Je précise qu'msn fix n'a rien trouvé :s

Bonjour,


1) Il y a une barre d'outil néfaste sur ton ordinateur (SearchSettings)...
Lors de l'installation de programmes gratuits, il faut lire attentivement et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outil !


Télécharge Toolbar-S&D (Team IDN) sur ton Bureau : http://eric.71.mespages.googlepages.com/ToolBarSD.exe

• Lance l'installation du programme en exécutant le fichier téléchargé.
• Double-clique maintenant sur le raccourci de Toolbar-S&D.
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
• Choisis maintenant l'option 2 (Suppression). Patiente jusqu'à la fin de la recherche.
• Poste le rapport généré. (C:\TB.txt)



2) Il y a aussi des traces de l'infection MSN

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

• Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
• Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur, puis tapote sur la touche F8 (F5 sur certains PC) juste avant l’apparition du logo Windows. Un menu va apparaître, tu devra choisir de démarrer en mode sans échec. Ouvre ensuite ta session habituelle (si nécessaire) et ne t'inquiète pas si les couleurs et la taille des icônes changent par rapport à d'habitude.

• Puis, ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script et laisse toi guider.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Le rapport SDFix s'ouvrira alors à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

Attendez 24h pour reposter si vous n'avez pas de réponse.
Restez jusqu'à confirmation que l'ordinateur est désinfecté !

Bonjour
tient il refait son apparition de nouveau ce virus MSN photo !
on en n'avais plus entendu parler, depuis X temps ! Qui aime l'instruction ! trouve la connaissance qui vient de la réflexion !

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.40GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Isabelle ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:5 Go)
E:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 31/03/2009|10:28 )

-----------\\ SUPPRESSION

Supprime! - C:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf
Supprime! - C:\DOCUME~1\Isabelle\APPLIC~1\Search Settings\kb127
Supprime! - C:\Program Files\Search Settings\kb127
Supprime! - C:\Program Files\Search Settings\SearchSettings.exe
Supprime! - C:\DOCUME~1\Isabelle\APPLIC~1\Search Settings
Supprime! - C:\Program Files\Search Settings

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.google.fr/"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.msn.com/"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "C:\ToolBar SD\TB_1.txt" - 31/03/2009|10:30 - Option : [2]

-----------\\ Fin du rapport a 10:30:02,60

Et voici le 2ème rapport :

[b]SDFix: Version 1.240 /b
Run by Isabelle on 31/03/2009 at 10:46

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b:

No Trojan Files Found






Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-31 11:03:39
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthxfonkobjpxotrvdebwdtkgpewklqqsyb]
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=str(2):"\systemroot\system32\drivers\ovfsthgrhayesdsmfbhmuijicpocslxnmqwqky.sys"
"inst"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthxfonkobjpxotrvdebwdtkgpewklqqsyb\main]
"ver"="icv230309"
"cid"="02"
"bid"="1013082430-725345543-879983540-2146883605"
"aid"="303369"
"sid"="16"
"feed"=hex:22,64,78,36,3c,2e,3b,29,39,3b,3b,3a,04,4f,01,0c,09,65
"cmddelay"=dword:00003841

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthxfonkobjpxotrvdebwdtkgpewklqqsyb\modules]
"ovfsth.dll"="\systemroot\system32\ovfsthjcaqumwaqipmoamgidemrcymfxrcjlgy.dll"
"ovfsth.sys"="\systemroot\system32\drivers\ovfsthgrhayesdsmfbhmuijicpocslxnmqwqky.sys"
"ovfsthlog.dat"="\systemroot\system32\ovfstheercupogmaqqtuhntosdsvosefacanum.dat"
"ovfsthwi.dll"="\systemroot\system32\ovfsthschtmqeceqiqdtkrabpruiychhtwjaak.dll"
"ovfsthff.dll"="\systemroot\system32\ovfsthjohhgushqsncbeftcrtmtjrueebbiynq.dll"
"ovfsth.dat"="\systemroot\system32\ovfsthbumiyqpjvhmuaiptnscgbcvopbxcwcnw.dat"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ovfsthxfonkobjpxotrvdebwdtkgpewklqqsyb]
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=str(2):"\systemroot\system32\drivers\ovfsthgrhayesdsmfbhmuijicpocslxnmqwqky.sys"
"inst"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ovfsthxfonkobjpxotrvdebwdtkgpewklqqsyb\main]
"ver"="icv230309"
"cid"="02"
"bid"="1013082430-725345543-879983540-2146883605"
"aid"="303369"
"sid"="16"
"feed"=hex:22,64,78,36,3c,2e,3b,29,39,3b,3b,3a,04,4f,01,0c,09,65
"cmddelay"=dword:00003841

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ovfsthxfonkobjpxotrvdebwdtkgpewklqqsyb\modules]
"ovfsth.dll"="\systemroot\system32\ovfsthjcaqumwaqipmoamgidemrcymfxrcjlgy.dll"
"ovfsth.sys"="\systemroot\system32\drivers\ovfsthgrhayesdsmfbhmuijicpocslxnmqwqky.sys"
"ovfsthlog.dat"="\systemroot\system32\ovfstheercupogmaqqtuhntosdsvosefacanum.dat"
"ovfsthwi.dll"="\systemroot\system32\ovfsthschtmqeceqiqdtkrabpruiychhtwjaak.dll"
"ovfsthff.dll"="\systemroot\system32\ovfsthjohhgushqsncbeftcrtmtjrueebbiynq.dll"
"ovfsth.dat"="\systemroot\system32\ovfsthbumiyqpjvhmuaiptnscgbcvopbxcwcnw.dat"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"OfflineDetectionPending"=dword:00000001

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\WINDOWS\\system32\\mshta.exe"="C:\\WINDOWS\\system32\\mshta.exe:*:Enabled:Microsoft (R) HTML Application host"
"C:\\Documents and Settings\\Isabelle\\Mes documents\\WLinstaller.exe"="C:\\Documents and Settings\\Isabelle\\Mes documents\\WLinstaller.exe:*:Enabled:WLinstaller"
"C:\\Documents and Settings\\Isabelle\\Bureau\\MsgPlusLive-470.exe"="C:\\Documents and Settings\\Isabelle\\Bureau\\MsgPlusLive-470.exe:*:Enabled:MsgPlusLive-470"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:LocalSubNet:Enabled:eMule"
"C:\\WINDOWS\\system32\\jmvklc.exe"="C:\\WINDOWS\\system32\\jmvklc.exe:*:Disabled:gDGTEvDF"
"C:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"="C:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe:*:Enabled:mbam"
"C:\\WINDOWS\\system32\\frmwrk32.exe"="C:\\WINDOWS\\system32\\frmwrk32.exe:*:Enabled:frmwrk32"
"C:\\WINDOWS\\system32\\lsass.exe"="C:\\WINDOWS\\system32\\lsass.exe:*:Enabled:lsass"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files /b:



[b]Files with Hidden Attributes /b:

Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 7 Jul 2008 2,156,368 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Tue 24 Mar 2009 23,475 ..SH. --- "C:\WINDOWS\system32\vidajadu.dll"
Tue 24 Mar 2009 23,475 ..SH. --- "C:\WINDOWS\system32\zotemiso.dll"
Thu 18 Dec 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 7 Mar 2001 311,296 ...HR --- "C:\WINDOWS\system32\Tools\AC2K.exe"
Wed 21 Feb 2001 310,784 ...HR --- "C:\WINDOWS\system32\Tools\AC98.exe"
Wed 21 Feb 2001 311,296 ...HR --- "C:\WINDOWS\system32\Tools\ACL98.exe"
Wed 21 Feb 2001 311,808 ...HR --- "C:\WINDOWS\system32\Tools\ACLME.exe"
Fri 27 Apr 2001 327,168 ...HR --- "C:\WINDOWS\system32\Tools\All.exe"
Fri 24 Nov 2000 316,416 ...HR --- "C:\WINDOWS\system32\Tools\AutoClick.exe"
Tue 16 Oct 2001 363,008 ...HR --- "C:\WINDOWS\system32\Tools\Change.exe"
Thu 11 Apr 2002 547,840 ...HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe"
Fri 31 Aug 2001 381,440 ...HR --- "C:\WINDOWS\system32\Tools\Counter.exe"
Mon 21 Jan 2002 360,960 ...HR --- "C:\WINDOWS\system32\Tools\DelDv.exe"
Tue 20 Mar 2001 532,480 ...HR --- "C:\WINDOWS\system32\Tools\DeleteFiles.exe"
Mon 21 Jan 2002 360,960 ...HR --- "C:\WINDOWS\system32\Tools\DelT2.exe"
Mon 21 Jan 2002 360,960 ...HR --- "C:\WINDOWS\system32\Tools\DelT2Dv.exe"
Wed 6 Mar 2002 360,960 ...HR --- "C:\WINDOWS\system32\Tools\DelTools.exe"
Mon 11 Mar 2002 361,472 ...HR --- "C:\WINDOWS\system32\Tools\LostRun.exe"
Tue 3 Apr 2001 296,960 ...HR --- "C:\WINDOWS\system32\Tools\RegClean.exe"
Fri 8 Mar 2002 369,152 ...HR --- "C:\WINDOWS\system32\Tools\Regexe.exe"
Fri 8 Mar 2002 382,464 ...HR --- "C:\WINDOWS\system32\Tools\Restart.exe"
Fri 8 Mar 2002 374,784 ...HR --- "C:\WINDOWS\system32\Tools\RunAP.exe"
Fri 8 Mar 2002 360,960 ...HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe"
Fri 2 Nov 2001 379,392 ...HR --- "C:\WINDOWS\system32\Tools\SDW98ME.exe"
Fri 9 Mar 2001 312,832 ...HR --- "C:\WINDOWS\system32\Tools\SoundDrv.exe"
Fri 5 Dec 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

[b]Finished!/b

Et le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:14:06, on 31/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\LVComS.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {150caea8-0d76-4edf-9bb2-923211420bf9} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O20 - AppInit_DLLs: c:\windows\system32\ c:\windows\system32\hatutiza.dll duiqns.dll
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
End of file - 5116 bytes


voilà

Ok, la barre d'outil néfaste a été supprimée :)


/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.


/!\ Désactive tous tes logiciels de protection /!\
Dans ton cas, il s'agit d'Avast (fais un clic-droit sur l'icone près de l'horloge et clique sur « Arrêter la protection résidente ») et du TeaTimer de Spybot (Lance Spybot → clique sur Mode → coche Mode avancé → Outils → Résident → décoche la case Résident Tea Timer → ferme Spybot)

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Attendez 24h pour reposter si vous n'avez pas de réponse.
Restez jusqu'à confirmation que l'ordinateur est désinfecté !

Voilà le rapport :


ComboFix 09-03-30.02 - Isabelle 2009-03-31 14:05:03.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1279.829 [GMT 2:00]
Lancé depuis: c:\documents and settings\Isabelle\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Il y a peut-être des sites infectés -----

hxxp://82.98.235.205
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-28 au 2009-03-31 ))))))))))))))))))))))))))))))))))))
.

2009-03-31 10:45 . 2009-03-31 10:45 579,584 --a--c--- c:\windows\system32\dllcache\user32.­dll
2009-03-31 10:43 . 2009-03-31 10:44 <REP> d-------- c:\windows\ERUNT
2009-03-31 10:31 . 2009-03-31 11:07 <REP> d-------- C:\SDFix
2009-03-31 10:27 . 2009-03-31 10:30 <REP> d-------- C:\ToolBar SD
2009-03-26 14:39 . 2009-03-26 14:39 <REP> d-------- c:\documents and settings\Isabelle\Application Data\Apple Computer
2009-03-26 14:39 . 2009-03-26 14:39 <REP> d-------- c:\documents and settings\All Users\Application Data\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-03-26 14:38 . 2009-03-26 14:38 <REP> d-------- c:\program files\Bonjour
2009-03-26 14:37 . 2009-03-26 14:38 <REP> d-------- c:\program files\QuickTime
2009-03-26 14:37 . 2009-03-26 14:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
2009-03-26 14:36 . 2009-03-26 14:36 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple
2009-03-25 17:52 . 2009-03-25 17:52 <REP> d-------- C:\rsit
2009-03-25 09:39 . 2009-03-25 09:39 <REP> d-------- c:\program files\Avira
2009-03-25 09:39 . 2009-03-25 09:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-03-24 23:10 . 2009-03-24 23:11 153 --a------ c:\windows\wininit.ini
2009-03-24 22:19 . 2009-03-24 22:19 23,475 ---hs---- c:\windows\system32\zotemiso.dll
2009-03-24 22:19 . 2009-03-24 22:19 23,475 ---hs---- c:\windows\system32\vidajadu.dll
2009-03-19 15:41 . 2009-03-19 15:41 0 --a------ c:\windows\MSDraw.ini
2009-03-04 20:47 . 2009-03-04 20:47 35 --a------ c:\windows\system\cmicnfg.ini
2009-03-01 23:21 . 2009-03-01 23:55 <REP> d-------- c:\documents and settings\Isabelle\Application Data\XnView
2009-02-26 22:19 . 2009-02-26 22:19 <REP> d-------- c:\documents and settings\Isabelle\Application Data\Template
2009-02-26 22:03 . 2009-02-26 22:05 <REP> d-------- c:\program files\Microsoft Works
2009-02-25 18:10 . 2009-02-25 21:55 <REP> d-------- c:\program files\Audacity
2009-02-25 16:32 . 2009-02-25 16:32 <REP> d-------- c:\program files\Free Audio Pack
2009-02-08 15:45 . 2008-04-14 03:57 32,128 --a------ c:\windows\system32\drivers\wceusbsh.sys
2009-02-08 15:45 . 2008-04-14 03:57 32,128 --a--c--- c:\windows\system32\dllcache\wceusbsh.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-31 07:24 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-03-31 07:23 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-03-29 19:16 --------- d-----w c:\program files\Windows Live Safety Center
2009-03-28 07:27 --------- d-----w c:\program files\eMule
2009-03-26 14:49 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-26 14:49 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-25 20:12 --------- d-----w c:\program files\MSN Messenger
2009-03-25 20:12 --------- d-----w c:\program files\Messenger Plus! Live
2009-03-25 07:35 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2009-03-04 11:38 --------- d-----w c:\documents and settings\Isabelle\Application Data\dvdcss
2009-02-27 20:57 --------- d-----w c:\program files\Microsoft Silverlight
2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys
2009-01-09 21:39 81,984 ----a-w c:\windows\system32\bdod.bin
2008-12-12 10:18 87,336 ----a-w c:\windows\system32\dns-sd.exe
2008-12-12 10:11 61,440 ----a-w c:\windows\system32\dnssd.dll
2008-12-05 06:57 144,896 ----a-w c:\windows\system32\schannel.dll
2008-12-03 12:16 92,064 ----a-w c:\documents and settings\Isabelle\mqdmmdm.sys
2008-12-03 12:16 9,232 ----a-w c:\documents and settings\Isabelle\mqdmmdfl.sys
2008-12-03 12:16 79,328 ----a-w c:\documents and settings\Isabelle\mqdmserd.sys
2008-12-03 12:16 66,656 ----a-w c:\documents and settings\Isabelle\mqdmbus.sys
2008-12-03 12:16 6,208 ----a-w c:\documents and settings\Isabelle\mqdmcmnt.sys
2008-12-03 12:16 5,936 ----a-w c:\documents and settings\Isabelle\mqdmwhnt.sys
2008-12-03 12:16 4,048 ----a-w c:\documents and settings\Isabelle\mqdmcr.sys
2008-12-03 12:16 25,600 ----a-w c:\documents and settings\Isabelle\usbsermptxp.sys
2008-12-03 12:16 22,768 ----a-w c:\documents and settings\Isabelle\usbsermpt.sys
2008-11-30 02:06 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008113020081201\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-10-06 5058560]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-02-12 188416]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-02-12 77824]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2003-07-07 233472]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mshta.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:mule
"4662:UDP"= 4662:UDP:mule
"4672:TCP"= 4672:TCP:mule
"4672:UDP"= 4672:UDP:mule
"4711:TCP"= 4711:TCP:mule
"4711:UDP"= 4711:UDP:mule

.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{150caea8-0d76-4edf-9bb2-923211420bf9} - (no file)
HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-DXDllRegExe - dxdllreg.exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mWindow Title =
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\Isabelle\Application Data\Mozilla\Firefox\Profiles\5eiam5qt.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-31 14:08:28
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\pctspk.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\LVComS.exe
c:\windows\system32\hpzipm12.exe
.
**************************************************************************
.
Heure de fin: 2009-03-31 14:11:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-31 12:11:42

Avant-CF: 5 897 662 464 octets libres
Après-CF: 5,870,272,512 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP �dition familiale" /fastdetect /NoExecute=OptIn

158 --- E O F --- 2009-03-16 21:45:54

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour fouganza01, il n'est pas transposable sur un autre ordinateur !

• Télécharge ce dossier fouganza01.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.

• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

Attendez 24h pour reposter si vous n'avez pas de réponse.
Restez jusqu'à confirmation que l'ordinateur est désinfecté !

Bonjour
VOICI LE RAPPORT :

ComboFix 09-03-31.03 - Isabelle 2009-04-01 15:19:18.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1279.816 [GMT 2:00]
Lancé depuis: c:\documents and settings\Isabelle\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Isabelle\Bureau\CFScript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé

FILE ::
c:\windows\system32\vidajadu.dll
c:\windows\system32\zotemiso.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\vidajadu.dll
c:\windows\system32\zotemiso.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-01 au 2009-04-01 ))))))))))))))))))))))))))))))))))))
.

2009-03-31 10:45 . 2009-03-31 10:45 579,584 --a--c--- c:\windows\system32\dllcache\user32.­dll
2009-03-31 10:43 . 2009-03-31 10:44 <REP> d-------- c:\windows\ERUNT
2009-03-31 10:31 . 2009-03-31 11:07 <REP> d-------- C:\SDFix
2009-03-31 10:27 . 2009-03-31 10:30 <REP> d-------- C:\ToolBar SD
2009-03-26 14:39 . 2009-03-26 14:39 <REP> d-------- c:\documents and settings\Isabelle\Application Data\Apple Computer
2009-03-26 14:39 . 2009-03-26 14:39 <REP> d-------- c:\documents and settings\All Users\Application Data\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-03-26 14:38 . 2009-03-26 14:38 <REP> d-------- c:\program files\Bonjour
2009-03-26 14:37 . 2009-03-26 14:38 <REP> d-------- c:\program files\QuickTime
2009-03-26 14:37 . 2009-03-26 14:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
2009-03-26 14:36 . 2009-03-26 14:36 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple
2009-03-25 17:52 . 2009-03-25 17:52 <REP> d-------- C:\rsit
2009-03-25 09:39 . 2009-03-25 09:39 <REP> d-------- c:\program files\Avira
2009-03-25 09:39 . 2009-03-25 09:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-03-24 23:10 . 2009-03-24 23:11 153 --a------ c:\windows\wininit.ini
2009-03-19 15:41 . 2009-03-19 15:41 0 --a------ c:\windows\MSDraw.ini
2009-03-04 20:47 . 2009-03-04 20:47 35 --a------ c:\windows\system\cmicnfg.ini
2009-03-01 23:21 . 2009-03-01 23:55 <REP> d-------- c:\documents and settings\Isabelle\Application Data\XnView

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-31 12:53 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-03-31 07:24 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-03-29 19:16 --------- d-----w c:\program files\Windows Live Safety Center
2009-03-28 07:27 --------- d-----w c:\program files\eMule
2009-03-26 14:49 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-26 14:49 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-25 20:12 --------- d-----w c:\program files\MSN Messenger
2009-03-25 20:12 --------- d-----w c:\program files\Messenger Plus! Live
2009-03-25 07:35 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2009-03-04 11:38 --------- d-----w c:\documents and settings\Isabelle\Application Data\dvdcss
2009-02-27 20:57 --------- d-----w c:\program files\Microsoft Silverlight
2009-02-26 20:19 --------- d-----w c:\documents and settings\Isabelle\Application Data\Template
2009-02-26 20:05 --------- d-----w c:\program files\Microsoft Works
2009-02-25 19:55 --------- d-----w c:\program files\Audacity
2009-02-25 14:32 --------- d-----w c:\program files\Free Audio Pack
2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys
2009-01-09 21:39 81,984 ----a-w c:\windows\system32\bdod.bin
2008-12-03 12:16 92,064 ----a-w c:\documents and settings\Isabelle\mqdmmdm.sys
2008-12-03 12:16 9,232 ----a-w c:\documents and settings\Isabelle\mqdmmdfl.sys
2008-12-03 12:16 79,328 ----a-w c:\documents and settings\Isabelle\mqdmserd.sys
2008-12-03 12:16 66,656 ----a-w c:\documents and settings\Isabelle\mqdmbus.sys
2008-12-03 12:16 6,208 ----a-w c:\documents and settings\Isabelle\mqdmcmnt.sys
2008-12-03 12:16 5,936 ----a-w c:\documents and settings\Isabelle\mqdmwhnt.sys
2008-12-03 12:16 4,048 ----a-w c:\documents and settings\Isabelle\mqdmcr.sys
2008-12-03 12:16 25,600 ----a-w c:\documents and settings\Isabelle\usbsermptxp.sys
2008-12-03 12:16 22,768 ----a-w c:\documents and settings\Isabelle\usbsermpt.sys
2008-11-30 02:06 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008113020081201\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-10-06 5058560]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-02-12 188416]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-02-12 77824]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2003-07-07 233472]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mshta.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:mule
"4662:UDP"= 4662:UDP:mule
"4672:TCP"= 4672:TCP:mule
"4672:UDP"= 4672:UDP:mule
"4711:TCP"= 4711:TCP:mule
"4711:UDP"= 4711:UDP:mule

.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mWindow Title =
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\Isabelle\Application Data\Mozilla\Firefox\Profiles\5eiam5qt.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-01 15:20:49
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-04-01 15:22:28
ComboFix-quarantined-files.txt 2009-04-01 13:22:26
ComboFix2.txt 2009-03-31 12:11:48

Avant-CF: 5 848 915 968 octets libres
Après-CF: 5,850,804,224 octets libres

132 --- E O F --- 2009-03-16 21:45:54

Ok, fais redémarrer ton ordinateur, puis poste un nouveau rapport hijackthis stp

Attendez 24h pour reposter si vous n'avez pas de réponse.
Restez jusqu'à confirmation que l'ordinateur est désinfecté ­!

Voilà :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:31:20, on 02/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\LVComS.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
End of file - 4943 bytes

Très bien, ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a certaines choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur

• Anti-virus :
Antivir est un excellent choix, garde le. Juste un petit réglage à faire :
Double clique sur l'icone d'Antivir près de l'horloge --> Configuration --> Coche « mode expert » --> coche « Rech. Rootkits au dem. de la recherche »

• Anti-spyware :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement (« Updates »), tous les 15 jours environ, et activer toutes les protections (« Enable all protection »)
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Internet Explorer n'est pas à jour, c'est une grosse faille de sécurité !
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas, télécharge et installe IE 7 depuis ce lien : IE 7

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker



2) Relance Hijackthis (pour la dernière fois), choisis "scan system only" et coche les lignes suivantes qui sont inutiles :

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked"



3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner (si ce n’est déjà fait) : http://www.ccleaner.com/download/builds/downloading-slim

Lance CCleaner
Clique sur Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés).

• Fais un clic droit sur poste de travail (qui est sur ton Bureau ou dans le menu démarrer), puis propriétés.
• Sélectionne l'onglet restauration du système
• Coche l'option Désactiver la restauration du système sur tous les lecteurs
• Clique sur OK.

Puis refais la manipulation inverse pour réactiver la restauration système.



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Ok merci beaucoup pour ton aide ;)
le pc est redevenu une bête de course ;)

juste une petite question : est-ce normal que je n'ai pas l'îcone antivir près de l'horloge en bas à droite ?

merci pour ton aide

Essaye ce fichier, ça va créer une clé de Registre qui commande l'apparition de l'icone d'AntiVir au démarrage de l'ordinateur :

• Télécharge ce dossier fouganza01_110.zip
• Exécute le fichier script.reg qui se trouve à l'intérieur
• Un message doit te demander une confirmation pour modifier le Registre, accepte


Redémarre ton ordinateur et dis moi si l'icone s'affiche

Attendez 24h pour reposter si vous n'avez pas de réponse.
Restez jusqu'à confirmation que l'ordinateur est désinfecté ­!

L'icone ne s'affiche pas

Tant pis, on aura essayé...

Je te conseille d'essayer une désinstallation/réinstallation d'AntiVir

Attendez 24h pour reposter si vous n'avez pas de réponse.
Restez jusqu'à confirmation que l'ordinateur est désinfecté ­!

De toute façon le pc est quand même protégé n'est-ce pas?

Oui, le Guard d'AntiVir est visible dans tes processus :
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

Ainsi que les mises à jour automatiques :
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

Si tu as besoin de lancer le menu principal d'AntiVir (pour faire des réglages, pour lancer un scan...), il faudra alors utiliser ce fichier : C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe


@+