfin, c’est ce que je crois mais je ne suis pas une pro ;) 

    1) Mise en quarantaine de tous les fichiers infectés grâce à un anti-virus.

    J’ai utilisé Avast4 édition familiale qui est un anti-virus gratuitement téléchargeable depuis http://www.avast.com/fre/download-avast-home.html .
    Il faut d’abord réaliser un scan (mode minutieux) avant le démarrage de la session windows pour désactiver le virus qui s’autocopie automatiquement dans tous les dossiers partagés dans un dossier.exe du même nom. Sinon, vous pouvez vous amusez à retrouver en quarantaine plusieurs fois le même fichier… Réaliser un scan (mode minutieux) après si vous n’avez pas trouvé les fichiers suivants. N’oubliez pas de faire « afficher les fichiers et les dossiers cachés » pour trouver les fichiers manuellement (dans Outils->Options des dossiers->affichage d’Explorer si Brontok n’a pas désactivé cette option sur votre ordi).

    Voici les fichiers qui ont été infectés sur mon ordinateur dans l’ordre trouvé par Avast4 :
    (NB : « all user » est vraiment « all user » alors que « user » est le nom de votre machine)
    C:\Program Files\Avast4data\moved\[MEW].vir
    C:\Documents and settings\user\Local settings\application data\winlongon.exe
    C:\Documents and settings\user\Local settings\application data\br%4 chiffres%on.exe
    C:\Documents and settings\user\menu démarrer\programmes\démarrage\empty.pif
    C:\windows\kesenjangansosial.exe
    C:\windows\shellnew\rakyatkelaparan.exe
    C:\Documents and settings\user\Local Settings\Temp\_avast4_\unp%8chiffres%.tmp
    C:\Documents and settings\user\Local settings\application data\csrss.exe
    C:\Documents and settings\user\Local settings\application data\inetinfo.exe
    C:\Documents and settings\user\Local settings\application data\services.exe
    C:\Documents and settings\user\Local settings\application data\lsass.exe
    C:\Windows\System32\cmd-brontok.exe
    C:\Windows\System32\User’s setting.scr
    C:\Documents and settings\user\modèles\%4 chiffres%-Nendangbro.com
    C:\Documents and settings\%chemin d’accès à un dossier partagé%\nom de ce dossier.exe (ce dernier chemin peut correspondre à de nombreux fichiers si vous avez le sens du partage… ;) 

    NB pour éviter de rester planter devant son ordi pour mettre chaque fichier en quarantaine dans avast : avant le démarrage de windows appuyer sur 6 pour mettre tout en quarantaine ou lorsque la session est ouverte, cocher la case ne plus afficher ce message et mettre en quarantaine.

    J’ai pas trouvé le fichier C:\Documents and settings\user\Local settings\application data\svchost.exe pourtant indiqué en plus par Sophos sur la page web suivante : http://www.sophos.com/security/analyses/w32brontoki.htm...

    2) Remettre comme avant les clés de registres changées par le virus

    Deux manières d’accéder à l’éditeur de registres (gere la configuration du système) :
    -démarrage->exécuter : ouvrir regedit
    -C:\Windows\regedit.exe

    Vous pouvez naviguer dans l’arbre sur la gauche pour accéder aux différents dossiers contenant les clés concernées. Mais attention à ne toucher au registre qu’en connaissance de cause sinon, ce n’est même plus sûr que vous puissiez démarrez…
    HKEY_CURRENT_USER = HKCU
    HKEY_LOCAL_MACHINE = HKLM

    Supprimer (clic droit sur le nom de la clé, supprimer) les deux clés suivantes qui lancent br%4 chiffres.exe at Rakyatkelaparan.exe au démarrage :

    Chemin d’accès : HKLM\System\CurrentControlSet\Control\SafeBoot
    Nom de la clé : AlternateShell
    Données : cmd-brontok.exe

    Chemin d’accès : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Nom de la clé : Tok-Cirrhatus
    Données : %rien%

    Supprimer aussi les deux clés suivantes si vous les trouvez, je ne les ai pas trouvées sur mon ordi :

    Chemin d’accès : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Nom de la clé : Tok-Cirrhatus-%4chiffres%
    Données : C:\Documents and settings\user\Local settings\application data\br%4 chiffres%on.exe

    Chemin d’accès : HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Nom de la clé : Bron-spizaetus
    Données : C:\windows\shellnew\rakyatkelaparan.exe

    Changer les données (clic droit sur le nom de la clé, modifier)de la clé suivante qui permet de lancer explorer (ne pas mettre 0 sinon dire au revoir à la barre des tâches, au raccourci toucheDémarrer+E pour le poste de travail et bonjour au regedit qu’on peut lancer aussi depuis le gestionnaire des tâches (Ctrl+Alt+Suppr)) :

    Chemin d’accès : HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    Nom de la clé : Shell
    Données modifiées par Brontok-I: Explorer.exe « C:\windows\kesenjangansosial.exe »
    Nouvelles données à mettre : Explorer.exe

    Pour les clés suivantes, il ne s’agit que de modifications de configurations mais qui peuvent empêcher un accès facile à certaines fonctionnalités. Et les remodifier peut être donc utile (clic droit sur le nom de la clé, modifier, le mode hexadécimal ou décimal n’a pas d’importance pour 0 ou 1)

    La clé suivante a été modifiée par Brontok-I en vue d’enlever la possibilité d’accéder aux « options des dossier » normalement disponible dans le menu « outils » de l’explorateur.
    Chemin d’accès : HKCU\Software\microsoft\windows\currentversion\Policies\Explorer
    Nom de la clé : NoFolderOptions
    Données modifiées par Brontok-I : 1
    Nouvelles données à mettre pour réactiver l’option : 0

    Dans ce chemin d’accès suivant HKCU\software\microsoft\windows\currentversion\Explorer\advanced , les clés suivantes gérant des options d’Explorer ont été modifiées :

    Nom de la clé : ShowSuperHidden (pour l’affichage des fichiers systemes pour les opérations en cours dans Explorer)
    Données modifiées par Brontok-I : 0 (cache les fichiers)
    Nouvelles données à mettre pour réactiver l’option : 1 (montre les fichiers)

    Nom de la clé : HideFileExt ( pour les extensions des fichiers)
    Données modifiées par Brontok-I : 1 (cache les extensions)
    Nouvelles données à mettre pour réactiver l’option : 0 (affiche les extensions)

    Nom de la clé : Hidden (pour l’affichage des dossiers et des fichiers caches dans le registre)
    Données modifiées par Brontok-I : 0 (je sais pas, 2 doit empecher l’affichage)
    Nouvelles données à mettre pour réactiver l’option : 1 (les affiche)

    Brontok-I a désactivé le gestionnaire des tâches :
    Chemin d’accès : HKCU\software\microsoft\windows\currentversion\Policies\System
    Nom de la clé : DisableCMD
    Données modifiées par Brontok-I : 0
    Nouvelles données à mettre pour réactiver l’option : 1

    Brontok-I a aussi normalement désactivé regedit mais la clé (par chance je pense) n’existait pas sur mon ordinateur donc bon courage à ceux qui doivent trouver un autre moyen d’accéder aux clés du registre !
    Chemin d’accès : HKCU\software\microsoft\windows\currentversion\Policies\System
    Nom de la clé : DisableRegistryTools
    Données modifiées par Brontok-I : 0
    Nouvelles données à mettre pour réactiver l’option : 1

    3) Effacer les petites traces de Brontok

    -chercher tous les fichiers contenant « Bro » dans le nom (Démarrer->rechercher : affiner la recherche par date pour que ce soit plus rapide) et les effacer : j’ai trouvé par exemple dans C:\Documents and settings\user\Local settings\application data\
    les fichiers Bron.tok.A16.em.bin, Kosong.Bron.Tok.text
    et les dossiers OK-SendMail-Bron-tok, Loc.Mail.bron.tok et Bron.tok-16-10.

    -vider le prefetch en supprimant les fichiers de C:\Windows\Prefetch : ça ne peut qu’accélérer votre PC selon http://www.laboratoire-microsoft.org/t/1401/ (à faire tous les mois ;) 

    4) Redémarrer pour que les changements des clés de registre et le prefetch vide soient pris en compte.

    Après avoir vérifié que tout semble normal et que vous avez mis en quarantaine tous les fichiers infectés, vous pouvez supprimer ces derniers. C’est bon, la désinfection de Brontok-I est enfin terminée. Mais si vous trouvez votre PC encore trop lent, peut-être que sa RAM est utilisées par des programmes inutiles (Ctrl+Alt+Suppr) pour voir en bas à droite la charge dédiée = RAM utilisée). Vous pouvez prendre alors le temps de configurer votre PC au démarrage en exécutant msconfig : toutes les infos sont sur http://www.vulgarisation-informatique.com/msconfig.php. Mais un conseil perso, vérifier l’utilité de chaque programme avant de l’empêcher de démarrer automatiquement parce que certains vous aideront à démarrer plus vite certains logiciels très utilisés ou même se révèlent indispensables (communications_helper pour une webcam logitech par exemple) même si d’autres ne feront que ralentir votre ordi.

    5) Bon, ben j’espère avoir aider quelques uns et voici un cadeau en plus :

    (lol plutôt réalisé pour mes colocs parlant mieux Anglais que Français) la version anglaise avec toutes les erreurs de traduction qui vont avec mon niveau d’anglais !

    How to disinfect the computer from the worm Brontok-I ?

    I have not found a virus disinfection tool for this version of Brontok so I present that I have done to disinfect my computer. Sorry for my English but I am French. And I am not a professional so there may have some missing things even if my computer works well now!

    6) Putting into quarantine of the infected files thanks to an anti-virus

    I have used Avast4 Home Edition which is a free anti-virus available from http://www.avast.com/fre/download-avast-home.html .
    You should do first a scan (thorough mode) before the start of the windows log and one after if you have not found all the following files:

    Below you have the infected files created by Bontok-I and found by Avast4 on my computer :
    (NB : « all user » is really for « all user » whereas « user » is the name of your computer)
    C:\Program Files\Avast4data\moved\[MEW].vir
    C:\Documents and settings\user\Local settings\application data\winlongon.exe
    C:\Documents and settings\user\Local settings\application data\br%4 figures%on.exe
    C:\Documents and settings\user\menu démarrer\programmes\démarrage\empty.pif
    C:\windows\kesenjangansosial.exe
    C:\windows\shellnew\rakyatkelaparan.exe
    C:\Documents and settings\user\Local Settings\Temp\_avast4_\unp%8figures%.tmp
    C:\Documents and settings\user\Local settings\application data\csrss.exe
    C:\Documents and settings\user\Local settings\application data\inetinfo.exe
    C:\Documents and settings\user\Local settings\application data\services.exe
    C:\Documents and settings\user\Local settings\application data\lsass.exe
    C:\Windows\System32\cmd-brontok.exe
    C:\Windows\System32\User’s setting.scr
    C:\Documents and settings\user\modèles\%4 figures%-Nendangbro.com
    C:\Documents and settings\%directory to a shared folder%\name of this folder.exe (if you like sharing, you will have a lot of infected files...)

    To search the files manually, the option “Show hidden files and folders” must be activated (in Tools->Folder Options->View of Explorer if Brontok have not deactivated this option)
    NB to avoid to stay in front of the computer in order to put each infected file into quarantine : before the start of windows, enter 6 to put all infected files into quarantine or when the your are logged, check the case “Don’t show this message again” and put into quarantine.

    I haven’t found this file C:\Documents and settings\user\Local settings\application data\svchost.exe whereas I should had accorded to Sophos on the web page available from : http://www.sophos.com/security/analyses/w32brontoki.htm...

    7) Reinitialize the registry keys modified by the virus

    Two ways to execute the Registry Editor used for system configuration :
    -Start->Run : open regedit
    -C:\Windows\regedit.exe

    Don’t modify if you don’t know what you are doing because otherwise, you may not be able to start windows…

    HKEY_CURRENT_USER = HKCU
    HKEY_LOCAL_MACHINE = HKLM

    Delete (right clic on the name of the key, delete) the both following keys which start br%4 figures.exe at Rakyatkelaparan.exe at the start of Windows:

    Directory: HKLM\System\CurrentControlSet\Control\SafeBoot
    Name of the registry key: AlternateShell
    Data: cmd-brontok.exe

    Directory: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Name of the registry key: Tok-Cirrhatus
    Data: %nothing%

    Delete also the both following keys if you find them, I haven’t found them on my computer:

    Directory: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Name of the registry key: Tok-Cirrhatus-%4figures%
    Data: C:\Documents and settings\user\Local settings\application data\br%4 figures%on.exe

    Directory: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Name of the registry key: Bron-spizaetus
    Data: C:\windows\shellnew\rakyatkelaparan.exe

    Modify (right clic on the name of the key, modify) the data of the following registry key which allows the start of Explorer:

    Directory: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    Name of the registry key: Shell
    Modified data by Brontok-I: Explorer.exe « C:\windows\kesenjangansosial.exe »
    New data to enter: Explorer.exe

    The four following keys just deal with the configuration of Explorer:

    Directory: HKCU\Software\microsoft\windows\currentversion\Policies\Explorer
    Name of the registry key: NoFolderOptions (controls the display of “Folder Options” in the menu “Tools”)
    Modified data by Brontok-I : 1 (hides)
    New data to enter to reactivate the option: 0 (displays)

    Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
    Name of the registry key:ShowSuperHidden (controls whether the normally hidden operating system files should be displayed when using explorer to browse the file system)
    Modified data by Brontok-I : 0 (hides)
    New data to enter to reactivate the option: 1 (displays)

    Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
    Name of the registry key:HideFileExt ( controls the display of File extensions)
    Modified data by Brontok-I : 1 (hides)
    New data to enter to reactivate the option: 0 (displays)

    Directory: HKCU\software\microsoft\windows\currentversion\Explorer\advanced
    Name of the registry key:Hidden (controls the display of the hidden files and folders in the registry)
    Modified data by Brontok-I : 0 (I don’t know, 2 should hiding)
    New data to enter to reactivate the option: 1 (displays)


    Brontok-I desactivated the Windows Task Manager:

    Directory: HKCU\software\microsoft\windows\currentversion\Policies\System
    Name of the registry key:D isableCMD
    Modified data by Brontok-I: 0
    New data to enter to reactivate the option: 1

    Brontok-I should normally also desactivate regedit but I haven’t found this key on my computer :
    Directory:HKCU\software\microsoft\windows\currentversion\Policies\System
    Name of the registry key:D isableRegistryTools
    Modified data by Brontok-I : 0
    New data to enter to reactivate the option: 1

    8) Delete traces of Brontok

    -Search all the files whose name contains « Bro » dans le nom (Find->search->For files and folder : indicate the date to do it quicker) and delete them: I have found for example in the following directory
    C:\Documents and settings\user\Local settings\application data\
    the files Bron.tok.A16.em.bin, Kosong.Bron.Tok.text
    and the folders OK-SendMail-Bron-tok, Loc.Mail.bron.tok et Bron.tok-16-10.

    -Just one tip to do every months: empty the prefetch by deleting the files in C:\Windows\Prefetch: see more information onhttp://searchwincomputing.techtarget.com/tip/0,289483,s...

    9) Restart in order to see the effects of changes in the registry and in the prefetch

    After checking all is alright and putting in quarantine all the infected files, you can delete the last ones. It is the end of the disinfection of Brontok-I. But if you find your PC always too slow, try msconfig to check if there are not useless programs which are running since the start: http://www.netsquirrel.com/msconfig/ for more information.
    I hope to have helped somebody!



    8 Novembre 2007 17:53:58

    Logfile of HijackThis v1.99.1
    Scan saved at 16:54:00, on 08/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)


    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS