[Virus] infection inconnue, demande d'aide.

Question

Bonjour,
Il me semble que j'ai des virus. Depuis plusieurs semaines mon ordinateur rame et je ne parviens pas à trouver de solution. J'ai pourtant essayé plusieurs scan avec différents antivirus ( panda, avast, bitdefender) et des antispyware ( spybot, ad-aware) mais toujours sans succès.
J'aimerais que quelqu'un puisse me venir en aide. 
Voici 2 rapports, l'un de Hijackthis et l'autre réalisé avec Ewido.
Merci.

Logfile of HijackThis v1.99.1
Scan saved at 15:04:57, on 21/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\clement\Bureau\ewido_micro.exe
C:\DOCUME~1\clement\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [limewirepro.exe] c:\limewirepro.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O15 - Trusted Zone: http://*.update.microsoft.com 
O15 - Trusted Zone: http://download.windowsupdate.com
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe


__________________________________________________
ewido anti-spyware online scanner
	https://www.avg.com/en-us/free-antivirus-download
__________________________________________________


Name: TrackingCookie.Smartadserver
Path: :mozilla.6:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: :mozilla.8:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: :mozilla.9:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: :mozilla.10:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: :mozilla.11:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: :mozilla.12:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.13:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt
Risk: Medium

Name: TrackingCookie.Estat
Path: :mozilla.14:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: :mozilla.16:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: :mozilla.25:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt
Risk: Medium

Name: Backdoor.PoisonIvy.j
Path: C:\System Volume Information\_restore{651B81BD-836C-470F-AA6E-4C6F9A986C7A}\RP41\A0024824.exe
Risk: High

Name: Backdoor.Hupigon
Path: C:\System Volume Information\_restore{651B81BD-836C-470F-AA6E-4C6F9A986C7A}\RP46\A0030298.exe
Risk: High

moK´s@ · Answer

salut rapael,

tes points de restaurations sont infectés !
Fais ceci:
tapes ceci dans Démarrer/Exécuter:
%SystemRoot%\System32\restore\rstrui.exe
Paramètres de restauration/Désactivé la restauration sur tous les lecteurs.
Reboot.
Ensuite refais l'inverse, réactive. 

comment faire :

¤Désactive ta restauration système:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique

2
connais tu ce programme?

c:\limewirepro.exe

3

fais ceci :

demarrer>execute>tape services,msc puis arrete le service suivant :

France Telecom Routing Table Service (FTRTSVC) - France Telecom 

puis a l´aide hijack this coche ceci :

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

quitte tes applications et fix/check la ligne suivante.

4

* télécharge AVG Anti-Spyware (ewido)

https://www.avg.com/en-ww/free-antivirus-download
http://www.infos-du-net.com/telecharger/Ewido-Security-Suite,0301-734.html
* tu l'installes

* lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente
si tu n'arrives pas à le mettre à jour prends ici les màj
http://downloads.ewido.net/avgas-signatures-full-current.exe

Sur la page "analyse":
•- tu choisis d'abord l'onglet "paramètres".
- sous « Comment réagir » clic sur « Actions recommandées » et dans le menu déroulant, choisir « Supprimer » 

Copie Et colle le rapport ici 

Ps : une fois le scan terminé tu supprime bien tout ce qu´il a trouvé.

@+

EnergyDrink · Answer

Bien déja il faut que tu supprimes tout les backdoors ! Et quand tu fais une analyse avec Ad Aware et Spybot ils ne te trouve rien à supprimer ? Tu peux essayer également ccleaner ou regcleaner ! En download sur www.telecharger.com [www.telecharger.com ici ] . Regarde à ça et dis nous quoi .

Raphael · Answer

ok merci je me lance

EnergyDrink · Answer

Désolé , c'est pas ton post car c'est un forum , donc tout le monde à accès , de plus tu n'as cas regarder l'heure des postes des messages et tu verras qu'on la posté casi en meme temps ce qui fait que je n'ai pas vu que tu avais répondu ! Désolé , Monsieur " Bill Gates " .

moK´s@ · Answer

re,

Tu as raison sur toute la ligne; dslé de m´etre emporté autant pour moi...

@+

EnergyDrink · Answer

Il y a pas de mal . Mais tu peu m'aider à résoudre le problème il n'y a pas de souci .

Raphael · Answer

je ne suis pas sûr, je sélectionne bien cette ligne :
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

EnergyDrink · Answer

Pour quoi faire ???
Tu as fait les manipulations que je t'ai dis ?

Raphael · Answer

oui je les ai faites et j'en suis à la 3ème étape mais je ne suis pas sûr de la manipulation à faire: est ce bien cette ligne ci qu'il faut fix/check ou une autre?

moK´s@ · Answer

ok je reste la...

oui raphael supprime cette ligne et le service...

Raphael · Answer

ok c'est fait et je continue ce que tu m'as dit de faire...

Raphael · Answer

Voilà j'ai fait tout ce que tu m'avais dit de faire ainsi que l'analyse avec AVG Anti-Spyware comme tu m'avais dit.
Voici le rapport:
:mozilla.13:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.11:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
:mozilla.14:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt -> TrackingCookie.Estat : Aucune action entreprise.
:mozilla.25:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
:mozilla.6:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.8:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.9:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.10:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
:mozilla.12:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.16:C:\Program Files\Wanadoo\Config\Autre utilisateur\Firefox\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.

moK´s@ · Answer

re,

ok tu as bien supprimé ce que avg avait trouvé?

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici

@+

raphael923 · Answer

Comme tu m'as dit   moK´s@ j'ai fait le scan et voici le rapport:
 21/06/2007 a 18:58:58,93 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
C:\WINDOWS\keyboard*.dat FOUND 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\SpoonUninstall.exe FOUND 
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport !

moK´s@ · Answer

re,

Redémarre en mode sans échec  : 

¤Démarre en mode sans échec :
Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5) 

Puis ouvre le dossier clean et ouvre clean.cmd et choisis l'option 2.
Redémarre normalement et poste le log clean. 

2
telecharge :

http://www.techsupportforum.com/sectools/combofix.exe

tu le télécharge sur ton bureau.

desactive ton anti virus et autre protection pas le par feu.

click sur combofix.exe et suis les instructions a l´ecran.

quand il aura terminé il va produire un log, poste le dans ta prochaine reponse.

ps : ne click pas avec ta sourie pendant qu´il effectue le scan et les réparations...

@+

raphael923 · Answer

Voici donc les scan de clean et de combofix:


Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 21/06/2007 a 19:20:02,82 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
tentative de suppression de C:\WINDOWS\keyboard*.dat 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\system32\SpoonUninstall.exe 
tentative de suppression de "C:\WINDOWS\Downloaded Program Files\CONFLICT.1" 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 





((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-20 23:45:49	--------	d-----w	C:\DOCUME~1\clement\APPLIC~1\Lavasoft
2007-06-20 06:30:21	--------	d-----w	C:\DOCUME~1\clement\APPLIC~1\uTorrent
2007-06-08 21:32:11	--------	d-----w	C:\Program Files\AusLogics Disk Defrag
2007-05-19 13:35:50	--------	d-----w	C:\Program Files\Canon
2007-05-18 16:02:58	--------	d-----w	C:\Program Files\Messenger Plus! Live
2007-05-16 15:13:53	683,520	----a-w	C:\WINDOWS\system32\inetcomm.dll
2007-05-07 21:25:35	79,172	----a-w	C:\WINDOWS\system32\perfc00C.dat
2007-05-07 21:25:35	476,478	----a-w	C:\WINDOWS\system32\perfh00C.dat
2007-05-06 20:12:35	--------	d--h--w	C:\Program Files\InstallShield Installation Information
2007-05-06 20:08:57	--------	d-----w	C:\Program Files\ArcSoft
2007-05-06 20:07:49	--------	d-----w	C:\Program Files\Smart Panel
2007-05-06 20:07:42	--------	d-----w	C:\Program Files\epson
2007-05-04 20:48:34	2,516	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
2007-05-04 20:35:21	88	--sh--r	C:\WINDOWS\system32\1606C9654E.sys
2007-05-01 20:56:57	--------	d-----w	C:\Program Files\AvRack
2007-04-30 17:24:47	33,792	----a-w	C:\WINDOWS\system32undll32.exe
2007-04-30 15:46:10	745,600	----a-w	C:\WINDOWS\system32\aswBoot.exe
2007-04-30 15:41:55	85,952	-c--a-w	C:\WINDOWS\system32\drivers\aswmon.sys
2007-04-30 15:41:42	94,552	-c--a-w	C:\WINDOWS\system32\drivers\aswmon2.sys
2007-04-30 15:39:41	23,416	-c--a-w	C:\WINDOWS\system32\drivers\aswRdr.sys
2007-04-30 15:38:51	43,176	-c--a-w	C:\WINDOWS\system32\drivers\aswTdi.sys
2007-04-30 15:37:23	26,888	-c--a-w	C:\WINDOWS\system32\drivers\aavmker4.sys
2007-04-30 15:35:28	95,872	----a-w	C:\WINDOWS\system32\AVASTSS.scr
2007-04-26 08:21:34	72,624	----a-w	C:\WINDOWS\system32\drivers\khips.sys
2007-04-26 08:21:30	302,000	----a-w	C:\WINDOWS\system32\drivers\fwdrv.sys
2007-04-25 14:22:35	144,896	----a-w	C:\WINDOWS\system32\schannel.dll
2007-04-18 16:14:18	2,854,400	----a-w	C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36	33,624	-c--a-w	C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54	1,710,936	----a-w	C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48	549,720	----a-w	C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42	325,976	----a-w	C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36	203,096	----a-w	C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28	92,504	----a-w	C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20	53,080	----a-w	C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20	43,352	----a-w	C:\WINDOWS\system32\wups2.dll
2007-03-21 18:54:16	77,312	----a-w	C:\WINDOWS\system32\TWAIN_32.DLL
2007-03-21 18:54:16	69,632	----a-w	C:\WINDOWS\system32\TWUNK_32.EXE
2007-03-21 18:54:16	48,560	----a-w	C:\WINDOWS\system32\TWUNK_16.EXE
2006-07-05 11:56:38	384	--sh--r	C:\WINDOWS\inf\sdatabl.sav.bin
2005-12-15 17:26:26	56	-csha-r	C:\WINDOWS\system32\AF74CE4634.sys


(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
 
 
*Note* empty entries & legit default entries are not shown 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 04:23]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionunservices]
"limewirepro.exe"=c:\limewirepro.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"=1 (0x1)
"AllowUnhashedWebView"=1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2007-05-30 14:29]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"C-DillaCdaC11BA"=2 (0x2)
"SQLAgent$SONY_MEDIAMGR"=3 (0x3)
"MSSQLServerADHelper"=3 (0x3)
"MSSQL$SONY_MEDIAMGR"=3 (0x3)
"IDriverT"=3 (0x3)
"Adobe LM Service"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"usnjsvc"=3 (0x3)
"aspnet_state"=3 (0x3)
"a2free"=2 (0x2)
"xmlprov"=3 (0x3)
"WMPNetworkSvc"=3 (0x3)
"WmiApSrv"=3 (0x3)
"VSS"=3 (0x3)
"UPS"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"SiSWLSvc"=2 (0x2)
"SCardSvr"=3 (0x3)
"RSVP"=3 (0x3)
"ProtexisLicensing"=2 (0x2)
"Nla"=3 (0x3)
"MDM"=2 (0x2)
"FLEXnet Licensing Service"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"Bonjour Service"=2 (0x2)


Contents of the 'Scheduled Tasks' folder
2007-06-21 18:00:00  C:\WINDOWS	asks\AB6F05A59184BB45.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-21 20:07:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-21 20:10:45 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-21 20:10

	--- E O F ---

moK´s@ · Answer

le rapport combofix n´est pas entier, peux tu le remettre...

raphael923 · Answer

Le voici: ComboFix 07-06-18.2 - C:\Documents and Settings\clement\Bureau\ComboFix.exe "clement" - 2007-06-21 19:32:11 - Service Pack 2 NTFS ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_NWSAPAGENT ------- m -------\NwSapAgent ((((((((((((((((((((((((( Files Created from 2007-05-21 to 2007-06-21 ))))))))))))))))))))))))))))))) 2007-06-21 19:31 49,152 --a------ C:\WINDOWS ircmd.exe 2007-06-21 16:03 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-06-21 11:08 d-------- C:\Program Files\Sunbelt Software 2007-06-21 01:45 d-------- C:\Program Files\Lavasoft 2007-06-20 22:38 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft 2007-06-19 22:14 d-------- C:\Program Files\Free Audio Pack 2007-06-13 17:54 d-------- C:\DOCUME~1\clement\APPLIC~1\Talkback 2007-06-02 10:34 d-------- C:\WINDOWS\MaxTV 2007-06-01 11:43 d-------- C:\DOCUME~1\bruno\APPLIC~1\Talkback 2007-05-29 16:17 d-------- C:\Program Files\JLIP VideoProducer2.0 2007-05-29 16:16 d-------- C:\Program Files\JLIP VideoCapture3.1 2007-05-29 13:24 d----c--- C:\Multimedia Files 2007-05-29 13:23 d-------- C:\Program Files\Microsoft GIF Animator 2007-05-27 21:51 35,328 --a------ C:\WINDOWS\system32\exec2.exe 2007-05-27 16:16 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet 2007-05-27 15:10 d-------- C:\Program Files\Bonjour 2007-05-27 14:45 d-------- C:\Program Files\Fichiers communs\Macrovision Shared 2007-05-26 16:28 d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP 2007-05-24 19:40 15,360 --a------ C:\WINDOWS\system32\inetfr.DLL (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-20 23:45:49 -------- d-----w C:\DOCUME~1\clement\APPLIC~1\Lavasoft 2007-06-20 06:30:21 -------- d-----w C:\DOCUME~1\clement\APPLIC~1\uTorrent 2007-06-08 21:32:11 -------- d-----w C:\Program Files\AusLogics Disk Defrag 2007-05-19 13:35:50 -------- d-----w C:\Program Files\Canon 2007-05-18 16:02:58 -------- d-----w C:\Program Files\Messenger Plus! Live 2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-05-07 21:25:35 79,172 ----a-w C:\WINDOWS\system32\perfc00C.dat 2007-05-07 21:25:35 476,478 ----a-w C:\WINDOWS\system32\perfh00C.dat 2007-05-06 20:12:35 -------- d--h--w C:\Program Files\InstallShield Installation Information 2007-05-06 20:08:57 -------- d-----w C:\Program Files\ArcSoft 2007-05-06 20:07:49 -------- d-----w C:\Program Files\Smart Panel 2007-05-06 20:07:42 -------- d-----w C:\Program Files\epson 2007-05-04 20:48:34 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2007-05-04 20:35:21 88 --sh--r C:\WINDOWS\system32\1606C9654E.sys 2007-05-01 20:56:57 -------- d-----w C:\Program Files\AvRack 2007-04-30 17:24:47 33,792 ----a-w C:\WINDOWS\system32 undll32.exe 2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-04-30 15:41:55 85,952 -c--a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-04-30 15:41:42 94,552 -c--a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-04-30 15:39:41 23,416 -c--a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-04-30 15:38:51 43,176 -c--a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-04-30 15:37:23 26,888 -c--a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2007-04-26 08:21:34 72,624 ----a-w C:\WINDOWS\system32\drivers\khips.sys 2007-04-26 08:21:30 302,000 ----a-w C:\WINDOWS\system32\drivers\fwdrv.sys 2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll 2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-04-16 20:47:36 33,624 -c--a-w C:\WINDOWS\system32\wups.dll 2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-03-21 18:54:16 77,312 ----a-w C:\WINDOWS\system32\TWAIN_32.DLL 2007-03-21 18:54:16 69,632 ----a-w C:\WINDOWS\system32\TWUNK_32.EXE 2007-03-21 18:54:16 48,560 ----a-w C:\WINDOWS\system32\TWUNK_16.EXE 2006-07-05 11:56:38 384 --sh--r C:\WINDOWS\inf\sdatabl.sav.bin 2005-12-15 17:26:26 56 -csha-r C:\WINDOWS\system32\AF74CE4634.sys ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 04:23] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion unservices] "limewirepro.exe"=c:\limewirepro.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"=1 (0x1) "AllowUnhashedWebView"=1 (0x1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2007-05-30 14:29] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "C-DillaCdaC11BA"=2 (0x2) "SQLAgent$SONY_MEDIAMGR"=3 (0x3) "MSSQLServerADHelper"=3 (0x3) "MSSQL$SONY_MEDIAMGR"=3 (0x3) "IDriverT"=3 (0x3) "Adobe LM Service"=3 (0x3) "WmdmPmSN"=3 (0x3) "usnjsvc"=3 (0x3) "aspnet_state"=3 (0x3) "a2free"=2 (0x2) "xmlprov"=3 (0x3) "WMPNetworkSvc"=3 (0x3) "WmiApSrv"=3 (0x3) "VSS"=3 (0x3) "UPS"=3 (0x3) "SysmonLog"=3 (0x3) "SwPrv"=3 (0x3) "SiSWLSvc"=2 (0x2) "SCardSvr"=3 (0x3) "RSVP"=3 (0x3) "ProtexisLicensing"=2 (0x2) "Nla"=3 (0x3) "MDM"=2 (0x2) "FLEXnet Licensing Service"=3 (0x3) "clr_optimization_v2.0.50727_32"=3 (0x3) "Bonjour Service"=2 (0x2) Contents of the 'Scheduled Tasks' folder 2007-06-21 18:00:00 C:\WINDOWS asks\AB6F05A59184BB45.job ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-21 20:07:36 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-21 20:10:45 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-06-21 20:10 --- E O F ---

moK´s@ · Answer

as tu installé le sponssor lors de l´insatllation de messenger plus?

raphael923 · Answer

Je ne sais pas. Je ne suis pas le seul utilisateur de cet ordinateur et personnellement je ne me sers pas de messenger plus. Peux-tu me dire comment savoir si j'ai installé le sponsor ou non?
Merci

moK´s@ · Answer

bah non mais dans le doute fais ceci:

lis ce qui suit et desinstal messenger plus..

Messenger plus est un add-on non officiel à "Messenger MSN", gratuit grâce à la sponsorisation. Malheureusement ils ont choisi comme sponsor, ni plus ni moins, LOP.COM !!!

On le voit à un bouton installé dans la barre et qui porte un nom quelconque, généré aléatoirement, à la volée, de manière à empêcher les anti-spywares de le détecter par la méthode des signatures.

Lop.com est une des pire cochonneries qui s'installent sournoisement sur nos machines, furtif et très difficile à retirer. Son installation se fait en utilisant des noms et des clés de registres générées aléatoirement. Il s'installe, du point de vue technique, partiellement sous la forme d'un Bho hostile dont le nom et la clé de registre sont générés aléatoirement ce qui fait des billions (milliers de millions) de combinaisons possibles. Impossible d'en faire une liste ce qui rend le travail des anti-spywares basés sur des scanners et des listes de signatures, totalement impossible.

Pour éradiquer Messenger Plus, il suffit de passer par le classique panneau de configuration de Windows et, dans ajout/suppression de programmes, il suffit de supprimer (désinstaller)

* Messenger Plus
* Messenger Plus Random Quote Addon


Mais ceci ne supprime pas lop.com.

Il existe un outil pour retirer lop.com, qui traîne encore sur l'ordinateur après éradication de Messenger Plus:

* http://lop.com/toolbar_uninstall.exe


Toutefois il s'agit d'un programme exécutable, qui plus est sur le site de lop.com, ce qui, comme d'habitude, succite un peu de méfiance.

Vous pouvez, ensuite, réinstaller "Messenger Plus" - mais en DECOCHANT la case "sponsor" puisque vous avez le choix.

@+

raphael923 · Answer

J'ai désinstallé messenger plus mais je n'arrive pas à lancer l'outil qui supprime lop.com: lorsque je double clique sur le programme il ne se passe rien...

moK´s@ · Answer

ok
Télécharge NoLop sur ton bureau
---> http://www.spywareedge.net

Double-clic sur NoLop.exe puis clic sur Search and Destroy.
Lorsque l'analyse est finie et si une infection est trouvée, un message apparaîtra pour redémarrer, clic sur OK.
Clic sur REBOOT, un message apparaîtra au redémarrage.
Copie et colle ici le contenu du fichier NoLop.log que tu peux trouver à la racine de ton disque dur principal C:\NoLop.log

raphael923 · Answer

Et voilà le résultat:

NoLop! Log by Skate_Punk_21

Fix running from: C:\Documents and Settings\clement\Bureau
[21/06/2007]
[21:44:13]

---Infection Files Found/Removed---
C:\WINDOWS	asks\AB6F05A59184BB45.job

Beginning Removal...
Rebooting...
Removing Lop's Leftover Files/Folders...
Editing Registry...
**Fix Complete!**

---Listing AppData sub directories---

C:\Documents and Settings\All Users\Application Data\Adobe
C:\Documents and Settings\All Users\Application Data\Adobe Systems
C:\Documents and Settings\All Users\Application Data\Corel
C:\Documents and Settings\All Users\Application Data\Dvd Shrink
C:\Documents and Settings\All Users\Application Data\Flexnet
C:\Documents and Settings\All Users\Application Data\Google
C:\Documents and Settings\All Users\Application Data\Grisoft
C:\Documents and Settings\All Users\Application Data\Lavasoft
C:\Documents and Settings\All Users\Application Data\Microsoft
C:\Documents and Settings\All Users\Application Data\Pinnacle
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Application Data\Temp  -- EMPTY Directory
C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage
C:\Documents and Settings\Bruno\Application Data\Abbyy
C:\Documents and Settings\Bruno\Application Data\Adobe
C:\Documents and Settings\Bruno\Application Data\Adobeum  -- EMPTY Directory
C:\Documents and Settings\Bruno\Application Data\Arcsoft
C:\Documents and Settings\Bruno\Application Data\Epson
C:\Documents and Settings\Bruno\Application Data\Google
C:\Documents and Settings\Bruno\Application Data\Help
C:\Documents and Settings\Bruno\Application Data\Identities
C:\Documents and Settings\Bruno\Application Data\Macromedia
C:\Documents and Settings\Bruno\Application Data\Microsoft
C:\Documents and Settings\Bruno\Application Data\Microsoft Web Folders  -- EMPTY Directory
C:\Documents and Settings\Bruno\Application Data\Mozilla
C:\Documents and Settings\Bruno\Application Data\Real
C:\Documents and Settings\Bruno\Application Data\Sun
C:\Documents and Settings\Bruno\Application Data\Talkback
C:\Documents and Settings\Bruno\Application Data\U3
C:\Documents and Settings\Bruno\Application Data\Utorrent
C:\Documents and Settings\Bruno\Application Data\Vlc
C:\Documents and Settings\Clement\Application Data\Abbyy
C:\Documents and Settings\Clement\Application Data\Adobe
C:\Documents and Settings\Clement\Application Data\Adobeum
C:\Documents and Settings\Clement\Application Data\Arcsoft
C:\Documents and Settings\Clement\Application Data\Bittorrent
C:\Documents and Settings\Clement\Application Data\Epson
C:\Documents and Settings\Clement\Application Data\Google
C:\Documents and Settings\Clement\Application Data\Grisoft
C:\Documents and Settings\Clement\Application Data\Help  -- EMPTY Directory
C:\Documents and Settings\Clement\Application Data\Identities
C:\Documents and Settings\Clement\Application Data\Lavasoft
C:\Documents and Settings\Clement\Application Data\Leadertech
C:\Documents and Settings\Clement\Application Data\Macromedia
C:\Documents and Settings\Clement\Application Data\Media Player Classic
C:\Documents and Settings\Clement\Application Data\Microsoft
C:\Documents and Settings\Clement\Application Data\Mozilla
C:\Documents and Settings\Clement\Application Data\Real
C:\Documents and Settings\Clement\Application Data\Talkback
C:\Documents and Settings\Clement\Application Data\U3
C:\Documents and Settings\Clement\Application Data\Utorrent
C:\Documents and Settings\Clement\Application Data\Vlc
C:\Documents and Settings\Default User\Application Data\Microsoft
C:\Documents and Settings\Localservice\Application Data\Microsoft
C:\Documents and Settings\Networkservice\Application Data\Microsoft

moK´s@ · Answer

re,

Va sur ce lien et télécharge Blacklight(de F-Secure) :
< https://www.f-secure.com/en > et sauvegarde le sur ton Bureau
Consulte le tuto de Malekal_morte ici :
< https://www.malekal.com/tutorial-f-secure-blacklight/ >
Tu suis le tuto pour la phase 1 (scan) et tu postes le rapport de blacklight dans ta réponse.
@+

raphael923 · Answer

Ca y est j'ai terminé le scan mais Blacklight n'a rien trouvé.

raphael923 · Answer

le scan:

06/21/07 22:05:13 [Info]: BlackLight Engine 1.0.64 initialized
06/21/07 22:05:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/21/07 22:05:13 [Note]: 7019 4
06/21/07 22:05:13 [Note]: 7005 0
06/21/07 22:05:23 [Note]: 7006 0
06/21/07 22:05:23 [Note]: 7011 1696
06/21/07 22:05:23 [Note]: 7026 0
06/21/07 22:05:24 [Note]: 7026 0
06/21/07 22:05:29 [Note]: FSRAW library version 1.7.1022
06/21/07 22:11:11 [Note]: 2000 1012
06/21/07 22:11:11 [Note]: 2000 1012
06/21/07 22:13:40 [Note]: 7007 0

moK´s@ · Answer

bon je pense que c´est ok...

t´en pense quoid, enfin qu´en pense ton pc?

@+

raphael923 · Answer

Tout d'abord je tiens à te remercier pour ta patience et le temps que tu m'as accordé. Cependant mon ordinateur rame toujours mais je pense alors que c'est peut-être dû à un trop grand nombre de tâches lancées...
J'ai vu que malekal avait aussi édité un tutorial pour la désinstallation de virus je vais aussi y jeter un coup d'oeil.
Sinon a tu une idée d'où est-ce que le ralentissement de l'ordinateur pourrait provenir?
Merci encore moK´s@.

moK´s@ · Answer

re,

de rien,

post un hijack this on va virer des entrées au demarrage et puis sinon une defragmentation ne fait pas de mal...

@+

nanozyp · Answer

salut tlm :)  enfète a place d'utiliger des antivirus comme AVG, ETC... ou des programme comme Ad Aware, Spybot ou tous les autre trucs du genre qui laisse passer nimporte quoi, utiliser Kaspersky internet security 6 (ou les version suivante), cest le meilleur anti-virus de tous ceux que jai essayer...et jen é essayer beaucoup, le problème avec kaspersky cest seulment qui prend beaucoup de puissance pour le faire fonctionner a fond mais sa fait 3 ans que je l'utilise et je ne me suis jamais fait infecter et croyer moi jai essayer de me faire infecter et sans résultat^^ en bref il est le meilleur de tous...mais si vous en connaisser un meilleur faite moi signe ;)

@+ tlm

[Virus] infection inconnue, demande d'aide. - Page 2

Discussions similaires

Newsletters