Infection Brontok-CE - hijack et rapports

Bonjour,
un ami m'a demandé un coup de main suite à une infection par brontok CE. J'ai suivi qq conseils du forum et il me semble que le virus a disparu, mais l'ordi est vraiment très lent. Qq un peut-il me traduire le hijack ? J'ai aussi passé avast (la 2e fois en mode sans echec), AVG anti spyware, Ccleaner et un fichier nommé brontgui, censé se débarrasser de plusieurs versions de brontok.

Hijack :

Logfile of HijackThis v1.99.1
Scan saved at 16:44:51, on 23/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINXP\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINXP\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe

AVG :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 23:25:53 22/10/2007

+ Résultat de l'analyse:



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé.
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé.
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Erreur lors du nettoyage.
HKU\S-1-5-21-117609710-1606980848-854245398-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé.
C:\System Volume Information\_restore{36E69C3C-BC1B-4A17-B3F4-3FCB47304C85}\RP190\A0126387.exe -> Worm.Brontok.q : Nettoyé.
C:\System Volume Information\_restore{36E69C3C-BC1B-4A17-B3F4-3FCB47304C85}\RP190\A0126388.scr -> Worm.Brontok.q : Nettoyé.
C:\System Volume Information\_restore{36E69C3C-BC1B-4A17-B3F4-3FCB47304C85}\RP190\A0126389.scr -> Worm.Brontok.q : Nettoyé.


Fin du rapport

et enfin brontgui :



RESOLVE Version 1.07
Copyright (c) 2004, Sophos Plc, www.sophos.com

System disinfection for W32/Brontok

Data Version 1.03

System scan started at 00:09 on 23 October 2007

Checking for W32/Brontok in memory

Checking for registry keys affected by W32/Brontok

Reset registry value HKCU\software\microsoft\windows\currentversion\explorer\advanced\HideFileExt

Checking for files affected by W32/Brontok

Scanning C:

Error opening file C:\Documents and Settings\Administrateur\NTUSER.DAT

Error opening file C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat

Error opening file C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Error opening file C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

Error opening file C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

Error opening file C:\Documents and Settings\Administrateur\Cookies\index.dat

Error opening file C:\Documents and Settings\Administrateur\ntuser.dat.LOG

Error opening file C:\resolve.log

Error opening file C:\System Volume Information\_restore{36E69C3C-BC1B-4A17-B3F4-3FCB47304C85}\RP190\change.log

Error opening file C:\WINXP\system32\config\system.LOG

Error opening file C:\WINXP\system32\config\software.LOG

Error opening file C:\WINXP\system32\config\default.LOG

Error opening file C:\WINXP\system32\config\SAM.LOG

Error opening file C:\WINXP\system32\config\SECURITY.LOG

Error opening file C:\WINXP\system32\config\AppEvent.Evt

Error opening file C:\WINXP\system32\config\SecEvent.Evt

Error opening file C:\WINXP\system32\config\SysEvent.Evt

Error opening file C:\WINXP\system32\config\DEFAULT

Error opening file C:\WINXP\system32\config\SECURITY

Error opening file C:\WINXP\system32\config\SOFTWARE

Error opening file C:\WINXP\system32\config\SYSTEM

Error opening file C:\WINXP\system32\config\SAM

Error opening file C:\WINXP\system32\config\Antivirus.Evt

Error opening file C:\WINXP\system32\wbem\Repository\FS\OBJECTS.DATA

Error opening file C:\WINXP\system32\wbem\Repository\FS\INDEX.BTR

Error opening file C:\WINXP\system32\?I?I?³

Error opening file C:\WINXP\system32\?I?I?³

Error opening file C:\WINXP\system32\?I?I?³

Error opening file C:\WINXP\Debug\PASSWD.LOG

Error opening file C:\pagefile.sys


Scanning C:\WINXP

Error opening file C:\WINXP\system32\config\system.LOG

Error opening file C:\WINXP\system32\config\software.LOG

Error opening file C:\WINXP\system32\config\default.LOG

Error opening file C:\WINXP\system32\config\SAM.LOG

Error opening file C:\WINXP\system32\config\SECURITY.LOG

Error opening file C:\WINXP\system32\config\AppEvent.Evt

Error opening file C:\WINXP\system32\config\SecEvent.Evt

Error opening file C:\WINXP\system32\config\SysEvent.Evt

Error opening file C:\WINXP\system32\config\DEFAULT

Error opening file C:\WINXP\system32\config\SECURITY

Error opening file C:\WINXP\system32\config\SOFTWARE

Error opening file C:\WINXP\system32\config\SYSTEM

Error opening file C:\WINXP\system32\config\SAM

Error opening file C:\WINXP\system32\config\Antivirus.Evt

Error opening file C:\WINXP\system32\wbem\Repository\FS\OBJECTS.DATA

Error opening file C:\WINXP\system32\wbem\Repository\FS\INDEX.BTR

Error opening file C:\WINXP\system32\?I?I?³

Error opening file C:\WINXP\system32\?I?I?³

Error opening file C:\WINXP\system32\?I?I?³

Error opening file C:\WINXP\Debug\PASSWD.LOG


Checking for registry keys affected by W32/Brontok

Reset registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

System scan finished at 00:29 on 23 October 2007

Processes found : 0
Processes terminated or disinfected : 0
Registry keys affected : 2
Registry keys changed : 2
Files found : 0
Files deleted : 0


Je les ai lancé dans cet ordre, sachant que plus de 300 fichiers sont dans la zone de quarantaine d'avast. Que dois je en faire ? Les restaurer ? Comment être sûr qu'ils sont désinfectés ?

Merci d'avance,

Cédric