Tout plein de tout : virus, vers... Help !!!

Question

Bonjour,

Je vous sollicite pour une aide ciblée, parce que j'ai beau avoir tout fait pour un de mes PCs, il ne démarre plus qu'en mode Débugage. Et  tout ce que j'ai fait n'a en apparence qu'aggravé le problème.

Il me reste mon EeePC, un vieux portable, des clés USB certainement infectées, un DD externe où sont mes données...

Que puis-je faire pour protéger tout ça et repartir sur de bonnes bases ? 

Petite note : je n'arrive pas à installer des logiciels anti-espions (comme Maleware's ...). PLEASE HELP, je suis hyper démoralisé, je crois que je vais partir à la montagne loin des PCs et d'Internet. 

Voici le rapport concernant le EeePC sous XP familial SP3 :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:26:58, on 08/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
C:\Program Files\EeePC\ACPI\AsEPCMon.exe
C:\Program Files\EeePC\ACPI\AsTray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\WINDOWS\system32\igfxext.exe
C:\Documents and Settings\Ktee\Application Data\winl9gg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Ktee\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://gamespace.daemon-tools.cc/fra/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll (file missing)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [AsusTray] C:\Program Files\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynAsusAcpi] C:\Program Files\Synaptics\SynTP\SynAsusAcpi.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Windows Hosting Service Login] C:\Documents and Settings\Ktee\Application Data\winlogon.exe
O4 - HKLM\..\Run: [winl9gg] C:\Documents and Settings\Ktee\Application Data\winl9gg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Windows Hosting Service Login] C:\Documents and Settings\Ktee\Application Data\winlogon.exe
O4 - HKCU\..\Run: [winlog.exe] C:\Documents and Settings\Ktee\Application Data\Microsoft\winlog.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup:  SuperHybridEngine.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

NicoVA · Answer

Salut 

Pour le bon déroulement de la désinfection :

-->  Ne crée pas plusieurs sujets sur différents forum
--> Éviter les prises de décisions hasardeuses, si jamais tu a des questions n'hésite pas
--> Reste bien jusqu'à la fin de la désinfection, même si cela semble aller mieux.

==============================

Je vois la trace d'un rogue c'est à dire un faux logiciel de sécurité qui modifie ton fond d'écran, tes recherches google ...

Redémarre en mode sans échec avec prise en charge réseau ( n'utilise pas la méthode avec msconfig !) 

Une fois que tu y est :

1/

&#x25B6; Télécharge Rkill de Grinler.com

&#x25B6; Double-cliquez dessus pour le lancer, le logiciel peut prendre du temps ! 
Note : Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.

2/

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "<gras>Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée


++

al1mal1 · Answer

Bon, j'ai de nouveaux problèmes qui ne me permettent pas d'appliquer la solution :
1) lors du démarrage en mode sans échec avec prise en charge réseau, le EeePC se met à ventiler à mort, c'est flippant (mais ça marcha quand même)
2) l'installation et le lancement de Rkill fonctionnent
3) lors de l'installation de Malware's... j'ai une fenêtre qui s'ouvre avec comme titre "
Sous-système MS-DOS 16 bits" 
et comme contenu "
C:\WINDOWS\system32\regsvr32.exe 
Le processeur NTVDM a rencontré une instruction mon autorisée 
CS:0f6c IP:0122 OP:ff ff 6e 6b 20
Choisissez "Fermer" pour mettre fin à l'application"
4) lorsque je choisis fermer, la fenêtre réapparait quelque fois (3 ou 4, je ne sais plus)
5) finalement j'ai l'impression que l'installation a fonctionné
6) quand je lance Maleware's... ça plante direct (fenêtre avec écrit "erreur O", un truc dans le genre).

Note : j'avais aussi ce problème avant de commencer, parmi d'autres problèmes déjà soulignés...

Une idée ?

al1mal1 · Answer

J'ai eu plusieurs résultats, je mets juste le dernier...



Avira AntiVir Personal
Date de création du fichier de rapport : mardi 8 juin 2010  17:35

La recherche porte sur 2197547 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : ORDIDEKTEE

Informations de version :
BUILD.DAT               : 9.0.0.75      21698 Bytes  22/01/2010 23:14:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  08/06/2010 13:15:37
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 13:15:35
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 13:15:36
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 13:15:36
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 13:15:36
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 13:15:36
VBASE005.VDF            : 7.10.6.82   2494464 Bytes  15/04/2010 13:15:36
VBASE006.VDF            : 7.10.7.218   2294784 Bytes  02/06/2010 13:15:36
VBASE007.VDF            : 7.10.7.219      2048 Bytes  02/06/2010 13:15:36
VBASE008.VDF            : 7.10.7.220      2048 Bytes  02/06/2010 13:15:36
VBASE009.VDF            : 7.10.7.221      2048 Bytes  02/06/2010 13:15:36
VBASE010.VDF            : 7.10.7.222      2048 Bytes  02/06/2010 13:15:36
VBASE011.VDF            : 7.10.7.223      2048 Bytes  02/06/2010 13:15:36
VBASE012.VDF            : 7.10.7.224      2048 Bytes  02/06/2010 13:15:36
VBASE013.VDF            : 7.10.7.225      2048 Bytes  02/06/2010 13:15:36
VBASE014.VDF            : 7.10.8.6     136704 Bytes  07/06/2010 13:15:36
VBASE015.VDF            : 7.10.8.7       2048 Bytes  07/06/2010 13:15:36
VBASE016.VDF            : 7.10.8.8       2048 Bytes  07/06/2010 13:15:36
VBASE017.VDF            : 7.10.8.9       2048 Bytes  07/06/2010 13:15:36
VBASE018.VDF            : 7.10.8.10      2048 Bytes  07/06/2010 13:15:36
VBASE019.VDF            : 7.10.8.11      2048 Bytes  07/06/2010 13:15:36
VBASE020.VDF            : 7.10.8.12      2048 Bytes  07/06/2010 13:15:36
VBASE021.VDF            : 7.10.8.13      2048 Bytes  07/06/2010 13:15:36
VBASE022.VDF            : 7.10.8.14      2048 Bytes  07/06/2010 13:15:36
VBASE023.VDF            : 7.10.8.15      2048 Bytes  07/06/2010 13:15:36
VBASE024.VDF            : 7.10.8.16      2048 Bytes  07/06/2010 13:15:36
VBASE025.VDF            : 7.10.8.17      2048 Bytes  07/06/2010 13:15:36
VBASE026.VDF            : 7.10.8.18      2048 Bytes  07/06/2010 13:15:36
VBASE027.VDF            : 7.10.8.19      2048 Bytes  07/06/2010 13:15:36
VBASE028.VDF            : 7.10.8.20      2048 Bytes  07/06/2010 13:15:36
VBASE029.VDF            : 7.10.8.21      2048 Bytes  07/06/2010 13:15:36
VBASE030.VDF            : 7.10.8.22      2048 Bytes  07/06/2010 13:15:36
VBASE031.VDF            : 7.10.8.24     62464 Bytes  08/06/2010 13:15:36
Version du moteur       : 8.2.2.6  
AEVDF.DLL               : 8.1.2.0      106868 Bytes  08/06/2010 13:15:37
AESCRIPT.DLL            : 8.1.3.31    1352058 Bytes  08/06/2010 13:15:37
AESCN.DLL               : 8.1.6.1      127347 Bytes  08/06/2010 13:15:37
AESBX.DLL               : 8.1.3.1      254324 Bytes  08/06/2010 13:15:37
AERDL.DLL               : 8.1.4.6      541043 Bytes  08/06/2010 13:15:37
AEPACK.DLL              : 8.2.1.1      426358 Bytes  08/06/2010 13:15:37
AEOFFICE.DLL            : 8.1.1.0      201081 Bytes  08/06/2010 13:15:37
AEHEUR.DLL              : 8.1.1.33    2724214 Bytes  08/06/2010 13:15:36
AEHELP.DLL              : 8.1.11.5     242038 Bytes  08/06/2010 13:15:36
AEGEN.DLL               : 8.1.3.10     377205 Bytes  08/06/2010 13:15:36
AEEMU.DLL               : 8.1.2.0      393588 Bytes  08/06/2010 13:15:36
AECORE.DLL              : 8.1.15.3     192886 Bytes  08/06/2010 13:15:36
AEBB.DLL                : 8.1.1.0       53618 Bytes  08/06/2010 13:15:36
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  08/06/2010 13:15:37
AVREP.DLL               : 8.0.0.7      159784 Bytes  08/06/2010 13:15:37
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  08/06/2010 13:15:34
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  08/06/2010 13:15:34

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : mardi 8 juin 2010  17:35

La recherche d'objets cachés commence.
'37235' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'21' processus ont été contrôlés avec '21' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '73' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\autre\secupdat.dat
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
C:\Documents and Settings\Ktee\secupdat.dat
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
C:\System Volume Information\_restore{7A9834F4-C2C8-4E92-9869-22D7445482F1}\RP40\A0015621.exe
    [RESULTAT]  Contient le cheval de Troie TR/ATRAPS.Gen
C:\System Volume Information\_restore{7A9834F4-C2C8-4E92-9869-22D7445482F1}\RP41\A0015747.exe
    [RESULTAT]  Contient le modèle de détection du ver WORM/Palevo.ncp
C:\WINDOWS\system32\secupdat.dat
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
C:\WINDOWS\system32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\'

Début de la désinfection :
C:\Documents and Settings\autre\secupdat.dat
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c71a403.qua' !
C:\Documents and Settings\Ktee\secupdat.dat
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4daa6804.qua' !
C:\System Volume Information\_restore{7A9834F4-C2C8-4E92-9869-22D7445482F1}\RP40\A0015621.exe
    [RESULTAT]  Contient le cheval de Troie TR/ATRAPS.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3ea3ce.qua' !
C:\System Volume Information\_restore{7A9834F4-C2C8-4E92-9869-22D7445482F1}\RP41\A0015747.exe
    [RESULTAT]  Contient le modèle de détection du ver WORM/Palevo.ncp
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4de148ef.qua' !
C:\WINDOWS\system32\secupdat.dat
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4dad77cc.qua' !


Fin de la recherche : mardi 8 juin 2010  22:10
Temps nécessaire: 37:52 Minute(s)

La recherche a été effectuée intégralement

   4143 Les répertoires ont été contrôlés
 233415 Des fichiers ont été contrôlés
      5 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      5 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 233408 Fichiers non infectés
   7065 Les archives ont été contrôlées
      2 Avertissements
      6 Consignes
  37235 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

al1mal1 · Answer

Le voici :



Avira AntiVir Personal
Date de création du fichier de rapport : mardi 8 juin 2010  17:35

La recherche porte sur 2197547 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : ORDIDEKTEE

Informations de version :
BUILD.DAT               : 9.0.0.75      21698 Bytes  22/01/2010 23:14:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  08/06/2010 13:15:37
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 13:15:35
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 13:15:36
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 13:15:36
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 13:15:36
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 13:15:36
VBASE005.VDF            : 7.10.6.82   2494464 Bytes  15/04/2010 13:15:36
VBASE006.VDF            : 7.10.7.218   2294784 Bytes  02/06/2010 13:15:36
VBASE007.VDF            : 7.10.7.219      2048 Bytes  02/06/2010 13:15:36
VBASE008.VDF            : 7.10.7.220      2048 Bytes  02/06/2010 13:15:36
VBASE009.VDF            : 7.10.7.221      2048 Bytes  02/06/2010 13:15:36
VBASE010.VDF            : 7.10.7.222      2048 Bytes  02/06/2010 13:15:36
VBASE011.VDF            : 7.10.7.223      2048 Bytes  02/06/2010 13:15:36
VBASE012.VDF            : 7.10.7.224      2048 Bytes  02/06/2010 13:15:36
VBASE013.VDF            : 7.10.7.225      2048 Bytes  02/06/2010 13:15:36
VBASE014.VDF            : 7.10.8.6     136704 Bytes  07/06/2010 13:15:36
VBASE015.VDF            : 7.10.8.7       2048 Bytes  07/06/2010 13:15:36
VBASE016.VDF            : 7.10.8.8       2048 Bytes  07/06/2010 13:15:36
VBASE017.VDF            : 7.10.8.9       2048 Bytes  07/06/2010 13:15:36
VBASE018.VDF            : 7.10.8.10      2048 Bytes  07/06/2010 13:15:36
VBASE019.VDF            : 7.10.8.11      2048 Bytes  07/06/2010 13:15:36
VBASE020.VDF            : 7.10.8.12      2048 Bytes  07/06/2010 13:15:36
VBASE021.VDF            : 7.10.8.13      2048 Bytes  07/06/2010 13:15:36
VBASE022.VDF            : 7.10.8.14      2048 Bytes  07/06/2010 13:15:36
VBASE023.VDF            : 7.10.8.15      2048 Bytes  07/06/2010 13:15:36
VBASE024.VDF            : 7.10.8.16      2048 Bytes  07/06/2010 13:15:36
VBASE025.VDF            : 7.10.8.17      2048 Bytes  07/06/2010 13:15:36
VBASE026.VDF            : 7.10.8.18      2048 Bytes  07/06/2010 13:15:36
VBASE027.VDF            : 7.10.8.19      2048 Bytes  07/06/2010 13:15:36
VBASE028.VDF            : 7.10.8.20      2048 Bytes  07/06/2010 13:15:36
VBASE029.VDF            : 7.10.8.21      2048 Bytes  07/06/2010 13:15:36
VBASE030.VDF            : 7.10.8.22      2048 Bytes  07/06/2010 13:15:36
VBASE031.VDF            : 7.10.8.24     62464 Bytes  08/06/2010 13:15:36
Version du moteur       : 8.2.2.6  
AEVDF.DLL               : 8.1.2.0      106868 Bytes  08/06/2010 13:15:37
AESCRIPT.DLL            : 8.1.3.31    1352058 Bytes  08/06/2010 13:15:37
AESCN.DLL               : 8.1.6.1      127347 Bytes  08/06/2010 13:15:37
AESBX.DLL               : 8.1.3.1      254324 Bytes  08/06/2010 13:15:37
AERDL.DLL               : 8.1.4.6      541043 Bytes  08/06/2010 13:15:37
AEPACK.DLL              : 8.2.1.1      426358 Bytes  08/06/2010 13:15:37
AEOFFICE.DLL            : 8.1.1.0      201081 Bytes  08/06/2010 13:15:37
AEHEUR.DLL              : 8.1.1.33    2724214 Bytes  08/06/2010 13:15:36
AEHELP.DLL              : 8.1.11.5     242038 Bytes  08/06/2010 13:15:36
AEGEN.DLL               : 8.1.3.10     377205 Bytes  08/06/2010 13:15:36
AEEMU.DLL               : 8.1.2.0      393588 Bytes  08/06/2010 13:15:36
AECORE.DLL              : 8.1.15.3     192886 Bytes  08/06/2010 13:15:36
AEBB.DLL                : 8.1.1.0       53618 Bytes  08/06/2010 13:15:36
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  08/06/2010 13:15:37
AVREP.DLL               : 8.0.0.7      159784 Bytes  08/06/2010 13:15:37
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  08/06/2010 13:15:34
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  08/06/2010 13:15:34

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : mardi 8 juin 2010  17:35

La recherche d'objets cachés commence.
'37235' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'21' processus ont été contrôlés avec '21' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '73' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\autre\secupdat.dat
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
C:\Documents and Settings\Ktee\secupdat.dat
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
C:\System Volume Information\_restore{7A9834F4-C2C8-4E92-9869-22D7445482F1}\RP40\A0015621.exe
    [RESULTAT]  Contient le cheval de Troie TR/ATRAPS.Gen
C:\System Volume Information\_restore{7A9834F4-C2C8-4E92-9869-22D7445482F1}\RP41\A0015747.exe
    [RESULTAT]  Contient le modèle de détection du ver WORM/Palevo.ncp
C:\WINDOWS\system32\secupdat.dat
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
C:\WINDOWS\system32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\'

Début de la désinfection :
C:\Documents and Settings\autre\secupdat.dat
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c71a403.qua' !
C:\Documents and Settings\Ktee\secupdat.dat
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4daa6804.qua' !
C:\System Volume Information\_restore{7A9834F4-C2C8-4E92-9869-22D7445482F1}\RP40\A0015621.exe
    [RESULTAT]  Contient le cheval de Troie TR/ATRAPS.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3ea3ce.qua' !
C:\System Volume Information\_restore{7A9834F4-C2C8-4E92-9869-22D7445482F1}\RP41\A0015747.exe
    [RESULTAT]  Contient le modèle de détection du ver WORM/Palevo.ncp
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4de148ef.qua' !
C:\WINDOWS\system32\secupdat.dat
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4dad77cc.qua' !


Fin de la recherche : mardi 8 juin 2010  22:10
Temps nécessaire: 37:52 Minute(s)

La recherche a été effectuée intégralement

   4143 Les répertoires ont été contrôlés
 233415 Des fichiers ont été contrôlés
      5 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      5 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 233408 Fichiers non infectés
   7065 Les archives ont été contrôlées
      2 Avertissements
      6 Consignes
  37235 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

al1mal1 · Answer

J'espère que vous allez rester motivés jusqu'au bout... 
Là je dois aller me coucher, je n'en peux plus, ça m'a vanné tous ces problèmes (ajoutés à d'autres, bien évidemment...). 
Merci de continuer à m'aider et à demain !

NicoVA · Answer

Salut !

Ok, peux tu ré-essayer MalwareByte's ? Si sa marche pas dis le moi dans ce cas on avisera.

++

al1mal1 · Answer

J'ai toujours le même symptôme lors de l'installation (c'est grave, docteur ?).
Et la première fenêtre qui s'ouvre lorsque ça plante s'intitule :
"vbAccelerator SGrid II Control"
avec "Erreur d'exécution '0'" et un bouton OK à l'intérieur, 
puis une fenêtre portant le nom du logiciel, avec 
"Erreur d'exécution '440'"...

al1mal1 · Answer

Bonjour à tous ceux qui lisent ce sujet...
Alors, quoi de neuf ? Des idées ?
Je me demande si je n'ai pas intérêt à essayer un point de restauration Windows (suite à lectures sur d'autres forums).
J'attends vos conseils sur le sujet, vos recommandations...
Juste pour rappel, voici les symptômes les plus gênants dont je suis victime :
- navigation sous firefox avec onglets qui s'ouvrent tout seul (mais grâce à noscript j'arrive à réduire un peu la nuisance, que j'aimerai faire disparaître)
- impossible d'installer convenablement Maleware's... ou d'autres outils (toujours cette fenêtre concernant le processeur NVDM).
Encore merci à tous !

NicoVA · Answer

Salut 

1/ Télécharger OTLPEUSBInstall.exe sur ton bureau
Double-clic sur l'exécutable pour extraire et exécuter le programme.
Insère une clé usb avant de poursuivre.

/!\ Attention ta clé usb sera formaté pour la rendre bootable /!\

Lorsque la fenêtre s'ouvrira, sélectionne la clé que tu souhaites formater
Sélectionnes dans la zone Boot Option : XP (NTLDR)
Coches la case : OTLPE_Network.iso
Clic sur le bouton Lancer.
Patiente pendant le formatage et l'installation des fichiers nécessaires pour démarrer OLTPE_Network.
Une fois, terminer ferme le programme

Redémarre ton PC en t'assurant de booter sur la clé usb en modifiant ta séquence de boot (USB-FDD ou USB-HDD)
Pour t'aider regarde ceci : http://www.actual-pc.fr/tuto_bios_boot

Au menu choisir OTLPE Into RAM, Patiente le temps du chargement...

2) Clique sur OTLPE présent sur ton bureau 

3) Répondre Yes à la question

4) Choisissez votre utilisateur

5) Clique sur Run Scan en haut à gauche

=> Patiente le temps du scan puis héberge le rapport sur Ci-joint. Poste le lien du rapport.

A++

al1mal1 · Answer

Bonsoir, alors, plus personne ne s'intéresse à moi ?
Sniff ...
Mon cas est désespéré ?!?
...
Je vais devoir donner mon ordinateur à qqun, ça intéresse ?

al1mal1 · Answer

On avance, doucement, mais on avance...
il faut que je trouve une clé qui ne contient pas des informations, pour la formater.
Pas évident, toutes mes clés servent.
... Mais je vais pouvoir le faire.
En revanche, avant de faire tout ça, et dans la mesure où le PC dont je me sers risque peut-être après de ne plus bien fonctionner (on ne sait jamais), il me manque l'information : où héberger le rapport ???
J'attends la réponse ;-)

al1mal1 · Answer

Enfin un truc qui a eu l'air de bien marcher.
Le rapport est complet, il indique en effet des problèmes dont j'ai oublié de parler.
Ca devrait aider les experts que vous êtes à résoudre mes soucis (et ceux de ceux qui auront les mêmes).
Pour information, j'avais supprimé un fichier qui se lançait à chaque démarrage (suite de lettres aléatoires, du genre ocqtchu.exe), et, comme ça faisait planter mon PC, j'ai recréer un fichier exe vide portant ce nom...
Mais ce n'est qu'un problème parmi tant d'autres (?!?).
Bref, j'héberge le rapport et le poste ci-après.

al1mal1 · Answer

Voici le lien, merci ! 
http://www.cijoint.fr/cjlink.php?file=cj201006/cijlw1IFpf.txt

NicoVA · Answer

Salut :  

--> Relance OTLPE  

--> Quand la fenêtre d'OTLPE apparaît, assure toi que dans la section "Output" (en haut à droite) la case "minimal Output" soit cochée.  

--> Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Custom scan/fixes"  

:OTL  
O4 - HKLM\..\Run: [winl9gg] C:\Documents and Settings\Ktee\Application Data\winl9gg.exe (yupolo)  
O20 - HKU\Ktee_ON_C Winlogon: Shell - (explorer.exe "C:\Documents and Settings\Ktee\ochftuq.exe") - C:\WINDOWS\explorer.exe (Microsoft Corporation)  

:Files  
 C:\Documents and Settings\Ktee\Application Data\winl9gg.exe      

:Commands  
[PURITY]  
[emptytemp]  

--> Cliques sur l'icône "Correction" (en haut à gauche) .  

--> Laisse le scan aller à son terme sans te servir du PC  

--> A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).  

--> Copie et colle le ou les rapports dans ta réponse stp...  

--> Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés  

=====================================  

> Rends toi sur VirusTotal   

-> Affiche les fichiers et dossiers cachés   

-> Upload ces fichiers   
   
C:\WINDOWS\system32\drivers\rbwcuidc.sys   
C:\Documents and Settings\Ktee\ochftuq.exe  
   

-> Copie et colle les liens des rapports dans ta prochaine réponse.  

A+

al1mal1 · Answer

J'essaie ça un peu plus tard, et je poste les résultats...

al1mal1 · Answer

Coucou !!!

Bon, je suis de bonne humeur parce que j'ai réparé pas mal de problèmes.
Tout d'abord, j'ai fait exactement ce que vous m'aviez recommandé plus haut, mais les rapports n'indiquant rien (du genre des 0 partout, et "tout va bien"), je me suis dit : ok, je vais régler ça à la sauvage.
1) je me suis d'abord débarrassé de ma suite de lettres aléatoire qui se lançait au démarrage, en la recherchant dans la base de registre avec regedit, et dès qu'elle apparaissait, je supprimais la ligne correspondante. AUPARAVANT, j'ai passé un coup de CCleaner, histoire de sauvegarder une base de registre, au cas où.
2) idem avec le winl9gg.exe
3) j'ai renouvelé l'opération jusqu'à ce que je ne trouve plus rien.
4) j'ai supprimé le fichier ochftuq.exe (un truc dans le genre, correspondant au 1)) que j'avais créé pour avoir un démarrage "normal".
5) j'ai redémarré, oh miracle, ça marche plutôt pas mal.
6) j'ai utilisé winfilereplace pour restaurer le fichier "regsvr32.exe" apparemment corrompu, et ça a également marché.
7) j'ai désinsintallé Maleware's... puis j'ai REUSSI à le réinstaller normalement (!!!)
8) je lance un scan maintenant, et reprend toutes vos consignes depuis le début du post.

En tout cas, ça avance...

PS : maintenant, mon seul problème ce sont ces onglets qui s'ouvrent intempestivement sous Firefox, alors que j'ai AdBlock et Noscript... ou ces pages qui s'ouvrent à la place de celles que j'ai demandées...

NicoVA · Answer

Salut 

Ok ;)

Poste le rapport de MBAM une fois terminé, pour les pubs intempestives c'est pas un problème ;)

++

al1mal1 · Answer

Premier rapport, en lançant le logiciel Malware's... depuis le bureau (sans rkill avant, en mode normal) :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4196

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14/06/2010 15:46:53
mbam-log-2010-06-14 (15-46-53).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 163662
Temps écoulé: 54 minute(s), 59 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

al1mal1 · Answer

J'ai lancé les mêmes outils (avec Rkill avant) et en mode sans échec. Même résultats. J'ai mis "supprimer la sélection", après.
Maintenant, ça a l'air assez propre...
En tout cas, pour le moment, on dirait que ça fonctionne bien.
Comment je peux en être sûr ?

NicoVA · Answer

Salut

On va faire un point niveau "santé" de ton pc avec ce logiciel de diagnostique :

&#x25B6; Télécharge ZHPDiag

&#x25B6; Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

&#x25B6; Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)

&#x25B6; Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

&#x25B6; Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

A+

al1mal1 · Answer

Je suis désolé mais ça ne marche pas (avec ci-joint), je ne sais pas pourquoi).
Donc je copie-colle ici le contenu du rapport :

Rapport de ZHPDiag v1.25.1436 par Nicolas Coolman, Update du 14/06/2010
Run by Ktee at 15/06/2010 22:43:41
Web site :  http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Contact : nicolascoolman@yahoo.fr

---\ Web Browser
MSIE: Internet Explorer v8.0.6001.18702
MFIE: Mozilla Firefox (3.6.3)

---\ System Information
Platform : Microsoft Windows XP (5.1.2600) Service Pack 3
Processor: x86 Family 6 Model 28 Stepping 2, GenuineIntel
Operating System: 32 Bits
Boot mode: Normal (Normal boot)
Total RAM: 1015 MB (54% free)
System drive C: has 62 GB (85%) free of 72 GB

---\ Logged in mode
Computer Name: ORDIDEKTEE
User Name: Ktee
All Users Names: SUPPORT_388945a0, Ktee, HelpAssistant, autre, Administrateur, 
Unselected Option:  O1,O45,O61,O65
Logged in as Administrator

---\ DOS/Devices
C:\ Hard drive, Flash drive, Thumb drive (Free 62 Go of 72 Go)
D:\ Hard drive, Flash drive, Thumb drive (Free 70 Go of 72 Go)
E:\ CD-ROM drive (Not Inserted)


---\ Security Center & Tools Informations
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiSpywareOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: OK


---\ Processus lancés
[MD5.4F0BED169FAB31EA094A649B0473B5C6] - (.Intel Corporation - igfxTray Module.) -- C:\WINDOWS\system32\igfxtray.exe   [135168]
[MD5.8B0DE4B972DB725FB9D591E69CD236FB] - (.Intel Corporation - hkcmd Module.) -- C:\WINDOWS\system32\hkcmd.exe   [159744]
[MD5.CC632EB3A7D106464E933E7D53883550] - (.Intel Corporation - persistence Module.) -- C:\WINDOWS\system32\igfxpers.exe   [131072]
[MD5.5AEE71F957654D73E0798BBC295DC5A8] - (.ASUSTeK Computer Inc. - Asus Eee PC ACPI Service.) -- C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe   [630784]
[MD5.9474B0F93F8C62A9D4981A4482846402] - (.ASUSTeK Computer Inc. - AsEPCMon.) -- C:\Program Files\EeePC\ACPI\AsEPCMon.exe   [98304]
[MD5.29C8FD8DE192B3A52E7CB7DCECE552AF] - (.ASUSTeK Computer Inc. - Eee PC Tray Utility.) -- C:\Program Files\EeePC\ACPI\AsTray.exe   [118784]
[MD5.BB1F9614D427716D0D9E9FEFC34CC9A4] - (.Synaptics Incorporated - Synaptics TouchPad Enhancements.) -- C:\Program Files\Synaptics\SynTP\SynTPEnh.exe   [1434920]
[MD5.DC522830C2447272A13B3EF898D332B1] - (.Synaptics Incorporated - Asus Custom Acpi Monitor Application.) -- C:\Program Files\Synaptics\SynTP\SynAsusAcpi.exe   [79144]
[MD5.52DB6CDAC5BC7A1FC884E97C41C91213] - (.Sun Microsystems, Inc. - Java(TM) Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe   [248040]
[MD5.0282F454BF380AF26EFC3913C6D435FF] - (.CANON INC. - Canon My Printer.) -- C:\Program Files\Canon\MyPrinter\BJMyPrt.exe   [1983816]
[MD5.223AD0CA4092AEFFE0D0DE25502A3DB6] - (.CANON INC. - CNSLMAIN.) -- C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe   [767312]
[MD5.9BA6A10AB2043A3B5CA742456FDD4B25] - (.CANON INC. - Canon IJ Network Scan Utility.) -- C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe   [136544]
[MD5.33D3A0E487064D4B333452015506F054] - (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.EXE   [17881088]
[MD5.29680A793F690EEF4AAA68479D2A6DF8] - (.Avira GmbH - Antivirus System Tray Tool.) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe   [209153]
[MD5.59DC5BB82E4C8E0B3EADCFDBC44BA6E4] - (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe   [15360]
[MD5.F34E7705751BB413283434697BF8E55D] - (.DT Soft Ltd - DAEMON Tools Lite.) -- C:\Program Files\DAEMON Tools Lite\DTLite.exe   [357696]
[MD5.9015BC03F62940527EC92D45EE89E46F] - (.Avira GmbH - Antivirus Scheduler.) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe   [108289]
[MD5.B8720A787C1223492E6F319465E996CE] - (.Avira GmbH - Antivirus On-Access Service.) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe   [185089]
[MD5.E4BDF223CD75478BF44567B4D5C2634D] - (.Microsoft Corporation - Generic Host Process for Win32 Services.) -- C:\WINDOWS\System32\svchost.exe   [14336]
[MD5.C3FB1D70CB88722267949694BA51759E] - (.Microsoft Corporation - Applications Services et Contrôleur.) -- C:\WINDOWS\system32\services.exe   [111104]
[MD5.1834C96FB1F9280BCF6DDFA6DE8338BF] - (.Sun Microsystems, Inc. - Java(TM) Quick Starter Service.) -- C:\Program Files\Java\jre6\bin\jqs.exe   [153376]
[MD5.91E6024D6D4DCDECDB36C43ECF9BBECB] - (.Microsoft Corporation - LSA Shell (Export Version).) -- C:\WINDOWS\system32\lsass.exe   [13312]
[MD5.D358E077A0A05D9B12DA22D137EE8464] - (.Microsoft Corp. - Microsoft SeaPort Search Enhancement Broker.) -- C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe   [226656]
[MD5.460E4CE148BD07218DA0B6A3D31885A9] - (.Microsoft Corporation - Spooler SubSystem App.) -- C:\WINDOWS\system32\spoolsv.exe   [57856]


---\ Modification d'une valeur Ini (Changed inifile value, mapped to Registry) (F2)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe,


---\ Pages de recherche d'Internet Explorer (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm


---\ Internet Explorer URLSearchHook (R3)
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Microsoft Corporation - Internet Explorer.) (8.00.6001.18904 (longhorn_ie8_gdr.100222-1700)) -- C:\WINDOWS\system32\ieframe.dll


---\ Browser Helper Objects de navigateur (O2)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} . (.Adobe Systems Incorporated - Adobe PDF Helper for Internet Explorer.) -- C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} . (.Skype Technologies S.A. - Skype add-on for IE.) -- C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} . (.Microsoft Corporation - WindowsLiveLogin.dll.) -- C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll


---\ Internet Explorer Toolbars (O3)
O3 - Toolbar: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} . (.Pas de propriétaire - Pas de description.) -- 
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} . (.Pas de propriétaire - ToolBand Module.) -- C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} . (.CANON INC. - Easy-WebPrint EX.) -- C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll

....

al1mal1 · Answer

Je galère avec ci-joint et mon navigateur (peut-être à cause de noscript). Je réessaie demain...

al1mal1 · Answer

J'ai essayé via les 2 liens, et ça ne marche pas, à chaque fois après avoir joint un fichier, il me plante en prétextant un problème de connexion ou de réseau, et le fichier ne fait pourtant que 50 kO environ.

NicoVA · Answer

Bon de toute façon sa doit être OK, suis ceci pour finaliser :

1: Supress'tools

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : 

&#x25B6; Télécharge Supressstools de NicoVA sur ton Bureau 

&#9824; Sous XP : Double-clique sur Supressstools .exe
&#9824; Sous Vista : Fais un clic droit sur Supressstools .exe et sélectionne "Exécuter en tant qu'administrateur"

&#9824; Clique sur Recherche.

&#9824; Clique surSuppression pour finaliser.

&#9824;Copie et colle le rapport qui apparaitra 

&#9824; Clique sur Désinstaller.

Note: Le rapport (Report.txt) se trouve à la racine de votre disque dur (C:\)

------------------------------------------------------------------------

2: Ccleaner

&#x25B6; Télécharge Ccleaner

&#x25B6; Tutorial ICI

------------------------------------------------------------------------

3: Purger la restauration système

&#9824; Sous XP

&#8594; Désactiver la restauration du système

&#9830; Clic droit sur le Poste de travail&#8658;  Propriétés &#8658; Onglet Restauration du système &#8658; coche la case Désactiver la Restauration du système sur tous les lecteurs &#8658; Appliquer &#8658; Ok

&#8594; Ré-activer la restauration du système

&#9830; Suis le même chemin &#8658; décoche la case Désactiver la Restauration du système sur tous les lecteurs &#8658; Appliquer


 &#9824; Sous Vista/Seven

&#8594; Désactiver la restauration du système

&#9830; Clique droit sur Ordinateur &#8658;Propriétés &#8658; Paramètres système avancés &#8658; onglet Protection du Système &#8658;
Décoche tes partitions, un message de confirmation va apparaître  clique sur Désactiver la protection du système  &#8658; Appliquer &#8658; OK. 

&#8594; Ré-activer la restauration du système

&#9830; Suis le même chemin , décoche Désactiver la protection du système
  &#8658; Appliquer
 &#8658; OK. 

 Redemare le PC 

------------------------------------------------------------------------

4: Créer un point de restauration 

 &#8658; Sous XP et VISTA

------------------------------------------------------------------------

6: Mises à Jour importantes

 &#9824; Pour Windows

&#9830; Rends toi ICI

&#9830; Ferme toutes les applications en cours

 &#9824; Télécharge Update Checker

 &#9824; Voici un tutorial pour t'aider


Oublie pas de poster les rapports !

++

al1mal1 · Answer

Ouh là là, c'est un gros boulot ça, je vais m'en occuper demain (ah, on est déjà demain ?).
Bon...
Sinon, Antivir me détecte un trojan dans la protection en temps réel, sous Windows/temp/nomaléatoire.tmp
fichier scvhost.exe (ou même genre).
J'ai beau supprimer, régulièrement un nouveau fichier se créée...

al1mal1 · Answer

Là pour le coup le cheval en question est :
TR/Dldr.Agent.dtdv.3

NicoVA · Answer

Peux tu me refaire un ZHPdiag pour voir l'infection ?

A++

al1mal1 · Answer

Bonjour...
Je suis désolé si je n'ai pas donné de nouvelles depuis longtemps, mais j'avais perdu toute possibilité de connexion à Internet.
Depuis nos derniers échanges, l'ordi a de nouveaux problèmes, une fois connecté à Internet, Avira s'énerve et détecte des problèmes avec certains programmes, que j'ai depuis supprimés.
Seulement désormais, le PC ne se connectait plus en Wi-Fi.
Sous peu, si j'arrive à le refaire fonctionner, un descriptif plus précis des points relevés par les anti-virus, malewares, etc...
A plus !

Tout plein de tout : virus, vers... Help !!!

28 réponses

Votre réponse

Newsletters