Suspicion virut win34 CF

Bonjour,
Gros problème: je pense avoir été infecté par le virus virut win34 CF.

Ne sachant pas trop à quoi cela est du, je tente de vous raconter mes péripéties de ces derniers jours:

J'ai voulu jouer à Age of Mythology en multijoueur avec un ami mais j'avais un problème avec Internet Explorer 7 qu'il fallait selon une astuce que je repasse en IE 6. Cette astuce ne fonctionnait que pour XP, car Vista ne supporte pas IE 6. Alors je me suis dit que j'allais télécharger et installer IE 8.
Le téléchargement étant trop long, j'ai aperçu qu'on pouvait obtenir une version à jour de IE avec Windows Update.
Alors j'ai donné les autorisations à Windows update pour télécharger/installer dès qu'il trouve une MàJ.
Cependant, Windows Update semble ne pas vouloir installer un élément, et il me demande sans cesse de redémarrer le système (ce que je repousse à tous les 4h).
J'ai fini par le redémarrer, et surprise!! Windows update me demande de (re)redémarrer.
Je redémarre, et il me demande une 3ème fois de redémarrer, ce que je fais, et finalement quand il me le demande une 4ème fois, je repousse de nouveau à 4h.


En parallèle, je retélécharge Neverwinter Nights 2 que j'avais téléchargé l'année passée (parfaitement légalement, sur Gamesplanet, avec un utilitaire Metaboli, j'ai le droit de télécharger le jeu 6 fois). Metaboli bugant, j'ai du envoyer un mail à Gamesplanet qui m'a envoyé plusieurs liens pour le télécharger, avec bien entendu toujours la même clé CD.
Je l'installe et bam!! "Trop d'installations de ce jeu ont été détectée". En effet, mon frère y joue avec la même clé que moi et le jeu est resté installé sur mon ancien ordinateur XP qui ne tourne désormais plus.

En dépit de tout bon sens commun, j'avoue avoir traîné sur des sites pour chercher une clé-cd sur des sites apparemment peu fréquentables.
Firefox, avec lequel je navigue, ne voulait pas afficher une page et j'ai donc utilisé un onglet Internet Explorer qui m'a permis d'accéder à la page inaccessible et de télécharger ainsi le virus.

Ensuite je l'ai ouvert dans ma liste de téléchargement, ça m'a demandé si j'étais sûr, j'ai mis oui, ça n'a *apparemment* rien fait et j'ai tout de suite supprimé le fichier.


Je me suis alors mis à jouer à Empire Total War qui ramait encore plus que d'ordinaire.
Je l'ai donc quitté pour jouer à Knights Of The Old Republic: il ramait autant!!!! (pourtant ce n'est pas un jeu qui rame avec ma config).


A peine 1h après, Norton m'annonce fièrement avoir supprimé la menace virut win34 CF. Il m'a alors renouvelé ce message toutes les heures.
Inquiet, je cherche d'avance des symptomes et une solution sur le net et je trouve plusieurs choses:
* Le virus fait ramer l'ordinateur...

Les solutions:
- Formater l'ordinateur (ce qu'on a fait une seule et unique fois depuis 11 ans, cette solution me répugne). Chez certains ça résout le problème, chez d'autre le virus persiste et survit 3-4 formatage (sans doute mal fait).
- Certains ont fait une restauration système mais qui a été semble-t-il inefficace
- D'autres suggèrent une analyse complète du système, avec une bardée de logiciels à utiliser en mode sans échec après mise à jour. Celui qui revient sans cesse est e_scan. Problème pour le télécharger: tous les liens sont morts. Autrement la solution était alléchante, j'ai déjà vaqué un virus il y a à peu près 5 ans en utilisant Antivir en mode sans échec, avec d'autres logiciels.
J'ai trouvé parmis les solutions un petit programme Symantec qui semblait diriger contre virut win34 CF.
Celui ci ne fonctionne qu'en mode sans échec.

Je redémarre alors mon ordinateur en mode sans échec - prise en charge réseau (quand même) et exécute, hier soir, le petit programme de Symantec qui analyse l'ordinateur.
Je reviens ce matin: il n'a rien trouvé.

Tant mieux; je redémarre mon ordinateur en mode normal: je n'y arrive plus, un des composants de Windows est en quelque sorte porté disparu (j'aurais du noter les intitulés exacts de mes messages d'erreurs).
2 choix: visiter le site de Windows pour activer une version valide, ou alors fermer (ma session).
Je redémarre de nouveau: même chose.
J'arrête l'ordi et le démarre: même chose.
Je redémarre en mode sans échec prise réseau... MÊME CHOSE!!
Je redémarre en mode sans échec pur et dur: ça marche. (ouf)

Alors j'ai lancé Tune up avec un programme qui recherche et corrige des erreurs, qui ne fonctionne que lors du démarrage de l'ordinateur. Je demande de quitter et de redémarrer, ça me met que la fonction de programmation ne fonctionne pas.
L'ordinateur redémarre, et là bam!! Ecran bleu, 4-5 lignes d'écriture blanche pour me dire en gros que system failed, que l'ordinateur shut down (bref, l'écran bleu de la mort qui tue)

Donc j'ai rerereredémarré mon ordinateur en mode prise en charge réseau, et cette fois ci, ça a marché.
Mon petit frère m'a suggéré de rétablir avec la restauration, mais comme je nettoie assez régulièrement, Tune Up me les enlève pour pas surcharger le système.
Par dépit je regarde et...!! Je vois une restauration qui date d'hier, 17h, installation de Neverwinter Nights 2 (donc avant mes soucis).


Je le lance et ça redémarre: tout semble bon pour l'instant. J'ai accès à ma session normale de windows.

Voila un Hijackthis réalisé pendant le mode sans échec, je ne sais pas quelle est sa valeur:
[quote]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:57:39, on 31/05/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Users\Alexandre\Desktop\HiJackThis.exe
C:\Windows\system32\wbem\unsecapp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [dellsupportcenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?AuthParam=1231720206_a8e0e3f70d9729cbc1ba876370c8be9b&GroupName=JSC&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&File=jinstall-6u11-windows-i586-jc.cab&BHost=javadl.sun.com
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe
O23 - Service: Dock Login Service (DockLoginService) - Stardock Corporation - C:\Program Files\Dell\DellDock\DockLogin.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe