Infection Win32:rootkit-gen

Avant tout, merci de vous occuper de moi !

F-secure était sur ma machine à une époque (FAI Wanadoo), mais j'ai changé depuis (FAI Free), donc il ne devrait pas.

Voici le log de navilog1

Un utilisateur suspendu à son clavier

Search Navipromo version 3.5.3 commencé le 14/04/2008 à 16:13:33,03

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Internet"

Mise à jour le 09.04.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Internet\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\Internet\locals~1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\Internet\menudm~1\progra~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Internet\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\Xavier\locals~1\applic~1" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Internet\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\Xavier\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 14/04/2008 à 16:16:37,14 ***

Aie aie aie

Alors pour F-secure, j'ai téléchargé l'uninstall mais son execution est stoppé par mon fameux ecran bleu et reboot.

ComboFix a tourné voir le log ci-dessous.

J'ai essayé Kaspersky et BitDefender, les deux ont eu la même réaction : Ecran bleu et reboot.

C'est grave docteur ?

J'ai essayé en mode sans échec, mais je n'ai plus accès au net (?? C peut être logique ??)

Je ne sais plus quoi faire..

Au secours :)

*********************
Log ComboFIx
***********************


ComboFix 08-04-13.3 - Internet 2008-04-14 16:49:36.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.699 [GMT 2:00]
Endroit: C:\Documents and Settings\Internet\Bureau\KillBagle.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Starware
C:\Documents and Settings\All Users\Application Data\Starware\buttons\games.bmp
C:\Documents and Settings\All Users\Application Data\Starware\buttons\screensaver.bmp
C:\Documents and Settings\All Users\Application Data\Starware\contexts\error.xml
C:\Documents and Settings\All Users\Application Data\Starware\contexts\related.xml
C:\Documents and Settings\All Users\Application Data\Starware\contexts\travel.xml
C:\Documents and Settings\All Users\Application Data\Starware\SimpleUpdate\ProductMessagingConfig.xml
C:\Documents and Settings\All Users\Application Data\Starware\SimpleUpdate\ProductMessagingConfig.xml.backup
C:\Documents and Settings\All Users\Application Data\Starware\SimpleUpdate\SimpleUpdateConfig.xml
C:\Documents and Settings\All Users\Application Data\Starware\SimpleUpdate\SimpleUpdateConfig.xml.backup
C:\Documents and Settings\All Users\Application Data\Starware\SimpleUpdate\TimerManagerConfig.xml
C:\Documents and Settings\All Users\Application Data\Starware\SimpleUpdate\TimerManagerConfig.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware
C:\Documents and Settings\Internet\Application Data\Starware\BrowserSearch\BrowserSearch.xml
C:\Documents and Settings\Internet\Application Data\Starware\BrowserSearch\BrowserSearch.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\ErrorSearch\ErrorSearchOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\ErrorSearch\ErrorSearchOptions.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\Games\GamesOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\Games\GamesOptions.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\Layouts\PreferencesLayout.xml
C:\Documents and Settings\Internet\Application Data\Starware\Layouts\PreferencesLayout.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\Layouts\ToolbarLayout.xml
C:\Documents and Settings\Internet\Application Data\Starware\Layouts\ToolbarLayout.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\Manager\ManagerOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\Manager\ManagerOptions.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\PopupBlocker\PopupBlockerOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\PopupBlocker\PopupBlockerOptions.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\Reference\ReferenceOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\Reference\ReferenceOptions.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\RelatedSearch\RelatedSearchOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\RelatedSearch\RelatedSearchOptions.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\ScreenSavers\ScreenSaversOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\ScreenSavers\ScreenSaversOptions.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\SearchAssistPlus\SearchAssistPlusOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\SearchAssistPlus\SearchAssistPlusOptions.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\SearchMatch\SearchMatchOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\SearchMatch\SearchMatchOptions.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\SmileyTown\SmileyTownOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\SmileyTown\SmileyTownOptions.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\Toolbar\TBProductsOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\Toolbar\TBProductsOptions.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\ToolbarLogo\ToolbarLogoOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\ToolbarLogo\ToolbarLogoOptions.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\ToolbarSearch\ToolbarSearchOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\ToolbarSearch\ToolbarSearchOptions.xml.backup
C:\Documents and Settings\Internet\Application Data\Starware\TravelSearch\TravelSearchOptions.xml
C:\Documents and Settings\Internet\Application Data\Starware\TravelSearch\TravelSearchOptions.xml.backup
C:\Program Files\FunWebProducts
C:\Program Files\screensavers.com
C:\Program Files\screensavers.com\Wallpaper\swpstart.exe
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\dfcabcfbccb2_z.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-03-14 to 2008-04-14 ))))))))))))))))))))))))))))))))))))
.

2008-04-14 16:21 . 2008-04-14 16:21 217,073 --a------ C:\WINDOWS\meta4.exe
2008-04-14 16:12 . 2008-04-14 16:25 <REP> d-------- C:\Program Files\Navilog1
2008-04-14 14:07 . 2008-04-14 14:07 <REP> d-------- C:\Program Files\Trend Micro
2008-04-14 12:04 . 2005-09-04 23:19 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-04-14 12:04 . 2005-09-04 23:19 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-04-14 12:04 . 2005-03-10 21:28 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-04-14 12:04 . 2006-04-15 13:23 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-04-14 12:04 . 2005-09-04 23:19 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-04-14 12:04 . 2005-09-04 23:19 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-04-14 12:04 . 2005-09-04 23:19 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-04-14 12:04 . 2008-04-14 12:04 <REP> d-------- C:\Documents and Settings\Administrateur
2008-04-13 19:58 . 2008-04-13 19:58 <REP> d-------- C:\Program Files\jv16 PowerTools 2008
2008-04-13 19:58 . 2008-04-13 19:58 23 --a------ C:\WINDOWS\system32\daeffafb0_z.ocx
2008-04-13 19:54 . 2008-04-13 19:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\McAfee
2008-04-13 19:47 . 2008-03-29 19:45 1,146,232 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-04-13 19:47 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-04-13 19:47 . 2008-03-29 19:23 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-04-13 19:47 . 2008-03-29 19:35 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-04-13 19:47 . 2008-01-17 17:34 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-04-13 19:47 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys
2008-04-13 19:47 . 2008-03-29 19:27 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-04-13 19:47 . 2008-03-29 19:26 26,944 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-04-13 19:47 . 2008-03-29 19:29 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-04-13 19:47 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys
2008-04-13 19:46 . 2008-04-13 19:46 <REP> d-------- C:\Program Files\Alwil Software
2008-03-23 19:05 . 2008-03-23 19:05 61 ---hs---- C:\WINDOWS\cnerolf.bin
2008-03-23 17:26 . 2008-03-23 17:26 <REP> d-------- C:\Documents and Settings\Internet\Application Data\IVAO
2008-03-23 01:01 . 2008-03-23 01:01 <REP> d-------- C:\Program Files\MSXML 4.0
2008-03-14 00:18 . 2008-04-13 17:26 <REP> d-------- C:\Documents and Settings\Internet\Application Data\teamspeak2

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-14 14:45 --------- d-----w C:\Documents and Settings\Internet\Application Data\BitTorrent
2008-04-14 14:43 --------- d-----w C:\Documents and Settings\Internet\Application Data\DNA
2008-04-14 14:37 --------- d-----w C:\Program Files\Securitoo
2008-04-13 21:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-13 18:11 --------- d-----w C:\Documents and Settings\Xavier\Application Data\OpenOffice.org2
2008-04-03 20:01 --------- d-----w C:\Program Files\audiograbber
2008-04-03 19:09 --------- d-----w C:\Documents and Settings\Internet\Application Data\OpenOffice.org2
2008-03-23 15:26 --------- d-----w C:\Program Files\IVAO
2008-03-22 17:45 --------- d-----w C:\Program Files\EasyPHP 2.0b1
2008-03-22 17:44 --------- d-----w C:\Program Files\CesarFTP
2008-03-22 17:43 --------- d-----w C:\Program Files\eMule
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-16 18:10 --------- d-----w C:\Program Files\Java
2008-03-13 22:18 --------- d-----w C:\Program Files\Teamspeak2_RC2
2008-03-06 17:27 --------- d-----w C:\Documents and Settings\Internet\Application Data\Notepad++
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-17 07:35 --------- d-----w C:\Program Files\Codemasters
2008-02-16 19:10 --------- d-----w C:\Program Files\Alcohol Soft
2008-02-16 19:08 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-02-16 14:23 --------- d-----w C:\Program Files\DNA
2008-02-16 14:23 --------- d-----w C:\Program Files\BitTorrent
2007-01-24 20:53 16 -c--a-w C:\Program Files\install.txt
2006-06-22 18:48 56,441,254 -c--a-w C:\Program Files\openofficeorg3.cab
2006-06-22 18:48 2,356,353 -c--a-w C:\Program Files\openofficeorg4.cab
2006-06-22 18:41 15,222,252 -c--a-w C:\Program Files\openofficeorg2.cab
2006-06-22 18:40 18,631,272 -c--a-w C:\Program Files\openofficeorg1.cab
2006-06-22 18:39 5,231,104 -c--a-w C:\Program Files\openofficeorg20.msi
2006-06-22 18:39 217 -c--a-w C:\Program Files\setup.ini
2006-05-16 19:29 290,816 -c--a-w C:\Program Files\setup.exe
2002-03-11 08:06 1,822,520 -c--a-w C:\Program Files\instmsiw.exe
2002-03-11 07:45 1,708,856 -c--a-w C:\Program Files\instmsia.exe
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-04-12 18:39 288576]
"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" [2007-12-22 09:09 221056]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-12-02 12:21 5427200]
"nwiz"="nwiz.exe" [2004-12-02 12:21 1490944 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-12-02 12:21 86016]
"DeltTray"="DeltTray.exe" [2002-12-06 18:19 56320 C:\WINDOWS\system32\delttray.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-03-14 20:44 77824]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"[webwiz]"="" []
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-08-07 19:42 185632]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

C:\Documents and Settings\Xavier\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.0.lnk - C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 19:42:22 61440]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Cisco Systems VPN Client.lnk - C:\Program Files\Cisco Systems\VPN Client\vpngui.exe [2007-05-01 12:06:58 1466384]
hp psc 1000 series.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 01:17:18 147456]
hpoddt01.exe.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 01:06:58 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\msncall.exe"=
"C:\\Program Files\\FileZilla\\FileZilla.exe"=
"C:\\Program Files\\DNA\\btdna.exe"=
"C:\\Program Files\\BitTorrent\\bittorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5911:TCP"= 5911:TCP:*:Disabled:Worms4
"80:TCP"= 80:TCP:*:Disabled:Worms4
"6667:TCP"= 6667:TCP:Worms4
"28900:TCP"= 28900:TCP:Worms4
"29900:TCP"= 29900:TCP:Worms4
"29901:TCP"= 29901:TCP:Worms4
"5911:UDP"= 5911:UDP:Worms
"6500:UDP"= 6500:UDP:*:Disabled:Worms4
"13139:UDP"= 13139:UDP:Worms4
"27900:UDP"= 27900:UDP:Worms4

R0 iteraid;ITERAID_Service_Install;C:\WINDOWS\system32\DRIVERS\iteraid.sys [2004-06-01 11:19]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 15:23]
S2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;C:\Program Files\Securitoo\av_fw\fswsclds.exe []
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-03-11 13:41]
S3 SQTECH9150;Mini Cam;C:\WINDOWS\system32\Drivers\Capt9150.sys [2004-04-01 17:30]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-14 16:51:14
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-14 16:51:35
ComboFix-quarantined-files.txt 2008-04-14 14:51:33

Pre-Run: 5,752,029,184 octets libres
Post-Run: 5,748,461,568 octets libres
.
2008-04-10 21:27:40 --- E O F ---

Content de savoir qu'il s'est passé qqchose.

Malheureusement j'ai essayé les scans en ligne et il plante (Kaspersky et BitDefender), c-a-d ecran bleu et reboot. Donc je n'ai aucun log. Avast pense toujours que mon "meta.exe" contient un Rootkit.

L'ecran bleu me dit de chagner ma carte graphique ?!? Si vous n'avez pas de proposition, je vais ouvrir la tour et inspecté si une carte n'aurait pas bouger... Sans conviction.

Xavier

Bonjour,

J'ai des reboots intempestifs quand je lance une application un peu gourmande (genre scan antivirus, jeu, Musique, ...).

J'avais déjà posté ici et jlpjlp avait commencé à m'aider. Je n'arrivais plus à poster donc...

Me voici de retour. Le problème est toujours là, mais deux-trois choses ont changé :

- Avast m'avait trouvé un root kit -(gen) dans le fichier meta.exe de /Windows/
- Je suis maintenant avec antivir qui lui ne trouve rien du tout sur l'ensemble mon C:\
- Rien sauf un fichier stpd.sys qu'il ne peut pas ouvrir (donc un warning seulement)

J'ai passé memtest pendant 3 heures hier, aucune faute. J'ai viré toutes les cartes "accessoires", il ne me reste que la carte graphique qu'il faut que je teste chez un pote, bientôt.

Je ne sais pas si je dois reprendre là où j'ai laissé jlpjlp ou pas. Si vous avez des idées...

COmme je sais que tout commence par Hijackthis, voici mon log (Hijackthis est renommé test.Exe sur mon c:\)

Merci

Xavier

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:58:39, on 19/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\DeltTray.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\internet explorer\iexplore.exe
C:\test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

c'est un ficher de ta restauration pour le virer désactive ta restauration puis redemarre puis réactive là
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme