Bonjour,

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer.

Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse
@+
N'acceptez jamais une désinfection par mp.

Bonjour,
Merci beaucoup pour ta réponse rapide et précise.
Voici le compte-rendu de Vundo
L'un des fichiers n'a pas pu être supprimé.
Le problème semble persister :
- affichage d'un d'un virus,
- je clique sur "delete" puis le bureau disparaît (le fond d'écran reste).
Cordialement.
Jacques.



VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Scan started at 12:54:32 09/01/2008

Listing files found while scanning....

C:\windows\system32\gebyy.dll
C:\WINDOWS\system32\ssqnmll.dll
C:\windows\system32\yybeg.ini
C:\windows\system32\yybeg.ini2

Beginning removal...

Attempting to delete C:\windows\system32\gebyy.dll
C:\windows\system32\gebyy.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ssqnmll.dll
C:\WINDOWS\system32\ssqnmll.dll Could not be deleted.

Attempting to delete C:\windows\system32\yybeg.ini
C:\windows\system32\yybeg.ini Has been deleted!

Attempting to delete C:\windows\system32\yybeg.ini2
C:\windows\system32\yybeg.ini2 Has been deleted!

Performing Repairs to the registry.
Done!

Re,

Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe­

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.

Pour ce dernier, avant de le faire tourner, tu le renommes en ScanVundo.exe (à la place de Hijackthis.exe)


Ta console java n'est pas à jour, ce qui constitue une faille de sécurité. C'est même un euphémisme, elle date du Concorde cette version.

Ouvre ce lien :
http://www.java.com/fr/download/manual.jsp

Choisis la première ligne de téléchargement puis installe java.

En fin d'installation, revient sur la page pour vérifier ton installation.

Quand l'installation a réussi, ouvre le panneau de configuration, Ajout/suppression de programmes et supprime
J2SE Runtime Environment Version 5.0 Update xx. (sauf si tu as une application professionnelle qui utilise cette vieille version)

@+
N'acceptez jamais une désinfection par mp.

Re,
Ci-dessous les deux rapports :
Je n'ai pas réussi à renommer Hijackthis en scanvundo.exe car je ne dispose que de 5 secondes maxi avant que tout disparaisse de mon écran à chaque fois. Y aurait-il une autre astuce ?
En fait, les différents les virus réappraraissent dès qu'ils sont détruits. et les fichiers détruits par Vundo sont de nouveau présents.
J'ai mis à jour Java.
Cordialement.
Jacques


Rapport de VirtumundoBeGone :
[01/09/2008, 14:11:21] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\jean-jacques\Bureau\VirtumundoBeGone.exe" )
[01/09/2008, 14:11:49] - Detected System Information:
[01/09/2008, 14:11:49] - Windows Version: 5.1.2600, Service Pack 2
[01/09/2008, 14:11:49] - Current Username: jean-jacques (Admin)
[01/09/2008, 14:11:49] - Windows is in NORMAL mode.
[01/09/2008, 14:11:49] - Searching for Browser Helper Objects:
[01/09/2008, 14:11:49] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[01/09/2008, 14:11:49] - BHO 2: {3049C3E9-B461-4BC5-8870-4C09146192CA} (RealPlayer Download and Record Plugin for Internet Explorer)
[01/09/2008, 14:11:49] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[01/09/2008, 14:11:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:49] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[01/09/2008, 14:11:49] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[01/09/2008, 14:11:49] - BHO 4: {549B5CA7-4A86-11D7-A4DF-000874180BB3} ()
[01/09/2008, 14:11:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:49] - No filename found. Continuing.
[01/09/2008, 14:11:49] - BHO 5: {5A88849F-F3F2-419D-A206-4500D0AA9E7C} ()
[01/09/2008, 14:11:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:49] - Checking for HKLM\...\Winlogon\Notify\ddayw
[01/09/2008, 14:11:49] - Key not found: HKLM\...\Winlogon\Notify\ddayw, continuing.
[01/09/2008, 14:11:49] - BHO 6: {5CA3D70E-1895-11CF-8E15-001234567890} (DriveLetterAccess)
[01/09/2008, 14:11:49] - BHO 7: {64F56FC1-1272-44CD-BA6E-39723696E350} (EoBho Class)
[01/09/2008, 14:11:49] - BHO 8: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[01/09/2008, 14:11:49] - BHO 9: {AB3D8B79-97F6-4158-9AA5-2123CA6FBF26} ()
[01/09/2008, 14:11:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:49] - Checking for HKLM\...\Winlogon\Notify\geede
[01/09/2008, 14:11:49] - Key not found: HKLM\...\Winlogon\Notify\geede, continuing.
[01/09/2008, 14:11:49] - BHO 10: {CBFA0E8E-7489-4A16-8D6E-0D58BFFB6134} ()
[01/09/2008, 14:11:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:50] - Checking for HKLM\...\Winlogon\Notify\ssqnmll
[01/09/2008, 14:11:50] - Key not found: HKLM\...\Winlogon\Notify\ssqnmll, continuing.
[01/09/2008, 14:11:50] - BHO 11: {EA6E0C1F-4858-4BF3-9ED6-496E17252744} ()
[01/09/2008, 14:11:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:50] - Checking for HKLM\...\Winlogon\Notify\gebyy
[01/09/2008, 14:11:50] - Key not found: HKLM\...\Winlogon\Notify\gebyy, continuing.
[01/09/2008, 14:11:50] - BHO 12: {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} ()
[01/09/2008, 14:11:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:50] - No filename found. Continuing.
[01/09/2008, 14:11:50] - Finished Searching Browser Helper Objects
[01/09/2008, 14:11:50] - Finishing up...
[01/09/2008, 14:11:50] - Nothing found! Exiting...

Et celui de Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:40:42, on 09/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\Program Files\Harrap's Multimédia\Shorter\bin\HiHarrapsTray.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\explorer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [Mobipocket Web Companion] C:\Program Files\Fichiers communs\Mobipocket Shared\webcomp.exe -m
O4 - HKCU\..\Run: [E06FXLRD_7795437] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [Mobipocket Reader Notifications] C:\Program Files\Mobipocket.com\Mobipocket Reader\readernotify.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Ask Harrap's Shorter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.univ-lyon3.fr
O15 - Trusted IP range: 127.0.0.1
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.univ-lyon3.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.univ-lyon3.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{428793EB-6876-454F-98C2-E920E3923822}: Domain = ad.univ-lyon3.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.univ-lyon3.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = 192.168.47.212
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.univ-lyon3.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = 192.168.47.212
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = 192.168.47.212
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
End of file - 8197 bytes

Re,
Ci-dessous les deux rapports :
Je n'ai pas réussi à renommer Hijackthis en scanvundo.exe car je ne dispose que de 5 secondes maxi avant que tout disparaisse de mon écran à chaque fois. Y aurait-il une autre astuce ?
En fait, les différents les virus réappraraissent dès qu'ils sont détruits. et les fichiers détruits par Vundo sont de nouveau présents.
J'ai mis à jour Java.
Cordialement.
Jacques


Rapport de VirtumundoBeGone :
[01/09/2008, 14:11:21] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\jean-jacques\Bureau\VirtumundoBeGone.exe" )
[01/09/2008, 14:11:49] - Detected System Information:
[01/09/2008, 14:11:49] - Windows Version: 5.1.2600, Service Pack 2
[01/09/2008, 14:11:49] - Current Username: jean-jacques (Admin)
[01/09/2008, 14:11:49] - Windows is in NORMAL mode.
[01/09/2008, 14:11:49] - Searching for Browser Helper Objects:
[01/09/2008, 14:11:49] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[01/09/2008, 14:11:49] - BHO 2: {3049C3E9-B461-4BC5-8870-4C09146192CA} (RealPlayer Download and Record Plugin for Internet Explorer)
[01/09/2008, 14:11:49] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[01/09/2008, 14:11:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:49] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[01/09/2008, 14:11:49] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[01/09/2008, 14:11:49] - BHO 4: {549B5CA7-4A86-11D7-A4DF-000874180BB3} ()
[01/09/2008, 14:11:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:49] - No filename found. Continuing.
[01/09/2008, 14:11:49] - BHO 5: {5A88849F-F3F2-419D-A206-4500D0AA9E7C} ()
[01/09/2008, 14:11:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:49] - Checking for HKLM\...\Winlogon\Notify\ddayw
[01/09/2008, 14:11:49] - Key not found: HKLM\...\Winlogon\Notify\ddayw, continuing.
[01/09/2008, 14:11:49] - BHO 6: {5CA3D70E-1895-11CF-8E15-001234567890} (DriveLetterAccess)
[01/09/2008, 14:11:49] - BHO 7: {64F56FC1-1272-44CD-BA6E-39723696E350} (EoBho Class)
[01/09/2008, 14:11:49] - BHO 8: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[01/09/2008, 14:11:49] - BHO 9: {AB3D8B79-97F6-4158-9AA5-2123CA6FBF26} ()
[01/09/2008, 14:11:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:49] - Checking for HKLM\...\Winlogon\Notify\geede
[01/09/2008, 14:11:49] - Key not found: HKLM\...\Winlogon\Notify\geede, continuing.
[01/09/2008, 14:11:49] - BHO 10: {CBFA0E8E-7489-4A16-8D6E-0D58BFFB6134} ()
[01/09/2008, 14:11:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:50] - Checking for HKLM\...\Winlogon\Notify\ssqnmll
[01/09/2008, 14:11:50] - Key not found: HKLM\...\Winlogon\Notify\ssqnmll, continuing.
[01/09/2008, 14:11:50] - BHO 11: {EA6E0C1F-4858-4BF3-9ED6-496E17252744} ()
[01/09/2008, 14:11:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:50] - Checking for HKLM\...\Winlogon\Notify\gebyy
[01/09/2008, 14:11:50] - Key not found: HKLM\...\Winlogon\Notify\gebyy, continuing.
[01/09/2008, 14:11:50] - BHO 12: {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} ()
[01/09/2008, 14:11:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/09/2008, 14:11:50] - No filename found. Continuing.
[01/09/2008, 14:11:50] - Finished Searching Browser Helper Objects
[01/09/2008, 14:11:50] - Finishing up...
[01/09/2008, 14:11:50] - Nothing found! Exiting...

Et celui de Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:40:42, on 09/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\Program Files\Harrap's Multimédia\Shorter\bin\HiHarrapsTray.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\explorer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [Mobipocket Web Companion] C:\Program Files\Fichiers communs\Mobipocket Shared\webcomp.exe -m
O4 - HKCU\..\Run: [E06FXLRD_7795437] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [Mobipocket Reader Notifications] C:\Program Files\Mobipocket.com\Mobipocket Reader\readernotify.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Ask Harrap's Shorter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.univ-lyon3.fr
O15 - Trusted IP range: 127.0.0.1
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.univ-lyon3.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.univ-lyon3.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{428793EB-6876-454F-98C2-E920E3923822}: Domain = ad.univ-lyon3.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.univ-lyon3.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = 192.168.47.212
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.univ-lyon3.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = 192.168.47.212
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = 192.168.47.212
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
End of file - 8197 bytes

Re,

avant de poursuivre, tu as un CD de Windows authentique avec la clé de 25 caractères ?

tu as les moyens de sauvegarder tes fichiers perso sur un support externe ?

tu as accès à un autre ordi avec un graveur de Cd-Rom ?

je n'envisage pas un formatage. je regarde les solutions dont je dispose si la situation s'aggrave.


on essaye comme ça :

télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


et enregistre le sur le bureau.

2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.



@+
N'acceptez jamais une désinfection par mp.

Bonsoir,

J'ai remis le post en non résolu.

Imprime la totalité de la manip avant de l'exécuter.

1) Télécharge RenV.exe sur ton Bureau (impératif)

http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe
2) Redémarre en mode sans échec

Regarde ici si besoin avant ici : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

Ouvre le fichier texte que tu as sauvegardé sur ton Bureau afin de suivre les instructions comme il faut.

3) RenV.exe d'sUBs

Double-clique sur RenV.exe ( qui se trouve sur ton Bureau) pour le lancer, et patiente.

Un rapport, log.txt, sera crée, et s'ouvrira à la fin du scan, sauvegarde le sur ton Bureau :

* Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
* Choisis "Enregistrer sous" et choisis "Bureau"
* Dans le champs "Nom du fichier" en bas de page donne le nom suivant : Log0.txt
* Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
* Choisis à nouveau "Enregistrer sous" et choisis "Bureau"
* Dans le champs "Nom du fichier" en bas de page donne le nom suivant : Log.txt
* Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
* ferme ce fichier txt nouvellement crée.

Puis fait un glisser/déposer de ce fichier Log.txt sur le fichier RenV.exe

Pour ça, clique sur Log.txt et maintiens le doigt enfoncé. fais glisser la souris jusqu'à ce que l'icône de Log.txt recouvre l'icône de RenV.exe. relache le doigt. RenV va démarrer.

--> Cela va produire un nouveau rapport Log.txt que tu enverras en réponse une fois le PC redémarré en mode normal

4) Redémarre en mode normal.

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


File::
C:\WINDOWS\system32\ssqnmll.dll
C:\WINDOWS\brmx2001.ini
C:\WINDOWS\system32\ddayw.dl
C:\WINDOWS\system32\gebyy.dll

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5A88849F-F3F2-419D-A206-4500D0AA9E7C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBFA0E8E-7489-4A16-8D6E-0D58BFFB6134}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EA6E0C1F-4858-4BF3-9ED6-496E17252744}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{CBFA0E8E-7489-4A16-8D6E-0D58BFFB6134}"=-


Enregistre ce fichier sous le nom CFscript


* Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe : clique sur CFScript, garde le doigt enfoncé et fais glisser la souris pour que l'icone de CFScript recouvre celle de Conbofix. Relache la souris. Combofix va démarrrer


* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

* Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis


* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

------------------------------------------------------------------------------------------ ----------------------

Puis dans un second temps :

* Rends toi sur ESET Online Scanner Link http://www.eset.com/onlinescan/
* Coche la case YES, I accept the Terms Of Use
* Clicque sur le bouton Start
* Clique maintenat sur Install button
* Clicque a nouveau sur Start

Les mises a jours du scan en ligne vont se faire.
* Ne coche pas Remove found threats
* Clique sur Scan button

Le scan va démarrer, sois patient.

* Quand le scan sera terminé, clique sur Details tab

* Copie colle dans ta réponse l:

le contenu de Log0.txt sauvegardé sur ton Bureau

le contenu de Log.txt sauvegardé sur ton Bureau

le contenu de C:\Program Files\EsetOnlineScanner\log.txt back

le contenu du dernier rapport de Combofix : C:\ComboFix.txt
@+
N'acceptez jamais une désinfection par mp.

Re,
Profitant de quelques minutes de répit après un nouveau scan avec Combofix, j'ai réussi à exécuter Hijackthis en le renommant VundoScan.exe comme tu me l'avais proposé précédement et contre toute attente, mes virus n'apparaissent plus et l'ordi semble fonctionner correctement.
Tu trouveras ci-joint le logfiles correspondant. Je ne sais pas si à partir du logfiles, tu peux te prononcersur la guérison !
Avant de mettre en oeuvre la nouvelle procédure que tu me proposes, je vais le faire tourner un peu pour voir s'il se stabilise et on verra demain s'il est opportun d'aller plus loin.
Merci infiniment pour tout le temps que tu consacres à mon problème. Je me sers de mon ordi professionnellement presque 8 heures par jour, parfois beaucoup plus, et je dois dire que l'idée de devoir reformater le disque dur m'angoissait un maximum.
Je vais pouvoir dormir beaucoup plus tranquille ce soir.
Je te tiens au courant demain matin.
Merci encore et bonne nuit si tu lis encore ce message ce soir.
Jacques.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:04, on 2008-01-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\Program Files\Harrap's Multimédia\Shorter\bin\HiHarrapsTray.exe
C:\ComboFix\Catchme.cfexe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\VFind.exe
C:\ComboFix\grep.cfexe
C:\Program Files\Trend Micro\HijackThis\VundoScan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5A88849F-F3F2-419D-A206-4500D0AA9E7C} - C:\WINDOWS\system32\ddayw.dll (file missing)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: (no name) - {CBFA0E8E-7489-4A16-8D6E-0D58BFFB6134} - C:\WINDOWS\system32\ssqnmll.dll
O2 - BHO: (no name) - {EA6E0C1F-4858-4BF3-9ED6-496E17252744} - C:\WINDOWS\system32\gebyy.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [Mobipocket Web Companion] C:\Program Files\Fichiers communs\Mobipocket Shared\webcomp.exe -m
O4 - HKCU\..\Run: [E06FXLRD_7795437] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [Mobipocket Reader Notifications] C:\Program Files\Mobipocket.com\Mobipocket Reader\readernotify.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Ask Harrap's Shorter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.univ-lyon3.fr
O15 - Trusted IP range: 127.0.0.1
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.univ-lyon3.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.univ-lyon3.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{428793EB-6876-454F-98C2-E920E3923822}: Domain = ad.univ-lyon3.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.univ-lyon3.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = 192.168.47.212
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.univ-lyon3.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = 192.168.47.212
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = 192.168.47.212
O20 - Winlogon Notify: ldr64 - ldr64.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
End of file - 8453 bytes

Re,

tu pourrais me donner le rapport du dernier passage de combofix ?

tu n'as ni parefeu ni antivirus. Conséquence de l'infection ?

tu sembles aussi avoir une infection bagle.

fais ça :

Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt

Si, dans le rapport, tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).


Fais aussi le point 4) du post 9. II y a 2 fichiers dangereux à éliminer.

Ca génerera un nouveau rapport à mettre dans une réponse (mais poste d'abord le dernier que tu as )
@+
N'acceptez jamais une désinfection par mp.

Bonjour,
Je crois que nous arrivons au but.
Suite a mon dernier mail, j'ai encore constaté après environ un quart d'heure d'utilisation quelques apparitions de virus mais sans arrêt des applications sur le bureau comme avant.
J'ai donc effectué les opérations suivantes (voir logfiles ci-dessous) :
- zonavirus.com (voir PREMIER LOGFILE ci-dessous)
- Point 4 du post 9 (voir DEUXIEME LOGFILE ci-dessous)
- Eset online scanner (voir TROISIEME LOGFILE ci-dessous)
La seule opération non effectée du post 9 est donc l'opération 1-2-3. Dois-je tout de même l'effectuer ?
Mon ordi semble désormais totalement stabilisé. Plus d'apparitions de virus. La bécane fonctionne normalement.
Quant à tes remarques sur l'absence de pare-feu et d'antivirus :
- Mon pare-feu est activé sur mon routeur Linksys (et non pas sur Windows. J'ai estimé peut-être à tort que cela ferait doublon et surtout ralentirait l'ordi)
- J'utilise comme antivirus Kasperky. A un moment soit les virus, soit la procédure de désinfection, l'ont effectivement désactivé. Je l'ai réactivé.
Merci encore. Je suis souflé par tes compétences sur la question. J'ai appelé mon frère qui est pourtant dans la partie et qui a séché sur le problème.
A te lire pour la conclusion (a moins que je sois trop optimiste).
Cordialement.
Jacques.



PREMIER LOGFILES :

Thu Jan 10 00:53:36 2008
EliBagle v10.83 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Thu Jan 10 00:53:58 2008
EliBagle v10.83 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4968
Nº Total de Ficheros: 47452
Nº de Ficheros Analizados: 9524
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0


DEUXIEME LOGFILES (COMBOFIX)

ComboFix 08-01-09.2 - jean-jacques 2008-01-10 1:06:25.7 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.574 [GMT 1:00]
Running from: C:\Documents and Settings\jean-jacques\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\jean-jacques\Bureau\CFscript
* Created a new restore point

FILE
C:\WINDOWS\brmx2001.ini
C:\WINDOWS\system32\ddayw.dl
C:\WINDOWS\system32\gebyy.dll
C:\WINDOWS\system32\ssqnmll.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\brmx2001.ini
C:\WINDOWS\system32\ssqnmll.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2007-12-10 to 2008-01-10 ))))))))))))))))))))))))))))))))))))
.

2008-01-09 21:36 . 2008-01-09 22:20 4,542 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-09 17:42 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-09 14:25 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-09 12:54 . 2008-01-09 13:39 <REP> d-------- C:\VundoFix Backups
2008-01-09 09:59 . 2008-01-09 09:59 <REP> d-------- C:\Program Files\Trend Micro
2008-01-09 07:35 . 2008-01-09 12:49 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2008-01-07 08:23 . 2008-01-07 08:23 <REP> d-------- C:\Program Files\Microsoft Voice Command
2008-01-02 11:06 . 2008-01-09 23:58 71 --a------ C:\WmGold.ini
2008-01-02 11:05 . 2008-01-02 11:29 <REP> d-------- C:\WALDATA
2008-01-02 10:53 . 2008-01-02 10:53 1,204,736 --a------ C:\WINDOWS\WALINSTALLER1.EXE
2008-01-02 10:53 . 2008-01-02 11:06 776,704 --a------ C:\WINDOWS\WalUninstaller.exe
2007-12-29 13:55 . 2007-12-29 13:55 <REP> d-------- C:\Program Files\Western Digital Technologies
2007-12-22 15:31 . 2007-12-22 15:31 58,936 --ah----- C:\WINDOWS\system32\mlfcache.dat
2007-12-15 21:50 . 2007-12-15 21:50 <REP> d-------- C:\Program Files\Real
2007-12-15 21:50 . 2007-12-15 21:50 <REP> d-------- C:\Program Files\Fichiers communs\xing shared
2007-12-15 21:50 . 2007-12-15 21:50 <REP> d-------- C:\Program Files\Fichiers communs\Real
2007-12-12 16:31 . 2007-12-12 16:41 <REP> d-------- C:\Program Files\Picasa2
2007-12-12 16:31 . 2006-10-05 03:42 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-12-12 16:31 . 2006-10-05 03:42 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-10 00:09 4,148,000 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-10 00:09 123,965,216 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-09 23:45 392,840 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-09 23:45 1,665,272 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-09 16:46 --------- d-----w C:\Program Files\Kaspersky Lab
2008-01-09 13:25 --------- d-----w C:\Program Files\Java
2008-01-09 08:22 --------- d-----w C:\Program Files\eMule
2008-01-09 08:22 --------- d-----w C:\Program Files\adslTV
2008-01-09 05:59 --------- d-----w C:\Program Files\QuickTime
2008-01-09 05:59 --------- d-----w C:\Program Files\Fichiers communs\Mobipocket Shared
2008-01-06 16:04 --------- d-----w C:\Documents and Settings\jean-jacques\Application Data\Audacity
2008-01-06 09:08 --------- d-----w C:\Program Files\GrabIt
2007-11-25 09:26 --------- d-----w C:\Program Files\Juice
2007-11-19 20:10 --------- d-----w C:\Program Files\efl
2002-07-26 15:02 153,088 ----a-w C:\Program Files\UNWISE.EXE
.
[code]<pre>
----a-w 155,751 2008-01-09 10:31:16 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp .exe
----a-w 15,360 2008-01-09 11:49:14 C:\WINDOWS\system32\ctfmon .exe
</pre>[/code]


((((((((((((((((((((((((((((( snapshot@2008-01-09_17.55.51.85 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-09 16:44:21 655,360 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-01-10 00:05:50 655,360 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
- 2008-01-09 16:44:22 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-01-10 00:05:51 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
- 2008-01-09 16:44:23 655,360 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\NTUSER.DAT
+ 2008-01-10 00:05:51 655,360 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\NTUSER.DAT
- 2008-01-09 16:44:23 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
+ 2008-01-10 00:05:51 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
- 2008-01-09 16:44:24 10,698,752 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000005\NTUSER.DAT
+ 2008-01-10 00:05:51 10,698,752 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000005\NTUSER.DAT
- 2008-01-09 16:44:24 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000006\UsrClass.dat
+ 2008-01-10 00:05:51 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000006\UsrClass.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mobipocket Web Companion"="C:\Program Files\Fichiers communs\Mobipocket Shared\webcomp.exe" [ ]
"E06FXLRD_7795437"="C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.exe" [ ]
"Mobipocket Reader Notifications"="C:\Program Files\Mobipocket.com\Mobipocket Reader\readernotify.exe" [ ]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [ ]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [ ]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [ ]
"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [ ]
"UpdateManager"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [ ]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:55 110592 C:\WINDOWS\system32\bthprops.cpl]
"USB2Check"="C:\WINDOWS\system32\PCLECoInst.dll" [2004-04-06 18:05 61440]
"USBToolTip"="C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe" [ ]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [ ]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [ ]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [ ]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [ ]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [ ]
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [ ]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [ ]
"WinFaxAppPortStarter"="wfxsnt40.exe" [2000-02-14 17:36 43008 C:\WINDOWS\system32\WFXSNT40.EXE]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [ ]
"EoEngine"="" []
"EoClock"="" []
"EoWeather"="" []
"EoMap"="" []
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [ ]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [ ]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-11-08 18:28 155751]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Program Files\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 15:08 110592 C:\Program Files\Intel\Wireless\Bin\LgNotify.dll

R3 GTIPCI21;GTIPCI21;C:\WINDOWS\system32\DRIVERS\gtipci21.sys [2004-05-03 15:26]
S3 C-Dilla;C-Dilla;C:\WINDOWS\system32\drivers\CDANT.SYS [2003-04-01 10:23]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1546d5b2-e809-11db-988c-0013ce54d2a8}]
\Shell\AutoRun\command - H:\ReadMe.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{311a07a3-5f74-11dc-9a03-0013ce54d2a8}]
\Shell\Auto\command - wscript "esta ig.vbs"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "esta ig.vbs"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3894d4d7-e397-11db-9876-0013ce54d2a8}]
\Shell\AutoRun\command - ~tmp0.1st.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6383f436-4af7-11db-9556-0010c69c8cb2}]
\Shell\Auto\command - wscript "esta ig.vbs"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "esta ig.vbs"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6de3e9b9-e51a-11db-987f-0013ce54d2a8}]
\Shell\AutoRun\command - 1.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82c52d48-df26-11da-93fa-0010c69c8cb2}]
\Shell\AutoRun\command - F:\lanceur.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5c76989-5f96-11dc-9a04-0013ce54d2a8}]
\Shell\Auto\command - wscript "esta ig.vbs"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "esta ig.vbs"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5aac98a-603d-11dc-9a07-0013ce54d2a8}]
\Shell\AutoRun\command - E:\fooool.exe
\Shell\explore\Command - E:\fooool.exe
\Shell\open\Command - E:\fooool.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-01-09 15:00:00 C:\WINDOWS\Tasks\{4844A57B-F132-4072-900A-F36887937053}_MANU4232_jean-jacques.job"
- C:\WINDOWS\system32\mobsync.exe
"2008-01-08 08:00:01 C:\WINDOWS\Tasks\{718972C0-8542-4DDB-B561-89C51B87747F}_MANU4232_jean-jacques.job"
- C:\WINDOWS\system32\mobsync.exeJ /Schedule=
"2008-01-04 15:00:01 C:\WINDOWS\Tasks\{F948F47F-CEA3-4CC3-8CBF-18F9ACD77C2F}_MANU4232_jean-jacques.job"
- C:\WINDOWS\system32\mobsync.exeJ /Schedule=
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 01:09:22
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-10 1:11:01
ComboFix-quarantined-files.txt 2008-01-10 00:10:59
ComboFix2.txt 2008-01-09 23:18:32
ComboFix3.txt 2008-01-09 22:04:53
ComboFix4.txt 2008-01-09 16:56:44


TROISIEME LOFILES (OnlineScanner).

# version=4
# OnlineScanner.ocx=1.0.0.56
# OnlineScannerDLLA.dll=1, 0, 0, 51
# OnlineScannerDLLW.dll=1, 0, 0, 51
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=2779 (20080109)
# vers_arch_module=1.060 (20071228)
# vers_adv_heur_module=1.064 (20070717)
# EOSSerial=d4b101729a55d645a2c52980c0d2afd3
# end=finished
# remove_checked=false
# unwanted_checked=false
# utc_time=2008-01-10 08:09:46
# local_time=2008-01-10 09:09:46 (+0100, Paris, Madrid)
# country="France"
# osver=5.1.2600 NT Service Pack 2
# scanned=294247
# found=8
# scan_time=3628
C:\Documents and Settings\jean-jacques\Application Data\Sun\Java\Deployment\cache\6.0\24\1b43a658-6b2e6c7b Java/Dummy trojan 6B1BA5CF401F45E8B870B54F01CC6F0E
C:\Documents and Settings\jean-jacques\Application Data\Sun\Java\Deployment\cache\6.0\24\1b43a658-6b2e6c7b »ZIP »Dummy.class Java/Dummy trojan 00000000000000000000000000000000
C:\Documents and Settings\jean-jacques\Application Data\Sun\Java\Deployment\cache\6.0\34\3fbcc162-70a5b17d Java/Dummy trojan D1C0833F80FC81228BEFFE95C3BB8470
C:\Documents and Settings\jean-jacques\Application Data\Sun\Java\Deployment\cache\6.0\34\3fbcc162-70a5b17d »ZIP »Dummy.class Java/Dummy trojan 00000000000000000000000000000000
C:\Documents and Settings\jean-jacques\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv470.jar-12cdc751-6bcd88b3.zip Java/Dummy trojan 6B1BA5CF401F45E8B870B54F01CC6F0E
C:\Documents and Settings\jean-jacques\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv470.jar-12cdc751-6bcd88b3.zip »ZIP »Dummy.class Java/Dummy trojan 00000000000000000000000000000000
C:\Documents and Settings\jean-jacques\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv698.jar-2ad2754e-23efba0a.zip Java/Dummy trojan D1C0833F80FC81228BEFFE95C3BB8470
C:\Documents and Settings\jean-jacques\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv698.jar-2ad2754e-23efba0a.zip »ZIP »Dummy.class Java/Dummy trojan 00000000000000000000000000000000

Bonjour,

visiblement, on a stabilisé l'ordi mais il y a encore des choses qui me déplaisent fortement.

Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier : C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp .exe
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Fais la même chose avec

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

(la différence : avp .exe avp.exe , un petit espace)
@+
N'acceptez jamais une désinfection par mp.

Re,
Voici les deux rapports :

Rapport avp .exe :
Fichier avp.exe reçu le 2008.01.05 21:10:10 (CET)
Situation actuelle: terminé

Résultat: 0/32 (0.00%)
Formaté Impression des résultats

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.5.11 2008.01.05 -
AntiVir 7.6.0.46 2008.01.04 -
Authentium 4.93.8 2008.01.05 -
Avast 4.7.1098.0 2008.01.05 -
AVG 7.5.0.516 2008.01.05 -
BitDefender 7.2 2008.01.05 -
CAT-QuickHeal 9.00 2008.01.05 -
ClamAV 0.91.2 2008.01.05 -
DrWeb 4.44.0.09170 2008.01.05 -
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5432 2008.01.04 -
Ewido 4.0 2008.01.05 -
FileAdvisor 1 2008.01.05 -
Fortinet 3.14.0.0 2008.01.05 -
F-Prot 4.4.2.54 2008.01.05 -
F-Secure 6.70.13030.0 2008.01.05 -
Ikarus T3.1.1.15 2008.01.05 -
Kaspersky 7.0.0.125 2008.01.05 -
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.05 -
NOD32v2 2766 2008.01.04 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.05 -
Prevx1 V2 2008.01.05 -
Rising 20.25.52.00 2008.01.05 -
Sophos 4.24.0 2008.01.05 -
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.05 -
TheHacker 6.2.9.181 2008.01.05 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.05 -
Webwasher-Gateway 6.6.2 2008.01.04 -
Information additionnelle
File size: 155751 bytes
MD5: 250f20c64fd9eaa0f2d7844bca92e741
SHA1: f0aebd77425d4137232f22fac36f23d622f85fd7
PEiD: Armadillo v1.71


Fichier avp.exe reçu le 2008.01.05 21:10:10 (CET)
Situation actuelle: terminé

Résultat: 0/32 (0.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.5.11 2008.01.05 -
AntiVir 7.6.0.46 2008.01.04 -
Authentium 4.93.8 2008.01.05 -
Avast 4.7.1098.0 2008.01.05 -
AVG 7.5.0.516 2008.01.05 -
BitDefender 7.2 2008.01.05 -
CAT-QuickHeal 9.00 2008.01.05 -
ClamAV 0.91.2 2008.01.05 -
DrWeb 4.44.0.09170 2008.01.05 -
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5432 2008.01.04 -
Ewido 4.0 2008.01.05 -
FileAdvisor 1 2008.01.05 -
Fortinet 3.14.0.0 2008.01.05 -
F-Prot 4.4.2.54 2008.01.05 -
F-Secure 6.70.13030.0 2008.01.05 -
Ikarus T3.1.1.15 2008.01.05 -
Kaspersky 7.0.0.125 2008.01.05 -
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.05 -
NOD32v2 2766 2008.01.04 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.05 -
Prevx1 V2 2008.01.05 -
Rising 20.25.52.00 2008.01.05 -
Sophos 4.24.0 2008.01.05 -
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.05 -
TheHacker 6.2.9.181 2008.01.05 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.05 -
Webwasher-Gateway 6.6.2 2008.01.04 -
Information additionnelle
File size: 155751 bytes
MD5: 250f20c64fd9eaa0f2d7844bca92e741
SHA1: f0aebd77425d4137232f22fac36f23d622f85fd7
PEiD: Armadillo v1.71

RE,

1) comment as tu "réactivé" Kaspersky ?

2) Est-ce que le parefeu sur ton routeur te eprmet de contrôler les connexions sortantes ?

3) Tu as une infection qui se propage par messagerie et par supports amovibles ( E:\fooool.exe ).

Télécharge Flash_Disinfector de sUBs ici
:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Enregistre le sur ton bureau.

Double clique sur Flash_Disinfector.exe pour le lancer
.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés.

Puis clique sur Ok

Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"

Appuye sur "Ok", pour faire réapparaitre le bureau

4) Est ce que C:\WINDOWS\system32\ctfmon .exe et C:\WINDOWS\system32\ctfmon.exe sont présents tous les 2 sur l'ordi ?

5) Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".

•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
•- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, choisis l’option 2.

Clean va travailler.
•- Redémarre normalement
•- Poste qui se trouve ici C:\rapport_clean.txt.


@+
N'acceptez jamais une désinfection par mp.

Re,
1. J'ai réactivé Kasperky en utilisant la fonction REPAIR du logiciel.
2. J'ai un routeur LINKYS WRT 54G. J'ignore si l'on peut contrôler les connexions sortantes. Mais l'interface est très détaillée. Je pense que oui.
3. Infection par supports amovibles : Ca me paraît plutôt étonnant. J'ai une clé USB mais je viens de l'acheter, un disque dur externe que je viens d'acheter aussi et un PDA qui ne fricote jamais avec d'autres machines et cela fait au moins un an que je n'ai rien téléchargé dessus.
4. J'ai exécuté Flash disinfector : apparemment il n'a rien trouvé.
Dans C\WINDOWS etc... il ya bien ctfmon. exe mais pas ctfmon.exe.
5. J'ao exécuté Clean.cmd. voici le rapport :
A plus.
Jacques.

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 10/01/2008 a 13:10:36,96

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:
tentative de suppression de C:\autorun.inf
Impossible de supprimer C:\autorun.inf

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

Re,

à quoi correspondent E:\ et F:\ ?
@+
N'acceptez jamais une désinfection par mp.

F correspond au lecteur-graveur de DVD
Je n'ai pas de "E" dans mon poste de travail. Je pense que ca doit être le PDA.

Je suis aussi infecté par ce virus qui bloque l'accès aux sites internet.Après demarrage, F-secure affiche ce message:
code dangereux détecté dansle fichier C:\windows\system32\LJJKJ.dll.

infection: Virus.Win32.Trats.d

Et quand consulte dans le menu de mon Firewall, il ya + de 8000 fichiers infectés.Et en cliquant sur "Afficher" derniere alerte, ce message apparait:
Infection: Trojan-Dropper.win32.Agent.dgo
Emplacement: c:\systemvolum...\A0070728.0xe
A l'aide!!!

P.S.:je suis un peu nul en informatique

Bonjour,
reprends toute la procédure proposée par LE LYONNAIS92.
Elle a porté ses fruits en ce qui me concerne, même si le virus n'as pas totalement disparu. Mais il est immédiatement détecté et détruiit par mon anti-virus sans causer de dommages.
Bonne chance.
Jacques