HELP ! un méchant virus trojan-gen win32 [Résolu]

Salut,

--> Télécharge FindyKill (par Chiquitine29) sur ton Bureau.

--> Lance l'installation avec les paramètres par défaut.

--> Double-clique sur le raccourci FindyKill sur ton Bureau.

--> Au menu principal, choisis l'option 1 (Recherche).

--> Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

Bagle qui fait des galipettes la-dedans. ;)

--> Supprime le fichier qui t'a infecté (Crack par exemple).

--> Double-clique sur le raccourci FindyKill sur ton Bureau.

--> Au menu principal, choisis l'option 2 (Suppression).

/!\ Il y aura un redémarrage, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

--> Ensuite, poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

Aie, je crois qu'il est parti et revenu aussitot
à peine fini la désinfection qu'une fenêtre s'est ouverte, se presentant comme un outil de lecture de boite noire !?
pas d'autre solution que de la fermer et je ne sais pas ou elle est.
Comment retrouver cette M...e ?
je poste le rapport
############################## [ FindyKill V4.717 ]

# User : jean thiebaut (Administrateurs) # NOM-2FF949DF057
# Update on 17/02/09 by Chiquitine29
# Start at: 23:34:05 | 23/02/2009

# Intel(R) Pentium(R) M processor 1.80GHz
# Microsoft Windows XP �dition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition 7.0.0.51
[ (!) Disabled | Updated ]

# C:\ # Disque fixe local # FAT32
# D:\ # Disque fixe local # NTFS
# E:\ # Disque CD-ROM (Mon disque) # CDFS
# F:\ # Disque amovible
# G:\ # Disque amovible

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Family Safety\fsssvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Documents and Settings\jean thiebaut\Application Data\Simply Super Software\Trojan Remover\ftp1.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ASUS\NB Probe\NBProbe.exe
C:\Program Files\ASUS\Wireless Console\wcourier.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Windows Live\Family Safety\fsui.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Defenza\pcd-as.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Program Files\eMule\emule.exe
C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files / Folders C:\ ]


################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\system32 ]

Deleted ! - C:\WINDOWS\system32\mdelk.exe
Deleted ! - C:\WINDOWS\system32\wintems.exe
Deleted ! - C:\WINDOWS\system32\ban_list.txt

################## [ C:\WINDOWS\system32\drivers ]

Deleted ! - "C:\WINDOWS\system32\drivers\down"

################## [ C:\.. Application Data ... ]

Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\flec006.exe"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\list.oct"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\data.oct"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\srvlist.oct"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m\shared"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\m"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\srosa2.sys"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\wfsintwq.sys"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers\downld"
Deleted ! - "C:\Documents and Settings\jean thiebaut\Application Data\drivers"

################## [ Registry / Infected keys ]

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\serial
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro

################## [ Cleaning Removable drives ]

# Deleting files :


################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

651cabab C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe
8744e8506969efc11c3912c182cb6001 C:\Documents and Settings\jean thiebaut\Application Data\drivers\winupgro.exe


################## [ ! End of Report # FindyKill V4.717 ! ]

Le truc de la boîte noire, c'est un dropper de Bagle, c'est lui qui installe l'infection.

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

hello,
Plus personne pour tuer mon virus ?
Il est tellement coriace que vous jetez l'éponge ? rassurez moi ...

comment savoir que mes protections sont désactivées

Bonsoir,tu a l'option "désactiver" pour ton pare-feu et ton anti virus...

Retour du lecteur de boite noire aussitôt apres, je suis dégoutée, j'ai l'impression de courir après une bestiole
voila le rapport combofix
ComboFix 09-02-21.01 - jean thiebaut 2009-02-24 0:11:54.1 - [color=red][b]FAT32/b/colorx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.663 [GMT 1:00]
Lancé depuis: c:\documents and settings\jean thiebaut\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\jean thiebaut\Application Data\drivers\downld
c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-23 au 2009-02-23 ))))))))))))))))))))))))))))))))))))
.

2009-02-23 23:41 . 2009-02-23 23:41 <REP> d--h----- c:\documents and settings\jean thiebaut\Application Data\drivers
2009-02-23 23:23 . 2009-02-23 23:23 <REP> d-------- c:\program files\FindyKill
2009-02-23 23:21 . 2009-02-23 23:21 941,088 --a------ c:\program files\FindyKill.exe
2009-02-23 22:57 . 2009-02-23 22:57 268,328 --a------ c:\program files\hijackthis.zip
2009-02-23 22:09 . 2009-02-23 22:09 67,678 --a------ c:\windows\system32\mdelk.exe.vir
2009-02-23 21:20 . 2009-02-23 21:20 <REP> d-------- c:\documents and settings\All Users\Application Data\TEMP
2009-02-23 21:19 . 2009-02-23 21:19 <REP> d-------- c:\program files\Trojan Remover
2009-02-23 21:19 . 2009-02-23 21:19 <REP> d-------- c:\documents and settings\jean thiebaut\Application Data\Simply Super Software
2009-02-23 21:19 . 2009-02-23 21:19 <REP> d-------- c:\documents and settings\All Users\Application Data\Simply Super Software
2009-02-23 21:19 . 2006-05-25 14:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll
2009-02-23 21:19 . 2003-02-02 19:06 153,088 --a------ c:\windows\system32\UNRAR3.dll
2009-02-23 21:19 . 2005-08-26 00:50 77,312 --a------ c:\windows\system32\ztvunace26.dll
2009-02-23 21:19 . 2002-03-06 00:00 75,264 --a------ c:\windows\system32\unacev2.dll
2009-02-23 21:19 . 2006-06-19 12:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll
2009-02-23 07:15 . 2009-02-23 07:15 <REP> d-------- C:\a-squared Anti-Malware
2009-02-22 22:09 . 2009-02-22 22:09 <REP> d--h----- c:\documents and settings\All Users\Application Data\{2BAE6915-8510-4B9F-B498-02DA86258AA0}
2009-02-22 10:01 . 2009-02-22 10:02 <REP> d-------- C:\Nouveau dossier
2009-02-21 15:51 . 2009-02-21 15:51 <REP> d-------- c:\program files\Defenza
2009-02-21 12:28 . 2009-02-21 12:28 <REP> d-------- c:\program files\Panda Security
2009-02-21 09:13 . 2009-02-21 09:13 31,381,288 --a------ c:\program files\setupfre.exe
2009-02-12 03:12 . 1996-08-26 02:12 345,600 -ra------ c:\windows\system\QTIM32.DLL
2009-02-12 03:01 . 2009-02-12 03:01 1,374 --a------ c:\windows\imsins.BAK
2009-02-09 19:36 . 2009-02-09 19:36 <REP> d-------- c:\program files\Norton Security Scan
2009-02-06 19:39 . 2009-02-06 19:39 308,600 --a------ c:\windows\WLXPGSS.SCR
2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a------ c:\windows\system32\sirenacm.dll
2009-02-05 15:33 . 2009-02-05 15:33 507 --a------ c:\windows\WININI.QTW
2009-02-05 15:33 . 2009-02-05 15:37 306 --a------ c:\windows\QTW.INI
2009-02-05 15:33 . 2009-02-05 15:33 231 --a------ c:\windows\SYSINI.QTW
2009-02-05 15:32 . 2009-02-05 15:33 30 --a------ c:\windows\RESULT.QTW
2009-02-04 07:24 . 2009-02-04 07:24 1,014,477 --a------ C:\wrar351.exe
2009-02-03 18:27 . 2009-02-03 18:27 <REP> d-------- c:\documents and settings\jean thiebaut\Application Data\Zeon
2009-02-03 18:27 . 2009-02-03 18:27 <REP> d-------- c:\documents and settings\All Users\Application Data\Zeon
2009-02-03 15:56 . 2009-02-03 15:56 <REP> d-------- c:\program files\Nuance
2009-02-03 15:55 . 2009-02-03 15:55 <REP> d-------- c:\documents and settings\jean thiebaut\Application Data\.oit
2009-02-03 15:55 . 2009-02-03 15:55 32,918 --a------ c:\windows\maxlink.ini
2009-01-31 16:06 . 2006-09-05 11:28 38,480 --------- c:\windows\system32\IJRMF.exe
2009-01-27 10:47 . 2009-01-27 10:47 <REP> d-------- c:\documents and settings\jean thiebaut\Application Data\Arcsoft
2009-01-27 10:04 . 2009-01-27 10:04 <REP> d-------- c:\documents and settings\All Users\Application Data\SSScanWizard
2009-01-27 10:04 . 2009-01-27 10:04 <REP> d-------- c:\documents and settings\All Users\Application Data\SSScanAppDataDir
2009-01-27 09:53 . 1995-07-31 13:44 212,480 --a------ c:\windows\system32\PCDLIB32.DLL
2009-01-27 09:53 . 1996-07-01 00:00 77,312 --a------ c:\windows\system32\TWAIN_32.DLL
2009-01-27 09:44 . 2009-01-27 09:44 <REP> d--h----- C:\CanoScan
2009-01-27 09:44 . 2002-05-24 03:04 389,180 --a------ c:\windows\system32\UCS32P.DLL
2009-01-27 09:44 . 2002-04-12 20:17 339,968 --a------ c:\windows\system32\N067UFW.DLL
2009-01-27 09:44 . 2002-09-27 14:56 69,632 --a------ c:\windows\system32\CNQU70.DLL
2009-01-24 08:36 . 2009-01-24 08:36 <REP> d-------- c:\program files\SweetIM
2009-01-24 08:36 . 2009-01-24 08:36 <REP> d-------- c:\documents and settings\All Users\Application Data\SweetIM

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-05 22:26 642 ----a-w c:\documents and settings\jean thiebaut\Application Data\wklnhst.dat
2009-01-18 19:41 1,630,080 ----a-w c:\program files\Emoticones3D.exe
2009-01-16 20:15 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll
2009-01-13 20:53 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-01-05 22:33 3,751,995 ----a-w c:\windows\system32\GPhotos.scr
2009-01-03 14:38 --------- d-----w c:\documents and settings\jean thiebaut\Application Data\AVS4YOU
2009-01-03 14:37 --------- d-----w c:\documents and settings\All Users\Application Data\AVS4YOU
2009-01-03 14:36 --------- d-----w c:\program files\Fichiers communs\AVSMedia
2009-01-03 14:36 --------- d-----w c:\program files\AVS4YOU
2008-12-24 09:23 --------- d-----w c:\program files\MyBloop
2008-12-24 09:23 --------- d-----w c:\program files\Conduit
2008-12-24 09:23 --------- d-----w c:\program files\BloopLoader
2008-12-23 08:39 --------- d-----w c:\documents and settings\jean thiebaut\Application Data\Canon
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-20 22:47 826,368 ------w c:\windows\system32\dllcache\wininet.dll
2008-12-20 22:47 671,232 ------w c:\windows\system32\dllcache\mstime.dll
2008-12-20 22:47 477,696 ------w c:\windows\system32\dllcache\mshtmled.dll
2008-12-20 22:47 44,544 ------w c:\windows\system32\dllcache\pngfilt.dll
2008-12-20 22:47 233,472 ------w c:\windows\system32\dllcache\webcheck.dll
2008-12-20 22:47 193,024 ------w c:\windows\system32\dllcache\msrating.dll
2008-12-20 22:47 105,984 ------w c:\windows\system32\dllcache\url.dll
2008-12-20 22:47 102,912 ------w c:\windows\system32\dllcache\occache.dll
2008-12-20 22:47 1,160,192 ------w c:\windows\system32\dllcache\urlmon.dll
2008-12-19 09:11 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-12-19 05:25 634,024 ------w c:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23 161,792 ------w c:\windows\system32\dllcache\ieakui.dll
2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys
2008-11-08 21:38 270,128 ----a-w c:\program files\utorrent.exe
2007-08-01 06:18 135,680 ----a-w c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2008-10-01 06:18 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008100120081002\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{8369045e-5ba3-41ad-9551-afe9f4f5207c}"= "c:\program files\MyBloop\tbMyB1.dll" [2009-02-04 1881112]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-10-08 173368]

[HKEY_CLASSES_ROOT\clsid\{8369045e-5ba3-41ad-9551-afe9f4f5207c}]

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8369045e-5ba3-41ad-9551-afe9f4f5207c}]
2009-02-04 13:44 1881112 --a------ c:\program files\MyBloop\tbMyB1.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2008-10-08 12:22 1172792 --a------ c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{8369045e-5ba3-41ad-9551-afe9f4f5207c}"= "c:\program files\MyBloop\tbMyB1.dll" [2009-02-04 1881112]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

[HKEY_CLASSES_ROOT\clsid\{8369045e-5ba3-41ad-9551-afe9f4f5207c}]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{8369045E-5BA3-41AD-9551-AFE9F4F5207C}"= "c:\program files\MyBloop\tbMyB1.dll" [2009-02-04 1881112]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

[HKEY_CLASSES_ROOT\clsid\{8369045e-5ba3-41ad-9551-afe9f4f5207c}]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="c:\windows\ATK0100\HControl.exe" [2005-07-28 102400]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-09-23 7286784]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-12-22 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-12-22 688218]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-05-31 401408]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-06-03 385024]
"ASUS Live Update"="c:\program files\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224]
"NB Probe"="c:\program files\ASUS\NB Probe\NBProbe.exe" [2005-07-27 765952]
"Wireless Console"="c:\program files\ASUS\Wireless Console\wcourier.exe" [2005-07-22 57344]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"BJCFD"="c:\program files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 376912]
"Symantec PIF AlertEng"="c:\program files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2009-02-23 517768]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-13 185896]
"RemoteControl"="c:\program files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-13 136600]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2009-01-13 111928]
"Omnipage"="c:\program files\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2008-05-10 29984]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2008-05-10 46368]
"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-23 81000]
"PCDAS"="c:\program files\Defenza\pcd-as.exe" [2006-12-15 1359872]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-01-19 506712]
"a-squared"="d:\utilitaires\Antivirus\a-squared Anti-Malware\a2guard.exe" [2009-02-23 2784912]
"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2009-02-23 1211784]
"nwiz"="nwiz.exe" [2005-09-23 c:\windows\system32\nwiz.exe]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-03-14 c:\windows\RTHDCPL.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

c:\documents and settings\jean thiebaut\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]
adsl TV.LNK - c:\program files\adslTV\adsltv.exe [2007-10-28 2883584]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
ASUS ChkMail.lnk - c:\program files\ASUS\Asus ChkMail\ChkMail.exe [2006-08-12 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2005-05-31 22:46 110592 c:\program files\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Real\\RealPlayer\\RealPlay.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R0 R592;R592;c:\windows\system32\drivers\R592.sys [2004-10-15 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [2004-10-15 27264]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2008-12-17 55136]
R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
R2 Machnm32;Machnm32 Driver;c:\windows\system32\Machnm32.sys [2007-03-15 2304]
R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
R3 SynMini;USB2.0 1.3M Web Cam;c:\windows\system32\drivers\SynMini.sys [2006-08-12 720438]
R3 SynScan;USB2.0 1.3M Web Cam Still Image;c:\windows\system32\drivers\SynScan.sys [2006-08-12 8246]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys --> c:\windows\system32\drivers\pavboot.sys [?]
S1 aswSP;avast! Self Protection; [x]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys --> c:\windows\system32\DRIVERS\aswFsBlk.sys [?]
S2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [2006-11-03 13592]
S3 k600bus;Sony Ericsson 600i driver (WDM);c:\windows\system32\drivers\k600bus.sys [2006-10-09 52384]
S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;c:\windows\system32\drivers\k600mdfl.sys [2006-10-09 6096]
S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;c:\windows\system32\drivers\k600mdm.sys [2006-10-09 87456]
S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;c:\windows\system32\drivers\k600mgmt.sys [2005-05-11 79248]
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;c:\windows\system32\drivers\k600obex.sys [2005-05-11 77072]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - EAPHOST
*NewlyCreated* - IP6FW

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48428f2c-79f7-11dd-ae81-00166fae1fc2}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe
.
Contenu du dossier 'Tâches planifiées'

2009-02-20 c:\windows\Tasks\Norton Security Scan for jean thiebaut.job
- c:\program files\Norton Security Scan\Nss.exe [2008-12-11 17:49]

2009-02-23 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-MsnMsgr - ~c:\program files\Windows Live\Messenger\msnmsgr.exe
HKCU-Run-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
HKCU-Run-ICTray - c:\program files\Allume Systems\Internet Cleanup 5.0\ICTray.exe
HKLM-Run-avgnt - c:\program files\AntiVir PersonalEdition Classic\avgnt.exe
HKLM-Run-EoClock - (no file)
HKLM-Run-StandardInstall - (no file)
Notify-WgaLogon - (no file)


.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = 127.0.0.1
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-24 00:13:08
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(980)
c:\program files\Intel\Wireless\Bin\LgNotify.dll
.
Heure de fin: 2009-02-24 0:14:14
ComboFix-quarantined-files.txt 2009-02-23 23:14:12

Avant-CF: 6 257 180 672 octets libres
Après-CF: 6,609,666,048 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP �dition familiale" /noexecute=optin /fastdetect

269 --- E O F --- 2009-02-23 22:40:41

/!\ Seul verdeka peut suivre cette procédure. /!\


1/

---> Désinstalle Defenza qui est un rogue.

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
c:\windows\system32\mdelk.exe.vir

Folder::
c:\program files\Defenza
c:\documents and settings\jean thiebaut\Application Data\drivers






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/...

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt

j'ai suivi la procédure mais quand je glisse le dossier sur combofix, rien ne se passe

Ce n'est pas un dossier mais un fichier.

j'ai tout reverifié mais pas de fenetre combofix et rien dans c/combofix (sauf l'ancien rapport)

ou c"est bien un fichier désolée

Bonsoir

Le fichier doit s'appeler CFScript.txt

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau.

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :





:processes
explorer.exe

:files
c:\windows\system32\mdelk.exe.vir
c:\program files\Defenza
c:\documents and settings\jean thiebaut\Application Data\drivers

:commands
[purity]
[emptytemp]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

j'enregistre bien en type : tous les fichiers et le codage ansi ?

Fais la nouvelle procédure ;)

Refais l'option 2 de FindyKill.