Virus W32/Bagle.QV.worm

[Résolu/Fermé]
Signaler
-
 Dom57 -
Bonjour à tous !

Au secours je suis infecté par le virus W32/Bagle.QV.worm, c'est en tout cas ce que dit un scan rapide fait sur le net.

Je suppose que c'est lui qui m'empêche de lancer mon antivirus (j'ai un message d'erreur comme quoi c'est une application win32 non valide )

Et je ne sait pas si ça a un rapport mais je n'arrive pas à me connecter à mon réseau wifi...


J'ai tenter de faire un scan par HijackThis mais impossible de le lancer (même en mode sans echec) j'ai un message d'erreur qui me dit que ce n'est pas une application win32 valide

Je suis sous vista.

Que faire ?

Merci d'avance !

Nicolas

24 réponses


Re ...
aie !
Je ne m'y connait pas vraiment niveau réseaux =S

Je craint de ne pas pouvoir t'aider plus =/
Il vaudrait mieux à la limite que tu crées un nouveau topic dans le forum Windows ou réseaux.

Vraiment désolé ...
Je ne peut rien faire d'autre
Bonne chance pour la suite :)
+A
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 41989 internautes nous ont dit merci ce mois-ci


Bonsoir à toi ,

Pas de panique :)

Va sur ce site :

http://www.zonavirus.com/datos/descargas/95/elibagla.asp

En bas de cette page tu trouveras un outil à télécharger, clique sur "Descargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe

Vérifie que la case "eliminar ficheros automaticamente" est cochée

Clique sur "explorar" puis laisse-le travailler.

Puis poste moi le rapport situé dans C:\infosat.txt

Bonne chance
A+
Ce soir j'ai finalement désinstallé mon antivirus (AVG) et je l'ai réinstallé, j'ai pu le lancer et faire une analyse antivirus, il m'a détecté une flopée de virus et les as supprimé. Par contre j'ai toujours mon problème de wifi que je ne peut plus activer...

à priori Eliblaga n'a rien trouvé de plus :


Sun Mar 02 23:17:34 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Mar 02 23:17:52 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 742
Nº Total de Ficheros: 5377
Nº de Ficheros Analizados: 801
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Sun Mar 02 23:21:15 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINTEMS.EXE.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.09
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

Sun Mar 02 23:21:20 2008
EliBagle v11.09 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 14210
Nº Total de Ficheros: 107515
Nº de Ficheros Analizados: 12250
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Re , ben si tu es encore infecté.
C'est costaud un bagle ;)

***************************

/!\ Outils très puissant , ne pas reproduire la manip ci-dessous sur son pc sans y avoir été autorisé par une personne comptétente /!\


Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]


Télécharge ComboFix ici → http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Renomme le , tutorial ici , une fois renommé

enregistre le sur le bureau >>> /!\ IMPORTANT /!\

Regardes ici, si tu souhaites te familiariser avec son utilisation: https://www.google.fr/?gws_rd=ssl

AVANT d'utiliser ComboFix :
→ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
→ Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection !!!, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). /!\

Sur ton bureau double clic sur Combofix.exe.
Appuies sur la touche 1, pour que le programme commence à s'exécuter et suis les instructions à l'écran.

/!\ PENDANT TOUTE la durée (ça peut être assez long si le pc est très infecté) du scan de ComboFix, n'ouvres aucun programme, ne touche pas à ta souris et ne surfe pas sur le net /!\

Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).

En cours de nettoyage il est possible, que tu reçoives un avertissement te disant que le pc va redémarrer, laisse le faire.

Après le redemarrage du pc, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle tout son contenu dans ton prochain message.

(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)

Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

Bonne chance
A+

Bonsoir,

Voici le contenu du rapport :

ComboFix 08-03-04.3 - Nicolas 2008-03-04 19:14:53.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.446 [GMT 1:00]
Endroit: C:\Users\Nicolas\Desktop\Comb-Fix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\drivers\down
C:\Windows\system32\drivers\down\1060697.exe
C:\Windows\system32\drivers\down\1071695.exe
C:\Windows\system32\drivers\down\1794963.exe
C:\Windows\system32\drivers\down\1808956.exe
C:\Windows\system32\drivers\down\1874258.exe
C:\Windows\system32\drivers\down\18884467.exe
C:\Windows\system32\drivers\down\1907970.exe
C:\Windows\system32\drivers\down\1908703.exe
C:\Windows\system32\drivers\down\1912416.exe
C:\Windows\system32\drivers\down\196218.exe
C:\Windows\system32\drivers\down\19669682.exe
C:\Windows\system32\drivers\down\198558.exe
C:\Windows\system32\drivers\down\200305.exe
C:\Windows\system32\drivers\down\2147416.exe
C:\Windows\system32\drivers\down\2150068.exe
C:\Windows\system32\drivers\down\2154514.exe
C:\Windows\system32\drivers\down\2158258.exe
C:\Windows\system32\drivers\down\2160925.exe
C:\Windows\system32\drivers\down\2381698.exe
C:\Windows\system32\drivers\down\2384428.exe
C:\Windows\system32\drivers\down\2410168.exe
C:\Windows\system32\drivers\down\2422430.exe
C:\Windows\system32\drivers\down\2447530.exe
C:\Windows\system32\drivers\down\2461071.exe
C:\Windows\system32\drivers\down\2640504.exe
C:\Windows\system32\drivers\down\2640925.exe
C:\Windows\system32\drivers\down\2641299.exe
C:\Windows\system32\drivers\down\2911618.exe
C:\Windows\system32\drivers\down\3250327.exe
C:\Windows\system32\drivers\down\3309982.exe
C:\Windows\system32\drivers\down\4501362.exe
C:\Windows\system32\drivers\down\584488.exe
C:\Windows\system32\drivers\down\742065.exe
C:\Windows\system32\drivers\down\746215.exe
C:\Windows\system32\drivers\down\760052.exe
C:\Windows\system32\drivers\down\77501.exe
C:\Windows\system32\drivers\down\78905.exe
C:\Windows\system32\drivers\down\81214.exe
C:\Windows\system32\drivers\down\81541.exe
C:\Windows\system32\drivers\down\883028.exe
C:\Windows\system32\drivers\down\885524.exe
C:\Windows\system32\drivers\down\887380.exe
C:\Windows\system32\drivers\down\926333.exe
C:\Windows\system32\drivers\down\978017.exe
C:\Windows\system32\drivers\down\984740.exe
C:\Windows\system32\drivers\down\989841.exe
C:\Windows\system32\drivers\down\993445.exe
C:\Windows\system32\drivers\down\996206.exe
C:\Windows\system32\koos.exe
C:\Windows\system32\kprof
C:\Windows\system32\mdelk.exe
C:\Windows\system32\poof
C:\Windows\system32\x64

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_IDSVIX86
-------\LEGACY_SROSA


((((((((((((((((((((((((((((( Fichiers créés 2008-02-04 to 2008-03-04 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-03 20:19 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-03-03 19:51 --------- d-----w C:\Users\Nicolas\AppData\Roaming\AVG7
2008-03-03 19:51 --------- d-----w C:\PROGRA~2\avg7
2008-03-03 19:46 --------- d-----w C:\PROGRA~2\Grisoft
2008-03-02 22:17 50,699 ----a-w C:\ELIBAGLA.09032008.EXE
2008-03-02 22:07 --------- d-----w C:\Program Files\Trend Micro
2008-03-02 20:19 --------- d-----w C:\Program Files\Panda Security
2008-03-02 15:43 --------- d-----w C:\Program Files\Lavasoft
2008-03-02 15:43 --------- d-----w C:\PROGRA~2\Lavasoft
2008-03-02 15:42 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-03-02 15:07 --------- d-----w C:\PROGRA~2\Spybot - Search & Destroy
2008-02-23 20:46 --------- d-----w C:\Program Files\WinamaxPoker
2008-02-17 22:23 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-02-17 22:21 54,784 ----a-w C:\Windows\system32\drivers\i8042prt.sys
2008-02-17 22:21 495,160 ----a-w C:\Windows\system32\drivers\Wdf01000.sys
2008-02-17 22:21 35,384 ----a-w C:\Windows\system32\drivers\WdfLdr.sys
2008-02-17 22:21 35,384 ----a-w C:\Windows\system32\drivers\kbdclass.sys
2008-02-17 22:21 34,360 ----a-w C:\Windows\system32\drivers\mouclass.sys
2008-02-17 22:21 19,968 ----a-w C:\Windows\system32\drivers\sermouse.sys
2008-02-17 22:21 15,872 ----a-w C:\Windows\system32\drivers\mouhid.sys
2008-02-17 22:21 15,872 ----a-w C:\Windows\system32\drivers\kbdhid.sys
2008-02-17 22:19 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-17 22:19 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-02-17 22:19 25,656 ----a-w C:\Windows\system32\drivers\msahci.sys
2008-02-17 22:19 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-17 22:19 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-02-17 22:19 17,464 ----a-w C:\Windows\system32\drivers\intelide.sys
2008-02-17 22:19 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-02-17 22:19 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-02-17 22:18 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-17 22:18 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-17 22:18 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-17 22:18 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-17 22:15 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-01-16 21:58 --------- d-----w C:\Program Files\adslTV
2008-01-16 20:12 --------- d-----w C:\Users\Nicolas\AppData\Roaming\vlc
2008-01-13 10:16 --------- d-----w C:\Program Files\PhotoFiltre
2008-01-09 17:35 --------- d-----w C:\Program Files\Windows Sidebar
2008-01-09 17:35 --------- d-----w C:\Program Files\Windows Mail
2008-01-09 17:29 211,000 ----a-w C:\Windows\system32\drivers\volsnap.sys
2008-01-09 17:29 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-01-07 22:35 --------- d-----w C:\Program Files\Common Files\Adobe
2008-01-07 20:58 --------- d-----w C:\Program Files\DivX
2007-08-30 05:40 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 18:29 1232896]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-06-10 10:15 1006264]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2006-11-06 10:02 98304]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2006-11-06 10:05 106496]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2006-11-06 10:02 81920]
"QPService"="C:\Program Files\HP\QuickPlay\QPService.exe" [2006-12-02 16:32 167936]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-11-06 10:58 159744]
"HP Health Check Scheduler"="C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 12:39 46704]
"WAWifiMessage"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 09:56 317152]
"hpWirelessAssistant"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 09:32 472800]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2006-12-20 07:01 77824]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 08:41 282624]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-03-03 20:46 579072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="%WINDIR%\SMINST\launcher.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-03 20:46 219136]

C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgwlntf]
avgwlntf.dll 2008-03-03 20:47 9216 C:\Windows\System32\avgwlntf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2099350271-2667191645-3060279006-1000]
"EnableNotificationsRef"=dword:00000002

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{B0043770-305B-4FA8-868E-E4576F3A5797}"= UDP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"{4F3925C3-2FFC-4F50-AFE7-067306899C64}"= TCP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"{576A84C2-523D-43E7-93F2-51015831C926}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"TCP Query User{DA699CEC-D9CC-4EB6-AB21-EF770CF6DF03}C:\program files\adsltv\adsltv.exe"= UDP:C:\program files\adsltv\adsltv.exe:adsltv|Desc=adsltv
"UDP Query User{1CE9D147-355F-4E11-A300-0D701EBE67FE}C:\program files\adsltv\adsltv.exe"= TCP:C:\program files\adsltv\adsltv.exe:adsltv|Desc=adsltv
"TCP Query User{89863926-AE2B-4E89-A7C1-357CA9A3FABD}C:\program files\adsltv\adsltv.exe"= UDP:C:\program files\adsltv\adsltv.exe:adsltv|Desc=adsltv
"UDP Query User{1A8DFC7C-9A5E-44F3-9232-84127A1AFC4E}C:\program files\adsltv\adsltv.exe"= TCP:C:\program files\adsltv\adsltv.exe:adsltv|Desc=adsltv
"TCP Query User{9CAEC6DD-2C3F-427C-9592-01ECCCF4805B}C:\program files\emule\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule|Desc=eMule
"UDP Query User{0FDBE59D-8AE2-4939-BD2B-084C68E4BA6E}C:\program files\emule\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule|Desc=eMule
"TCP Query User{7572C780-369A-4249-9068-560B8651F3E7}C:\program files\emule\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule|Desc=eMule
"UDP Query User{B9CAF963-8816-4E06-8DED-B0F262753ABE}C:\program files\emule\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule|Desc=eMule

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R3 AvgWFP;AVG7 Firewall Driver x86;C:\Windows\system32\Drivers\avgwfp.sys [2007-12-20 18:30]
S3 BCM43XV;Pilote de la carte réseau extensible Broadcom 802.11;C:\Windows\system32\DRIVERS\bcmwl6.sys [2007-01-03 14:43]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-04 19:20:52
Windows 6.0.6000 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\conime.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-03-04 19:23:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-04 18:23:17
.
2008-02-29 14:15:31 --- E O F ---

Merci pour ton aide ;)

Re ,

Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

Copie ce texte ( en gras )d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note )


File::
c:\windows\system32\mdelk.exe
C:\WINDOWS\system32\anti_troj.exe
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\WINDOWS\system32\german.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
c:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\SROSA.SYS

Folder::
C:\WINDOWS\system32\drivers\down
C:\QooBox\Quarantine\Registry_backups
C:\Program Files\m

Driver::
drvsyskit
srosa
hldrrr
hidr

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"=-
"german.exe"=-
"mule_st_key"=-
"C:\Documents and Settings\<user>\Application Data\m\flec006.exe"=-
[-HKEY_CURRENT_USER\Software\FirstRRRun]
[-HKEY_CURRENT_USER\SOFTWARE\DateTime4]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
"start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
"start"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa]


Sauvegarde ce fichier sur ton bureau sous le nom de CFScript.txt.



Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

++
Voici le rapport de combofix :

ComboFix 08-03-04.3 - Nicolas 2008-03-04 19:43:16.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.402 [GMT 1:00]
Endroit: C:\Users\Nicolas\Desktop\Comb-Fix.exe
Command switches used :: C:\Users\Nicolas\Desktop\CFScript.txt
* Création d'un nouveau point de restauration

FILE ::
C:\WINDOWS\system32\anti_troj.exe
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
c:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\SROSA.SYS
C:\WINDOWS\system32\german.exe
c:\windows\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\koos.exe
C:\Windows\system32\kprof
C:\Windows\system32\poof

.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-04 to 2008-03-04 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-03 20:19 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-03-03 19:51 --------- d-----w C:\Users\Nicolas\AppData\Roaming\AVG7
2008-03-03 19:51 --------- d-----w C:\PROGRA~2\avg7
2008-03-03 19:46 --------- d-----w C:\PROGRA~2\Grisoft
2008-03-02 22:17 50,699 ----a-w C:\ELIBAGLA.09032008.EXE
2008-03-02 22:07 --------- d-----w C:\Program Files\Trend Micro
2008-03-02 20:19 --------- d-----w C:\Program Files\Panda Security
2008-03-02 15:43 --------- d-----w C:\Program Files\Lavasoft
2008-03-02 15:43 --------- d-----w C:\PROGRA~2\Lavasoft
2008-03-02 15:42 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-03-02 15:07 --------- d-----w C:\PROGRA~2\Spybot - Search & Destroy
2008-02-23 20:46 --------- d-----w C:\Program Files\WinamaxPoker
2008-02-17 22:23 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-02-17 22:21 54,784 ----a-w C:\Windows\system32\drivers\i8042prt.sys
2008-02-17 22:21 495,160 ----a-w C:\Windows\system32\drivers\Wdf01000.sys
2008-02-17 22:21 35,384 ----a-w C:\Windows\system32\drivers\WdfLdr.sys
2008-02-17 22:21 35,384 ----a-w C:\Windows\system32\drivers\kbdclass.sys
2008-02-17 22:21 34,360 ----a-w C:\Windows\system32\drivers\mouclass.sys
2008-02-17 22:21 19,968 ----a-w C:\Windows\system32\drivers\sermouse.sys
2008-02-17 22:21 15,872 ----a-w C:\Windows\system32\drivers\mouhid.sys
2008-02-17 22:21 15,872 ----a-w C:\Windows\system32\drivers\kbdhid.sys
2008-02-17 22:19 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-17 22:19 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-02-17 22:19 25,656 ----a-w C:\Windows\system32\drivers\msahci.sys
2008-02-17 22:19 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-17 22:19 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-02-17 22:19 17,464 ----a-w C:\Windows\system32\drivers\intelide.sys
2008-02-17 22:19 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-02-17 22:19 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-02-17 22:18 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-17 22:18 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-17 22:18 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-17 22:18 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-17 22:15 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-01-16 21:58 --------- d-----w C:\Program Files\adslTV
2008-01-16 20:12 --------- d-----w C:\Users\Nicolas\AppData\Roaming\vlc
2008-01-13 10:16 --------- d-----w C:\Program Files\PhotoFiltre
2008-01-09 17:35 --------- d-----w C:\Program Files\Windows Sidebar
2008-01-09 17:35 --------- d-----w C:\Program Files\Windows Mail
2008-01-09 17:29 211,000 ----a-w C:\Windows\system32\drivers\volsnap.sys
2008-01-09 17:29 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-01-07 22:35 --------- d-----w C:\Program Files\Common Files\Adobe
2008-01-07 20:58 --------- d-----w C:\Program Files\DivX
2007-08-30 05:40 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 18:29 1232896]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-06-10 10:15 1006264]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2006-11-06 10:02 98304]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2006-11-06 10:05 106496]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2006-11-06 10:02 81920]
"QPService"="C:\Program Files\HP\QuickPlay\QPService.exe" [2006-12-02 16:32 167936]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-11-06 10:58 159744]
"HP Health Check Scheduler"="C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 12:39 46704]
"WAWifiMessage"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 09:56 317152]
"hpWirelessAssistant"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 09:32 472800]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2006-12-20 07:01 77824]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 08:41 282624]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-03-03 20:46 579072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="%WINDIR%\SMINST\launcher.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-03 20:46 219136]

C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgwlntf]
avgwlntf.dll 2008-03-03 20:47 9216 C:\Windows\System32\avgwlntf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2099350271-2667191645-3060279006-1000]
"EnableNotificationsRef"=dword:00000002

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{B0043770-305B-4FA8-868E-E4576F3A5797}"= UDP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"{4F3925C3-2FFC-4F50-AFE7-067306899C64}"= TCP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"{576A84C2-523D-43E7-93F2-51015831C926}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"TCP Query User{DA699CEC-D9CC-4EB6-AB21-EF770CF6DF03}C:\program files\adsltv\adsltv.exe"= UDP:C:\program files\adsltv\adsltv.exe:adsltv|Desc=adsltv
"UDP Query User{1CE9D147-355F-4E11-A300-0D701EBE67FE}C:\program files\adsltv\adsltv.exe"= TCP:C:\program files\adsltv\adsltv.exe:adsltv|Desc=adsltv
"TCP Query User{89863926-AE2B-4E89-A7C1-357CA9A3FABD}C:\program files\adsltv\adsltv.exe"= UDP:C:\program files\adsltv\adsltv.exe:adsltv|Desc=adsltv
"UDP Query User{1A8DFC7C-9A5E-44F3-9232-84127A1AFC4E}C:\program files\adsltv\adsltv.exe"= TCP:C:\program files\adsltv\adsltv.exe:adsltv|Desc=adsltv
"TCP Query User{9CAEC6DD-2C3F-427C-9592-01ECCCF4805B}C:\program files\emule\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule|Desc=eMule
"UDP Query User{0FDBE59D-8AE2-4939-BD2B-084C68E4BA6E}C:\program files\emule\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule|Desc=eMule
"TCP Query User{7572C780-369A-4249-9068-560B8651F3E7}C:\program files\emule\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule|Desc=eMule
"UDP Query User{B9CAF963-8816-4E06-8DED-B0F262753ABE}C:\program files\emule\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule|Desc=eMule

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 XAudio;XAudio;C:\Windows\system32\DRIVERS\xaudio.sys [2006-08-04 18:39]
R3 AvgWFP;AVG7 Firewall Driver x86;C:\Windows\system32\Drivers\avgwfp.sys [2007-12-20 18:30]
R3 igfx;igfx;C:\Windows\system32\DRIVERS\igdkmd32.sys [2006-11-06 11:29]
S3 BCM43XV;Pilote de la carte réseau extensible Broadcom 802.11;C:\Windows\system32\DRIVERS\bcmwl6.sys [2007-01-03 14:43]
S3 NETw3v32;Pilote de carte réseau Intel(R) PRO/Wireless 3945ABG pour Windows Vista 32 bits;C:\Windows\system32\DRIVERS\NETw3v32.sys [2006-11-09 10:02]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-04 19:46:55
Windows 6.0.6000 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\conime.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-03-04 19:49:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-04 18:49:28
ComboFix2.txt 2008-03-04 18:23:23
.
2008-02-29 14:15:31 --- E O F ---

Puis le rapport de HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 19:51:38, on 04/03/2008
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_SL.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\Explorer.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Users\Nicolas\Desktop\Hijack-This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll
O20 - Winlogon Notify: igfxcui - C:\Windows\SYSTEM32\igfxdev.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Re !

Lance HijackThis et clique sur "Open misc tools section" Déscends jusqu' a "uninstall HijackThis & exit" clique dessus puis répond ' oui ' à la demande de confirmation.

****************


Télécharge HJT



Place le dans ' C:\programmes\ ' Une fois cela fait , merci de renommer l'icône ( clique droit > renommer )' Hijackthis.exe 'située dans le dossier dans C:\ , en ' HJT.exe ' <<<<<<<<< Important !!! <<<<<<<

Le chemin d'accés du programme doit être ressemblant à celui-ci : C:\Programme\Hijackthis\HJT.exe

-> Ne pas renommer l'icône du raccourci sur le bureau bien entendu ...

Puis lance-le et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport ( qui apparait sur le bloc-note )

Tuto si tu n'y arrive pas : http://pageperso.aol.fr/balltrap34/demohijack.htm

++
Voilà le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:55:55, on 04/03/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\conime.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\Explorer.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Re , avant que je poursuive , j'aimerais savoir si tu as encore des soucis ?
Re, j'ai toujours ce message d'erreur au démarrage de ma session : http://img183.imageshack.us/img183/7153/sanstitre1mq0.jpg

Et je n'arrive toujours pas à activer le wifi.

Merci pour le temps que tu me consacre à résoudre mon problème ;)

Re ,
Tu peux désactiver Windows defender.
Touche Windows+R > msconfig > onglet démarrage > décoche Windows defender > appliquer > ok.
Puis ,
Démarrer > Panneau de configuration > sécurité > Centre de sécurité > ' Modifier la manière dont le centre de sécurité m'avertit > ' Ne pas m'avertir et ne pas afficher l'icône ' ( déconseillé ) ' .

*****************************************

Je fini , on s'occupera plus tard du wifi :)

> Télécharge Cleanup
Lance-le et choisi l'option ' cleanup! '

Tuto: http://pageperso.aol.fr/balltrap34/democleanup.htm ( merci à balltrap34 )

*************************************

Télécharge clean : http://www.malekal.com/download/clean.zip

Une fois téléchargé et dézippé ( clique droit , extraire tout) , lance clean.cmd ( ou clean ), Choisi l'option 1 et poste moi le rapport.(- Où est le rapport clean ? : « Ordinateur » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )

*****************************

bonne chance
A+
cleanup a bien marché mais j'ai l'impression que clean ne marche pas bien, pendant son exécution j'ai ce message d'erreur : http://img510.imageshack.us/img510/453/sanstitre2pg5.jpg

Et au moment de créer le rapport, j'ai ce message : http://img211.imageshack.us/img211/6434/sanstitre1rk4.jpg

Re , OOps !


Désactive l'UAC activé , il peut gener l'execution des programmes de désinfection.

Et réésaye :)
Sa marche ?
A priori il était déjà désactivé (pourtant j'ai toujours la fenêtre qui s'assombrit quand je veux executer certains programmes...)

Et malheureusement, clean ne marche toujours pas :/

Il est désactivé oui ou non ?
Oui la case n'est pas cochée.

Mais il te demande toujours la confirmation quand tu veux lancer certains programmes ? quels programmes ?
Par exemple quand je veux accéder justement au contrôle des comptes d'utilisateurs, il me met l'écran plus sombre dont parle ce site http://www.laboratoire-microsoft.org/tips-23933-desactiver-uac-vista.html alors que la case est décochée quand j'accède à la page...

Re ,

Touche Windows+R > msconfig > onglet ' outil ' > ' désactiver le compte de contrôle d'utilisateur ' ( fleche descendante > appliquer > ok.

redémarre et réésaye.

A+
ça a marché ! Voici le rapport :

04/03/2008 a 22:50:37,80

*** Recherche C:

*** Recherche C:\Windows\

*** Recherche C:\Windows\system32
C:\Windows\system32\wininit.exe FOUND
C:\Windows\system32\wininit.exe FOUND

*** Recherche C:\Program Files
*** End of the report !

Re , ok =)
Tu peux refaire la manip inverse si tu veux retrouver l'UAC ( bien que cela soit plus chiant qu'autre chose ... )

Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

# Double clique sur ToolsCleaner2.exe >
# Clique sur .Recherche
# puis sur Suppression quand la liste est trouvée.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
# Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

Tuto : http://www.commentcamarche.net/faq/sujet 8341 toolscleaner suppression des fix de force brute ( merci espion3004 )

**********************************

Puis , créer un nouveau point de restauration :

https://www.thesiteoueb.net/faq-astuces/fiche-pratique-513-comment-creer-un-point-de-restauration-sous-vista.html

******************************

bonne chance
A+
Oui je m'en passerai de ces messages ^^

Voilà le rapport :

-->- Recherche:

C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\clean\tar.exe: trouvé !
C:\clean\remove.reg: trouvé !
C:\clean\pskill.exe: trouvé !
C:\clean\LFiles.exe: trouvé !
C:\clean\gzip.exe: trouvé !
C:\clean\delsiri.cmd: trouvé !
C:\clean\delr.cmd: trouvé !
C:\clean\del3.cmd: trouvé !
C:\clean\del2.cmd: trouvé !
C:\clean\clean.cmd: trouvé !
C:\clean\cherche.cmd: trouvé !
C:\Program Files\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\QooBox\Quarantine\C\Qoobox: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Betty\Desktop\HijackThis.lnk: trouvé !
C:\Users\Betty\Desktop\HJTInstall.exe: trouvé !
C:\Users\Nicolas\AppData\Local\VirtualStore\Program Files\HijackThis: trouvé !
C:\Users\Nicolas\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: trouvé !
C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Recent\HijackThis.lnk: trouvé !
C:\Users\Nicolas\Desktop\HijackThis.lnk: trouvé !
C:\Users\Nicolas\Desktop\HJTInstall.exe: trouvé !
C:\Users\Nicolas\Desktop\clean\clean\tar.exe: trouvé !
C:\Users\Nicolas\Desktop\clean\clean\remove.reg: trouvé !
C:\Users\Nicolas\Desktop\clean\clean\pskill.exe: trouvé !
C:\Users\Nicolas\Desktop\clean\clean\LFiles.exe: trouvé !
C:\Users\Nicolas\Desktop\clean\clean\gzip.exe: trouvé !
C:\Users\Nicolas\Desktop\clean\clean\delsiri.cmd: trouvé !
C:\Users\Nicolas\Desktop\clean\clean\delr.cmd: trouvé !
C:\Users\Nicolas\Desktop\clean\clean\del3.cmd: trouvé !
C:\Users\Nicolas\Desktop\clean\clean\del2.cmd: trouvé !
C:\Users\Nicolas\Desktop\clean\clean\clean.cmd: trouvé !
C:\Users\Nicolas\Desktop\clean\clean\cherche.cmd: trouvé !

---------------------------------
-->- Suppression:

C:\clean\tar.exe: supprimé !
C:\clean\remove.reg: supprimé !
C:\clean\pskill.exe: supprimé !
C:\clean\LFiles.exe: supprimé !
C:\clean\gzip.exe: supprimé !
C:\clean\delsiri.cmd: supprimé !
C:\clean\delr.cmd: supprimé !
C:\clean\del3.cmd: supprimé !
C:\clean\del2.cmd: supprimé !
C:\clean\clean.cmd: supprimé !
C:\clean\cherche.cmd: supprimé !
C:\Program Files\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Betty\Desktop\HijackThis.lnk: supprimé !
C:\Users\Betty\Desktop\HJTInstall.exe: supprimé !
C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Recent\HijackThis.lnk: supprimé !
C:\Users\Nicolas\Desktop\HijackThis.lnk: supprimé !
C:\Users\Nicolas\Desktop\HJTInstall.exe: supprimé !
C:\Users\Nicolas\Desktop\clean\clean\tar.exe: supprimé !
C:\Users\Nicolas\Desktop\clean\clean\remove.reg: supprimé !
C:\Users\Nicolas\Desktop\clean\clean\pskill.exe: supprimé !
C:\Users\Nicolas\Desktop\clean\clean\LFiles.exe: supprimé !
C:\Users\Nicolas\Desktop\clean\clean\gzip.exe: supprimé !
C:\Users\Nicolas\Desktop\clean\clean\delsiri.cmd: supprimé !
C:\Users\Nicolas\Desktop\clean\clean\delr.cmd: supprimé !
C:\Users\Nicolas\Desktop\clean\clean\del3.cmd: supprimé !
C:\Users\Nicolas\Desktop\clean\clean\del2.cmd: supprimé !
C:\Users\Nicolas\Desktop\clean\clean\clean.cmd: supprimé !
C:\Users\Nicolas\Desktop\clean\clean\cherche.cmd: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\Users\Nicolas\AppData\Local\VirtualStore\Program Files\HijackThis: supprimé !
C:\Users\Nicolas\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: supprimé !

Re , ok.

Bon que reste-t'il de tes problèmes ?

++