virus trojan gen Fermé

Question

Bonjour
Mon ordinateurn est infecté avec le virus win32 trojan-gen. Avast le détecte mais je n'arrive pas à m'en débarasser. POuvez vous m'aider SVP. Voivi le rapport hijack this. je n'y connais rien en informatique mais cela semble necessaire pour trouver une solution. Merci d'avance.
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:24:21, on 05/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE
C:\Program Files\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\kernelwind32.exe
C:\WINDOWS\system32\spoolsvv.exe
C:\WINDOWS\system32\advakcrb.exe
C:\WINDOWS\system32\kbldoc.exe
C:\WINDOWS\WinCore32.exe
C:\WINDOWS\system32\zewlsm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\SBAudigy4\Entertainment Center\RcMan.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe
C:\Windows\xpupdate.exe
C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
C:\Program Files\Palm\Hotsync.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\WINDOWS\system32\cmdixoft.exe
C:\WINDOWS\system32
etffcka.exe
C:\WINDOWS\system32\aspimgr.exe
C:\PROGRA~1\Wanadoo\WOOBRO~1\DownloadManager.exe
C:\Documents and Settings\JCM\Bureau\hijackthis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32
tos.exe,
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - C:\Program Files\Starware370\bin\Starware370.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Starware Toolbar Musique - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Program Files\Starware370\bin\Starware370.dll
O4 - HKLM\..\Run: [CTDVDDET] "C:\Program Files\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKLM\..\Run: [wmlssep] advakcrb.exe
O4 - HKLM\..\Run: [klibinst] C:\WINDOWS\system32\kbldoc.exe
O4 - HKLM\..\Run: [WinCore32.exe] C:\WINDOWS\WinCore32.exe
O4 - HKLM\..\Run: [bcrlt] C:\WINDOWS\system32\zewlsm.exe
O4 - HKLM\..\Run: [mssrv32] c:\windows\system32\mssrv32.exe
O4 - HKLM\..\Run: [svchost.exe] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [opdbcs] C:\WINDOWS\system32\depwmce.exe
O4 - HKLM\..\Run: [wdcmdis] C:\WINDOWS\system32\cmdixoft.exe
O4 - HKLM\..\Run: [blwquest] C:\WINDOWS\system32
etffcka.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\SBAudigy4\Entertainment Center\RcMan.exe
O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
O4 - HKCU\..\Run: [wmlssep] advakcrb.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32
tos.exe
O4 - HKCU\..\Run: [klibinst] C:\WINDOWS\system32\kbldoc.exe
O4 - HKCU\..\Run: [bcrlt] C:\WINDOWS\system32\zewlsm.exe
O4 - HKCU\..\Run: [opdbcs] C:\WINDOWS\system32\depwmce.exe
O4 - HKCU\..\Run: [wdcmdis] C:\WINDOWS\system32\cmdixoft.exe
O4 - HKCU\..\Run: [blwquest] C:\WINDOWS\system32
etffcka.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Program Files\Palm\Hotsync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {3E82BB3F-ABE4-458D-9281-0187286A4E51} (VoxsyncCtrl Class) - https://login.orange.fr/captcha?return_url=https%3A%2F%2Fmescontacts.orange.fr
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://www.118712.fr/sortir/75_paris/sortir/
O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\ubyb.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\ubyb.dll
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\vhosts.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

rudyrital · Answer

Tout d'abord Bonjour et bienvenue sur le forum d'entraide COMMENT CA MARCHE 

Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

mouchel · Answer

Me revoilà. Pour info, Avast au demarrage me signale toujours la présence de trojan gen mais je n'ai plus la croix rouge de windows m'indiquant que mon ordinateur était infecté. J'ai donc supprimé à nouveau le fichier qu'avast me signalit comme infecté. Voici le rapport de l'analyse réalisée en mode sans échec. Me suis je débarassé du virus ou non ? En tous cas merci déjà car cela semble avancer.
mitFraudFix v2.208

Rapport fait à 17:45:12,04, 05/08/2007
Executé à partir de C:\Documents and Settings\JCM\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304B20509}"="DCOM Server 20509"

[HKEY_CLASSES_ROOT\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304B20509}\InProcServer32]
@="C:\WINDOWS\system32\ubyb.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304B20509}\InProcServer32]
@="C:\WINDOWS\system32\ubyb.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
127.0.0.1 www.trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 www.f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\xpupdate.exe supprimé
C:\Documents and Settings\JCM\Application Data\Install.dat supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304B20509}"="DCOM Server 20509"

[HKEY_CLASSES_ROOT\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304B20509}\InProcServer32]
@="C:\WINDOWS\system32\ubyb.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304B20509}\InProcServer32]
@="C:\WINDOWS\system32\ubyb.dll"



»»»»»»»»»»»»»»»»»»»»»»»» Fin

rudyrital · Answer

Télécharge « clean.zip » 
http://www.malekal.com/download/clean.zip 
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ". 

•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ). 
•- Ouvre le dossier « clean » qui se trouve sur ton bureau. 
•- Double-clic sur « clean.cmd ». 
Une fenêtre noire va apparaître, choisis l’option 2. 

Clean va travailler. 
•- Redémarre normalement 
•- Poste qui se trouve ici C:\rapport_clean.txt.


(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )

mouchel · Answer

voivi le rapport
avast continue de détecter le virus au demarrage, pas windows
Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 05/08/2007 a 18:12:29,18 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\system32\kernel???.exe 
tentative de suppression de C:\WINDOWS\system32\kr_done1 
tentative de suppression de C:\WINDOWS\system32
tos.exe 
Impossible de supprimer C:\WINDOWS\system32
tos.exe  
tentative de suppression de C:\WINDOWS\system32\spoolsvv.exe 
tentative de suppression de C:\WINDOWS\system32\winsub.xml 
tentative de suppression de C:\WINDOWS\System32\stfv.bin 
tentative de suppression de C:\WINDOWS\system32\vx.tll 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport !

rudyrital · Answer

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

mouchel · Answer

voici les deux rapports
pour l'instant avast n'a rien détecté au demarrage
merci de me dire si je suis debarassé des virus
SDFix: Version 1.95

Run by JCM on 05/08/2007 at 18:35

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\JCM\Bureau\SDFix

Safe Mode:
Checking Services: 

Name:
aspimgr
msupdate

ImagePath:
C:\WINDOWS\system32\aspimgr.exe 
c:\windows\system32\vhosts.exe 

aspimgr - Deleted
msupdate - Deleted

Killing PID 160 'smss.exe'
Killing PID 236 'winlogon.exe'
Killing PID 236 'winlogon.exe'


Patched tcpip.sys Found!

tcpip.sys File Locations:

C:\WINDOWS\$hf_mig$\KB913446\SP2QFE	cpip.sys
C:\WINDOWS\$NtUninstallKB913446$	cpip.sys
C:\WINDOWS\system32\dllcache	cpip.sys
C:\WINDOWS\system32\drivers	cpip.sys

MD5 Checksum:

[C:\WINDOWS\$hf_mig$\KB913446\SP2QFE	cpip.sys] 5562CC0A47B2AEF06D3417B733F3C195
[C:\WINDOWS\$NtUninstallKB913446$	cpip.sys] 9F4B36614A0FC234525BA224957DE55C
[C:\WINDOWS\system32\dllcache	cpip.sys] 0F2AC6C792CD84AB80FCF1BCBF8B6E1A
[C:\WINDOWS\system32\drivers	cpip.sys] 0F2AC6C792CD84AB80FCF1BCBF8B6E1A


Detected Patched Files Are Listed Below:

C:\WINDOWS\system32\dllcache	cpip.sys
C:\WINDOWS\system32\drivers	cpip.sys

Note: SDFix Does Not Repair This File!

Please Scan All Files Above At VirusTotal!
If No Clean Copies Are Found Download The Below Update To Restore Original Files:

https://docs.microsoft.com/en-us/
 

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service 
Restoring Missing SharedAccess Service 

Rebooting...

Service asc3550u - Deleted after Reboot

Normal Mode:
Checking Files: 

Trojan Files Found:

C:\WINDOWS\SYSTEM32\DLLH8J~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\131856~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\135609~1.DLL - Deleted
C:\WINDOWS\system32\L2F3D.tmp.exe - Deleted
C:\WINDOWS\system32\L6261.tmp.exe - Deleted
C:\DOCUME~1\JCM\LOCALS~1\Temp\_check32.bat  - Deleted
C:\WINDOWSetadpu27.exe  - Deleted
C:\WINDOWS\s32.txt  - Deleted
C:\WINDOWS\system32\1_exception.nls  - Deleted
C:\WINDOWS\system32\aspimgr.exe  - Deleted
C:\WINDOWS\system32\dllh8jkd1q1.exe  - Deleted
C:\WINDOWS\system32\dllh8jkd1q2.exe  - Deleted
C:\WINDOWS\system32\dllh8jkd1q5.exe  - Deleted
C:\WINDOWS\system32\dllh8jkd1q6.exe  - Deleted
C:\WINDOWS\system32\dllh8jkd1q7.exe  - Deleted
C:\WINDOWS\system32\dllh8jkd1q8.exe  - Deleted
C:\WINDOWS\system32\drivers\asc3550u.sys  - Deleted
C:\WINDOWS\system32\help.txt  - Deleted
C:\WINDOWS\system32\max1d1164v.exe  - Deleted
C:\WINDOWS\system32\mssrv32.exe  - Deleted
C:\WINDOWS\system32
tos.exe  - Deleted
C:\WINDOWS\system32\svcp.csv  - Deleted
C:\WINDOWS\system32\vedxg4am1et2.exe  - Deleted
C:\WINDOWS\system32\vedxg6ame4.exe  - Deleted
C:\WINDOWS\system32\vedxga3me2.exe  - Deleted
C:\WINDOWS\system32\vedxga4m1et4.exe  - Deleted
C:\WINDOWS\system32\vhosts.exe  - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll  - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll  - Deleted
C:\WINDOWS\WinCore32.exe  - Deleted
C:\WINDOWS\wpcjmd.log  - Deleted
C:\WINDOWS\ws386.ini  - Deleted


Folder C:\WINDOWS\system32\wsnpoem - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\IncrediMail\bin\IMApp.exe"="C:\Program Files\IncrediMail\bin\IMApp.exe:*:Enabled:IncrediMail"
"C:\Program Files\IncrediMail\bin\IncMail.exe"="C:\Program Files\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail"
"C:\Program Files\IncrediMail\bin\ImpCnt.exe"="C:\Program Files\IncrediMail\bin\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\Program Files\DalianCD\DalianAccueil.exe"="C:\Program Files\DalianCD\DalianAccueil.exe:*:Enabled:LaunchAnywhere GUI"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Program Files\AlertInfo\AlertInfo.exe"="C:\Program Files\AlertInfo\AlertInfo.exe:*:Enabled:FeedReader"
"C:\DOCUME~1\JCM\LOCALS~1\Temp\7.tmp.taras"="C:\DOCUME~1\JCM\LOCALS~1\Temp\7.tmp.taras:*:Enabled:svchost.exe"
"C:\WINDOWS\svchost.exe"="C:\WINDOWS\svchost.exe:*:Enabled:svchost.exe"
"C:\DOCUME~1\JCM\LOCALS~1\Temp\48.tmp.taras"="C:\DOCUME~1\JCM\LOCALS~1\Temp\48.tmp.taras:*:Enabled:svchost.exe"
"C:\DOCUME~1\JCM\LOCALS~1\Temp\9.tmp.taras"="C:\DOCUME~1\JCM\LOCALS~1\Temp\9.tmp.taras:*:Enabled:svchost.exe"
"C:\DOCUME~1\JCM\LOCALS~1\Temp\34.tmp.taras"="C:\DOCUME~1\JCM\LOCALS~1\Temp\34.tmp.taras:*:Enabled:svchost.exe"
"C:\WINDOWS\system32\atlmmmxj.exe"="C:\WINDOWS\system32\atlmmmxj.exe:*:Enabled:Server"
"C:\WINDOWS\system32\netvwvki.exe"="C:\WINDOWS\system32\netvwvki.exe:*:Enabled:Server"
"C:\DOCUME~1\JCM\LOCALS~1\Temp\E.tmp.taras"="C:\DOCUME~1\JCM\LOCALS~1\Temp\E.tmp.taras:*:Enabled:svchost.exe"
"C:\DOCUME~1\JCM\LOCALS~1\Temp\24.tmp.taras"="C:\DOCUME~1\JCM\LOCALS~1\Temp\24.tmp.taras:*:Enabled:svchost.exe"
"C:\WINDOWS\system32\vedxga4m1et4.exe"="C:\WINDOWS\system32\vedxga4m1et4.exe:*:Enabled:enable"
"C:\WINDOWS\explorer.exe"="C:\WINDOWS\explorer.exe:*:Enabled:Explorateur Windows"
"C:\WINDOWS\system32\vedxga3me2.exe"="C:\WINDOWS\system32\vedxga3me2.exe:*:Enabled:msiexe"
"C:\DOCUME~1\JCM\LOCALS~1\Temp\1A.tmp.taras"="C:\DOCUME~1\JCM\LOCALS~1\Temp\1A.tmp.taras:*:Enabled:WinCore32.exe"
"C:\WINDOWS\WinCore32.exe"="C:\WINDOWS\WinCore32.exe:*:Enabled:WinCore32.exe"
"C:\WINDOWS\spooldr.exe"="C:\WINDOWS\spooldr.exe:*:Enabled:enable"
"C:\WINDOWS\system32\cmdixoft.exe"="C:\WINDOWS\system32\cmdixoft.exe:*:Enabled:Server"
"C:\WINDOWS\system32\netffcka.exe"="C:\WINDOWS\system32\netffcka.exe:*:Enabled:Server"
"C:\WINDOWS\system32\spoolsvv.exe"="C:\WINDOWS\system32\spoolsvv.exe:*:Enabled:enable"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\atlmmmxj.exe"="C:\WINDOWS\system32\atlmmmxj.exe:*:Enabled:Server"
"C:\WINDOWS\system32\netvwvki.exe"="C:\WINDOWS\system32\netvwvki.exe:*:Enabled:Server"
"C:\WINDOWS\system32\cmdixoft.exe"="C:\WINDOWS\system32\cmdixoft.exe:*:Enabled:Server"
"C:\WINDOWS\system32\netffcka.exe"="C:\WINDOWS\system32\netffcka.exe:*:Enabled:Server"

Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\JCM\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\WINDOWS\system32\advlpipg.exe
C:\WINDOWS\system32\cmdixoft.exe
C:\WINDOWS\system32\cmdjcdmd.exe
C:\WINDOWS\system32\depwmce.exe
C:\WINDOWS\system32\drvybixe.exe
C:\WINDOWS\system32\kbldoc.exe
C:\WINDOWS\system32
etffcka.exe
C:\WINDOWS\system32
etpdgga.exe
C:\WINDOWS\system32\zewlsm.exe

                                 Finished 


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:46:58, on 05/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE
C:\Program Files\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\kbldoc.exe
C:\WINDOWS\system32\zewlsm.exe
C:\WINDOWS\system32\depwmce.exe
C:\WINDOWS\system32\cmdixoft.exe
C:\WINDOWS\system32
etffcka.exe
C:\WINDOWS\system32
etpdgga.exe
C:\WINDOWS\system32\advlpipg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\SBAudigy4\Entertainment Center\RcMan.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Palm\Hotsync.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\JCM\Bureau\hijackthis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - C:\Program Files\Starware370\bin\Starware370.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Starware Toolbar Musique - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Program Files\Starware370\bin\Starware370.dll
O4 - HKLM\..\Run: [CTDVDDET] "C:\Program Files\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [klibinst] C:\WINDOWS\system32\kbldoc.exe
O4 - HKLM\..\Run: [bcrlt] C:\WINDOWS\system32\zewlsm.exe
O4 - HKLM\..\Run: [opdbcs] C:\WINDOWS\system32\depwmce.exe
O4 - HKLM\..\Run: [wdcmdis] C:\WINDOWS\system32\cmdixoft.exe
O4 - HKLM\..\Run: [blwquest] C:\WINDOWS\system32
etffcka.exe
O4 - HKLM\..\Run: [cseswp] netpdgga.exe
O4 - HKLM\..\Run: [shlsts] advlpipg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\SBAudigy4\Entertainment Center\RcMan.exe
O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [klibinst] C:\WINDOWS\system32\kbldoc.exe
O4 - HKCU\..\Run: [bcrlt] C:\WINDOWS\system32\zewlsm.exe
O4 - HKCU\..\Run: [opdbcs] C:\WINDOWS\system32\depwmce.exe
O4 - HKCU\..\Run: [wdcmdis] C:\WINDOWS\system32\cmdixoft.exe
O4 - HKCU\..\Run: [blwquest] C:\WINDOWS\system32
etffcka.exe
O4 - HKCU\..\Run: [cseswp] netpdgga.exe
O4 - HKCU\..\Run: [shlsts] advlpipg.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Program Files\Palm\Hotsync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {3E82BB3F-ABE4-458D-9281-0187286A4E51} (VoxsyncCtrl Class) - https://login.orange.fr/captcha?return_url=https%3A%2F%2Fmescontacts.orange.fr
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://www.118712.fr/sortir/75_paris/sortir/
O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\ubyb.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\ubyb.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

rudyrital · Answer

* télécharge AVG Anti-Spyware 

avg antispyware
http://www.infos-du-net.com/telecharger/Ewido-Security-Suite,0301-734.html


Tuto : http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

* tu l'installes 

Démarrer AVG antispyware. Cliquer sur "mise à jour", cliquer sur le bouton "Commencer la mise à jour" et attendre la fin de cette mise à jour puis, fermer le programme. 

si tu n'arrives pas à le mettre à jour prends ici les Mise à jour:

http://downloads.ewido.net/avgas-signatures-full-current.exe 



Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 

 relance AVG AS et cliquer sur l'onglet "scanner" puis sur "Analyse complète du système". 
Une fois le scan terminé, il t'affiche un rapport. Cliquer sur "configurer..." en bas a gauche et choisir "supprimer". Ensuite cliquer sur "Appliquer toutes les actions ", ca va supprimer toutes les infections détectées. 
Ensuite cliquer sur "Enregistrer le rapport d'analyse" -> "enregistrer sous" et enregistrer le rapport où bon te semble, afin de me l'envoyer dans ta prochaine réponse. 


Copie Et colle le rapport ici

mouchel · Answer

Après une longue analyse et 47 infections découvertes, cela semble ok. Voici le rapport pour confirmation en espérant que cela soit bon. 
Merci de me le confimer
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	19:51:24 05/08/2007

 + Résultat de l'analyse:	



C:\Documents and Settings\JCM\Mes documents\jean-claude.mouchel\music_fr.exe -> Adware.Comet : Nettoyé.
C:\Program Files\Starware370\Starware370Uninstall.exe -> Adware.Comet : Nettoyé.
C:\Documents and Settings\JCM\Bureau\SDFix\backups\backups.zip/backups/max1d1164v.exe -> Dialer.GBDialer.i : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP238\A0191582.exe -> Dialer.GBDialer.i : Nettoyé.
C:\WINDOWS\system32\drivers\ip6fw.sys -> Downloader.Agent.acl : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\4TUZ81UB\install[1].exe -> Downloader.Agent.bdr : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\UHJ0L4B2\install[1].exe -> Downloader.Agent.bdr : Nettoyé.
C:\Documents and Settings\JCM\Bureau\SDFix\backups\backups.zip/backups/WinCore32.exe -> Downloader.Agent.byh : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP238\A0191592.exe -> Downloader.Agent.byh : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\45EZKPQN\exp1[1].htm -> Downloader.Agent.u : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\45EZKPQN\exp2[1].htm -> Downloader.Agent.u : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\45EZKPQN\exp3[1].htm -> Downloader.Agent.u : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\45EZKPQN\exp4[1].htm -> Downloader.Agent.u : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\49E78PMB\exp1[1].htm -> Downloader.Agent.u : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\49E78PMB\exp2[1].htm -> Downloader.Agent.u : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\49E78PMB\exp3[1].htm -> Downloader.Agent.u : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\49E78PMB\exp4[1].htm -> Downloader.Agent.u : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP233\A0191037.exe -> Downloader.Small.ehu : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP233\A0191076.exe -> Downloader.Small.ehu : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP234\A0191122.exe -> Downloader.Small.ehu : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP234\A0191137.exe -> Downloader.Small.ehu : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP234\A0191164.exe -> Downloader.Small.ehu : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP234\A0191187.exe -> Downloader.Small.ehu : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP234\A0191223.exe -> Downloader.Small.ehu : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP234\A0191253.exe -> Downloader.Small.ehu : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP235\A0191308.exe -> Downloader.Small.ehu : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP236\A0191397.exe -> Downloader.Small.ehu : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP216\A0185837.exe -> Dropper.Small : Nettoyé.
C:\Documents and Settings\JCM\Bureau\SDFix\backups\backups.zip/backups/L2F3D.tmp.exe -> Logger.Banker.cnx : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP238\A0191573.exe -> Logger.Banker.cnx : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\C5I3W5MN\setup_fr[1].exe -> Not-A-Virus.Downloader.Win32.WinFixer.z : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\49E78PMB\winlx[1].exe -> Not-A-Virus.SpamTool.Win32.Agent.u : Nettoyé.
C:\Documents and Settings\JCM\Bureau\SDFix\backups\backups.zip/backups/asc3550u.sys -> Proxy.Agent.mx : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP234\A0191146.exe -> Proxy.Agent.mx : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP234\A0191176.exe -> Proxy.Agent.mx : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP235\A0191304.exe -> Proxy.Agent.mx : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP236\A0191378.sys -> Proxy.Agent.mx : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP237\A0191438.sys -> Proxy.Agent.mx : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP238\A0191503.sys -> Proxy.Agent.mx : Nettoyé.
C:\Documents and Settings\JCM\Bureau\SDFix\backups\backups.zip/backups/vhosts.exe -> Proxy.Ranky.gg : Nettoyé.
C:\System Volume Information\_restore{2428DAD7-F79D-4EBC-8FB8-F7370F16CB02}\RP238\A0191589.exe -> Proxy.Ranky.gg : Nettoyé.
C:\Documents and Settings\JCM\Cookies\jcm@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\JCM\Cookies\jcm@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\JCM\Cookies\jcm@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\JCM\Cookies\jcm@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\B632JRI4\scripts[3].js -> Trojan.Cardst : Nettoyé.
C:\Documents and Settings\JCM\Local Settings\Temporary Internet Files\Content.IE5\B632JRI4\scripts[4].js -> Trojan.Cardst : Nettoyé.
C:\WINDOWS\system32	rz22.tmp -> Trojan.Small : Nettoyé.
C:\WINDOWS\system32	rz23.tmp -> Trojan.Small : Nettoyé.
C:\WINDOWS\system32	rz24.tmp -> Trojan.Small : Nettoyé.
C:\WINDOWS\system32	rz25.tmp -> Trojan.Small : Nettoyé.


Fin du rapport

rudyrital · Answer

fait un scan ici 
https://www.bitdefender.fr/ 

* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
* Dans la nouvelle fenêtre, clique sur j‘accepte
* Accepte le contrôle Active X et Installe le. Le scanner se charge
* La fenêtre change encore, clique sur ’cliquez ici pour scanner’
* Les signatures se chargent, etc. 

tuto en image : 
http://pageperso.aol.fr/rginformatique/mapage/defender.htm 

copie colle le résultat ici

Virus trojan gen

9 réponses

Discussions similaires