Probleme avast et Win32:Vundo@dll [Trj] [Résolu]

salut et voila un lien ou tu trouvera 1 anti vundo tu aura les 2 variande et bon courage j'espere que sa va t'aider

desoler j'ai oublier le lien http://www.symantec.com/security_response/writeup.jsp?docid=2004-112210-3747-99

pas mal infecté!
Télécharge sur ton Bureau RHosts (Merci à S!ri)
http://siri.urz.free.fr/Softs/RHosts.exe
Double-clique sur Rhosts.exe et clique sur "restaurer".

Télécharge VundoFix.exe (par Atribune) sur ton Bureau
http://www.atribune.org/ccount/click.php?id=4

Le PC va être redémarré lors du passage de VundoFix, je te conseille donc de fermer et enregistrer tout ce que tu as en cours!

Fais un double clic sur VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque l'analyse de ton PC est terminée, clique sur le bouton Fix Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique sur YES
Après avoir cliqué sur Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer
Clique sur OK

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage.
Coche les fichiers à supprimer qui te sont proposés
Clique sur Fix Vundo et laisse Vundofix redémarrer le PC
Renouvelle l'opération si demandé.


Copie/colle le contenu du rapport situé dans C:\VundoFix.txt (si XP est installé sur C:\ dans le cas contraire, il sera à la racine de ta partition système)

Télécharge VirtumundoBeGone sur ton Bureau.

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

* double-clic sur VirtumundoBeGone.exe

* Suis les instructions à l'écran

* Quand le Scan est terminé, enregistre le rapport.

* Copie/Colle le ici

Télécharge MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lancer l'examen
Clique sur Enregistrer le rapport et choisis ton Bureau


ainsi qu'un nouveau rapport Hijack This dans ta prochaine réponse

Bien, tout d'abord merci pour les réponses rapides, voilà où j'en suis :

J'ai essayé de suivre les instructions dans l'ordre, mais j'ai lancé deux fois Malwarebytes.

- Rhosts effectué (ça ne prend même pas une seconde, normal ?)

- Vundofix ne trouve rien du tout... (essayé 3 fois)

- J'ai ensuite lancé malwarebytes une première fois. Il trouve une vingtaine d'objet, j'ai tout mis en quarantaine, sauf ce qui concernait mon trojan, pour laisser le soin à Virtumundobegone de s'en charger (désolé, oublié de sauvegarder ce rapport...)

- Virtumundobegone le trouve et redémarre mon ordi (rapport en dessous). Je le relance plusieurs fois, il ne trouve plus rien.

- Je relance malwarebytes, qui bizarrement le retrouve. Cette fois, je le supprime.

Voici les rapports :



-----------

VBG


[05/27/2008, 15:57:28] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
[05/27/2008, 15:57:37] - Detected System Information:
[05/27/2008, 15:57:37] - Windows Version: 5.1.2600, Service Pack 2
[05/27/2008, 15:57:37] - Current Username: Nicolas Prenant (Admin)
[05/27/2008, 15:57:37] - Windows is in NORMAL mode.
[05/27/2008, 15:57:37] - Searching for Browser Helper Objects:
[05/27/2008, 15:57:37] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 15:57:37] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 15:57:37] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 15:57:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 15:57:37] - No filename found. Continuing.
[05/27/2008, 15:57:37] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 15:57:37] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 15:57:37] - BHO 6: {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} ()
[05/27/2008, 15:57:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 15:57:37] - Checking for HKLM\...\Winlogon\Notify\xxYrRKCu
[05/27/2008, 15:57:37] - Found: HKLM\...\Winlogon\Notify\xxYrRKCu - This is probably Virtumundo.
[05/27/2008, 15:57:37] - Assigning {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} MSEvents Object
[05/27/2008, 15:57:37] - BHO list has been changed! Starting over...
[05/27/2008, 15:57:37] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 15:57:37] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 15:57:37] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 15:57:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 15:57:37] - No filename found. Continuing.
[05/27/2008, 15:57:37] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 15:57:37] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 15:57:37] - BHO 6: {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} (MSEvents Object)
[05/27/2008, 15:57:38] - ALERT: Found MSEvents Object!
[05/27/2008, 15:57:38] - Finished Searching Browser Helper Objects
[05/27/2008, 15:57:38] - *** Detected MSEvents Object
[05/27/2008, 15:57:38] - Trying to remove MSEvents Object...
[05/27/2008, 15:57:39] - Terminating Process: IEXPLORE.EXE
[05/27/2008, 15:57:39] - Terminating Process: RUNDLL32.EXE
[05/27/2008, 15:57:39] - Disabling Automatic Shell Restart
[05/27/2008, 15:57:39] - Terminating Process: EXPLORER.EXE
[05/27/2008, 15:57:39] - Suspending the NT Session Manager System Service
[05/27/2008, 15:57:40] - Terminating Windows NT Logon/Logoff Manager
[05/27/2008, 15:57:40] - Re-enabling Automatic Shell Restart
[05/27/2008, 15:57:40] - File to disable: C:\WINDOWS\system32\xxYrRKCu.dll
[05/27/2008, 15:57:40] - Renaming C:\WINDOWS\system32\xxYrRKCu.dll -> C:\WINDOWS\system32\xxYrRKCu.dll.vir
[05/27/2008, 15:57:40] - File successfully renamed!
[05/27/2008, 15:57:40] - Removing HKLM\...\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}
[05/27/2008, 15:57:40] - Removing HKCR\CLSID\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}
[05/27/2008, 15:57:40] - Adding Kill Bit for ActiveX for GUID: {F9DF827A-8FA7-48A3-B268-CA4DB563EA40}
[05/27/2008, 15:57:40] - Deleting ATLEvents/MSEvents Registry entries
[05/27/2008, 15:57:40] - Removing HKLM\...\Winlogon\Notify\xxYrRKCu
[05/27/2008, 15:57:40] - Searching for Browser Helper Objects:
[05/27/2008, 15:57:40] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 15:57:40] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 15:57:40] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 15:57:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 15:57:40] - No filename found. Continuing.
[05/27/2008, 15:57:40] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 15:57:40] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 15:57:40] - Finished Searching Browser Helper Objects
[05/27/2008, 15:57:40] - Finishing up...
[05/27/2008, 15:57:40] - A restart is needed.
[05/27/2008, 15:57:53] - Attempting to Restart via STOP error (Blue Screen!)

[05/27/2008, 16:06:45] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
[05/27/2008, 16:06:47] - Detected System Information:
[05/27/2008, 16:06:47] - Windows Version: 5.1.2600, Service Pack 2
[05/27/2008, 16:06:47] - Current Username: Nicolas Prenant (Admin)
[05/27/2008, 16:06:47] - Windows is in NORMAL mode.
[05/27/2008, 16:06:47] - Searching for Browser Helper Objects:
[05/27/2008, 16:06:47] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 16:06:47] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 16:06:47] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 16:06:47] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 16:06:47] - No filename found. Continuing.
[05/27/2008, 16:06:47] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 16:06:47] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 16:06:47] - Finished Searching Browser Helper Objects
[05/27/2008, 16:06:47] - Finishing up...
[05/27/2008, 16:06:47] - Nothing found! Exiting...

[05/27/2008, 16:07:01] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
[05/27/2008, 16:07:02] - Detected System Information:
[05/27/2008, 16:07:02] - Windows Version: 5.1.2600, Service Pack 2
[05/27/2008, 16:07:02] - Current Username: Nicolas Prenant (Admin)
[05/27/2008, 16:07:02] - Windows is in NORMAL mode.
[05/27/2008, 16:07:02] - Searching for Browser Helper Objects:
[05/27/2008, 16:07:02] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 16:07:02] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 16:07:02] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 16:07:02] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 16:07:02] - No filename found. Continuing.
[05/27/2008, 16:07:02] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 16:07:02] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 16:07:02] - Finished Searching Browser Helper Objects
[05/27/2008, 16:07:02] - Finishing up...
[05/27/2008, 16:07:02] - Nothing found! Exiting...

[05/27/2008, 16:07:10] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
[05/27/2008, 16:07:15] - Detected System Information:
[05/27/2008, 16:07:15] - Windows Version: 5.1.2600, Service Pack 2
[05/27/2008, 16:07:15] - Current Username: Nicolas Prenant (Admin)
[05/27/2008, 16:07:15] - Windows is in NORMAL mode.
[05/27/2008, 16:07:15] - Searching for Browser Helper Objects:
[05/27/2008, 16:07:15] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/27/2008, 16:07:15] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/27/2008, 16:07:15] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/27/2008, 16:07:15] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/27/2008, 16:07:15] - No filename found. Continuing.
[05/27/2008, 16:07:15] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/27/2008, 16:07:15] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
[05/27/2008, 16:07:15] - Finished Searching Browser Helper Objects
[05/27/2008, 16:07:15] - Finishing up...
[05/27/2008, 16:07:15] - Nothing found! Exiting...

----------------

(Rapport avant suppression)


Malwarebytes' Anti-Malware 1.12
Version de la base de données: 789

Type de recherche: Examen complet (C:\|)
Eléments examinés: 146391
Temps écoulé: 36 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Nicolas Prenant\Local Settings\Temporary Internet Files\Content.IE5\8FB7E0D9\rasesnet[1].exe (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Nicolas Prenant\Local Settings\Temporary Internet Files\Content.IE5\UL6D416B\wavvsnet[1].exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP154\A0022437.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xxYrRKCu.dll.vir (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ssqPfEvv.dll (Trojan.Vundo) -> No action taken.


---------------------




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:51:09, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\lotus\register\remind32.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/internet/portail/go/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://service1.symantec.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Enregistrement de Lotus SmartSuite version 9.lnk = C:\lotus\register\remind32.exe
O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\microsoft office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Rhost n'a pas fonctionné...
Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

un tutoriel pour l'utiliser
http://siri.urz.free.fr/Fix/SmitfraudFix.php

Double-clique sur le fichier "SmitFraudFix.exe" (SmitFraudFix) et choisis l'option 1, il va lister tous les éléments nuisibles dans un rapport : poste-le
Le rapport se trouve à la racine du disque système C:\rapport.txt

process.exe est détecté par certains antivirus comme étant potentiellement dangereux. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.

Double clique sur SmitfraudFix.exe
Sélectionne 2 et clique sur Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
A la question: Voulez-vous nettoyer le registre ? Réponds O (oui) et clique sur Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
L'outil déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? Réponds O (oui) et clique Entrée pour remplacer le fichier corrompu.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
Poste ce rapport
ainsi qu'un rapport hijack this

lance hijack this pour un scan et coche ces lignes
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
ferme toutes tes applications y compris internet et clique sur fix checked

Télécharge ComboFix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Tutoriel officiel de ComboFix, afin de l’utiliser correctement
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Désactive ton antivirus, antispyware, et Spybot-S&D (résident) durant l'utilisation de ComboFix. Merci. Tu le réactiveras ensuite, en fin de désinfection.
Voir ici comment désactiver tes protections
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm
Double clique sur ComboFix.exe (ComboFix)
Tape 1 puis tape sur Entrée
A noter: une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
A la fin de l’analyse, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
Si le rapport n'apparaît pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)

Voilà, et encore merci pour les réponses particulièrement rapides. Le log combofix (après opération effectuée sur hijackthis) :



ComboFix 08-05-26.2 - Nicolas Prenant 2008-05-27 17:29:18.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.705 [GMT 2:00]
Endroit: C:\Documents and Settings\Nicolas Prenant\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\winhelp.ini

.
((((((((((((((((((((((((((((( Fichiers créés 2008-04-27 to 2008-05-27 ))))))))))))))))))))))))))))))))))))
.

2008-05-27 17:04 . 2008-05-27 17:06 3,020 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\Malwarebytes
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-27 14:49 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-27 14:49 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-27 14:38 . 2008-05-27 14:38 <REP> d-------- C:\VundoFix Backups
2008-05-27 07:11 . 2008-05-27 07:11 <REP> d-------- C:\Program Files\Trend Micro
2008-05-26 04:24 . 2008-05-26 04:24 <REP> d-------- C:\Program Files\7-Zip
2008-05-18 18:59 . 2008-05-18 18:59 <REP> d-------- C:\Program Files\EA GAMES
2008-05-14 01:14 . 2008-05-14 01:14 <REP> d-------- C:\Program Files\JoWood
2008-05-14 01:05 . 2008-05-14 01:08 <REP> d-------- C:\Program Files\Kingpin
2008-05-13 17:46 . 2003-10-27 14:06 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-05-13 17:46 . 2003-10-27 14:06 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2008-05-13 17:46 . 2003-10-27 14:06 69,632 --a------ C:\WINDOWS\system32\xmltok.dll
2008-05-13 17:46 . 2003-10-27 14:06 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll
2008-05-13 17:46 . 2003-10-27 14:06 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca
2008-05-13 17:46 . 2003-10-27 14:06 26,096 --a------ C:\WINDOWS\system32\xmlinst.exe
2008-05-13 17:41 . 2008-05-21 22:54 <REP> d-------- C:\Program Files\UBISOFT
2008-05-13 00:11 . 2008-05-13 02:21 <REP> d-------- C:\Program Files\Future Pinball
2008-05-11 20:39 . 2008-05-11 20:39 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\DivX
2008-05-11 20:38 . 2008-05-11 20:38 <REP> d-------- C:\Program Files\DivX
2008-05-11 20:38 . 2008-03-21 22:30 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-05-11 20:38 . 2008-03-21 22:30 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-05-11 20:33 . 2008-05-12 16:03 38 --a------ C:\WINDOWS\avisplitter.INI
2008-05-05 00:09 . 2008-05-05 00:09 <REP> d-------- C:\Program Files\The Weather Channel FW
2008-05-05 00:09 . 2008-05-05 00:09 <REP> d-------- C:\Program Files\AskPBar
2008-05-05 00:07 . 2008-05-13 05:01 <REP> d-------- C:\Program Files\Trillian

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 02:11 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\uTorrent
2008-05-27 01:55 --------- d-----w C:\Program Files\eMule
2008-05-22 02:22 768 --sha-w C:\hjejovma.sys
2008-05-21 23:44 --------- d-----w C:\Program Files\Wesnoth
2008-05-21 20:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-13 23:13 --------- d-----w C:\Program Files\EA SPORTS
2008-05-13 23:12 --------- d-----w C:\Program Files\IndustryGiant2
2008-05-13 17:34 --------- d-----w C:\Program Files\ASC
2008-05-07 20:48 --------- d-----w C:\Program Files\Soulseek
2008-05-07 13:51 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\AdobeUM
2008-04-23 13:54 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-04-23 13:54 --------- d-----w C:\Program Files\Windows Live
2008-04-23 13:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-04-07 07:47 --------- d-----w C:\Program Files\QuickTime
2008-04-07 07:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-05 17:20 --------- d-----w C:\Program Files\SecondLife
2008-04-03 01:55 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\SecondLife
2008-04-02 13:22 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\Apple Computer
2008-04-01 12:39 --------- d-----w C:\Program Files\Lavalys
2008-03-31 21:25 831,488 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-03-31 21:25 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-03-31 21:25 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-03-31 21:25 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-03-31 19:43 --------- d-----w C:\Program Files\NVIDIA Corporation
2008-03-31 14:30 --------- d-----w C:\Program Files\Apple Software Update
2008-03-31 14:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 194,144 ------w C:\WINDOWS\system32\dllcache\msjint40.dll
2008-03-21 20:30 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-03-21 20:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-03-21 20:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-03-21 20:30 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-03-21 20:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-03-21 20:28 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-03-21 20:28 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-03-21 20:28 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-03-21 20:28 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-03-21 20:28 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-03-21 20:28 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-03-21 20:28 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-03-21 20:28 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-03-21 20:28 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:09 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 15:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 04:14 81920]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 11:31 24576]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
"WinampAgent"="C:\Program Files\Winamp\wianmpa.exe" [ ]
"DeathAdder"="C:\Program Files\Razer\DeathAdder\razerhid.exe" [2007-05-07 18:40 159744]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-16 14:08 180269]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15:00 15360]

C:\Documents and Settings\Nicolas Prenant\Menu D‚marrer\Programmes\D‚marrage\
Enregistrement de Lotus SmartSuite version 9.lnk - C:\lotus\register\remind32.exe [1998-05-27 12:37:42 67584]
Lotus QuickStart.lnk - C:\lotus\wordpro\ltsstart.exe [1997-05-14 02:23:00 25600]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-16 22:51:48 108544]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
Microsoft Office.lnk - C:\Program Files\microsoft office\Office10\OSA.EXE [2001-02-13 10:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\APPS\\Inventime\\my.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\Soulseek\\slsk.exe"=
"C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\jeux et sauvegardes\\PSX\\ePSXe.exe"=
"C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40k.exe"=
"C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\programmes divers\\caratruf\\Truf.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40kWA.exe"=
"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Program Files\\FileZilla\\filezilla.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\SecondLife\\SLVoice.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9725:TCP"= 9725:TCP:eMule_TCP
"11307:UDP"= 11307:UDP:eMule_UDP
"4662:TCP"= 4662:TCP:4662 TCP
"4711:TCP"= 4711:TCP:4711 TCP
"4672:UDP"= 4672:UDP:4672 UDP

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 DAdderFltr;DeathAdder Mouse;C:\WINDOWS\system32\drivers\dadder.sys [2007-04-12 07:46]
S3 gAGP440p;gAGP440p;C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\gAGP440p.sys []

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-14 06:30:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 17:32:31
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MysqlInventime]
"ImagePath"="c:\mysql\bin\mysqld-nt MysqlInventime"
.
Temps d'accomplissement: 2008-05-27 17:35:11
ComboFix-quarantined-files.txt 2008-05-27 15:35:01

Pre-Run: 68,761,071,616 octets libres
Post-Run: 68,920,332,288 octets libres

187 --- E O F --- 2008-05-16 03:18:05

Rappel : une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
Sélectionne le texte suivant (Ctrl+A):

Driver::
gAGP440p
File::
C:\WINDOWS\system32\tmp.reg
C:\hjejovma.sys
C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\gAGP440p.sys
Folder::
C:\VundoFix Backups
C:\Program Files\AskPBar

Copie le texte sélectionné (CTRL+C).
Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).
Colle le texte copié dans ce Bloc-notes (CTRL+V).
Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)
Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Laisse ComboFix travailler
Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le nettoyage n'est pas terminé.
Un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)

Fait, et voilà le résultat :



ComboFix 08-05-26.2 - Nicolas Prenant 2008-05-27 19:14:59.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.617 [GMT 2:00]
Endroit: C:\Documents and Settings\Nicolas Prenant\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Nicolas Prenant\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

FILE ::
C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\gAGP440p.sys
C:\hjejovma.sys
C:\WINDOWS\system32\tmp.reg
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\hjejovma.sys
C:\Program Files\AskPBar
C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
C:\Program Files\AskPBar\bar\Cache\[u]0/u0096843
C:\Program Files\AskPBar\bar\Cache\[u]0/u0096B70
C:\Program Files\AskPBar\bar\Cache\[u]0/u0096EDB.bin
C:\Program Files\AskPBar\bar\Cache\[u]0/u0097294.bin
C:\Program Files\AskPBar\bar\Cache\[u]0/u00975D0.bin
C:\Program Files\AskPBar\bar\Cache\files.ini
C:\Program Files\AskPBar\bar\History\search2
C:\Program Files\AskPBar\bar\Settings\prevcfg2.htm
C:\VundoFix Backups
C:\WINDOWS\system32\tmp.reg

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GAGP440P
-------\Service_gAGP440p


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-27 to 2008-05-27 ))))))))))))))))))))))))))))))))))))
.

2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\Malwarebytes
2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-27 14:49 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-27 14:49 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-27 07:11 . 2008-05-27 07:11 <REP> d-------- C:\Program Files\Trend Micro
2008-05-26 04:24 . 2008-05-26 04:24 <REP> d-------- C:\Program Files\7-Zip
2008-05-18 18:59 . 2008-05-18 18:59 <REP> d-------- C:\Program Files\EA GAMES
2008-05-14 01:14 . 2008-05-14 01:14 <REP> d-------- C:\Program Files\JoWood
2008-05-14 01:05 . 2008-05-14 01:08 <REP> d-------- C:\Program Files\Kingpin
2008-05-13 17:46 . 2003-10-27 14:06 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-05-13 17:46 . 2003-10-27 14:06 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2008-05-13 17:46 . 2003-10-27 14:06 69,632 --a------ C:\WINDOWS\system32\xmltok.dll
2008-05-13 17:46 . 2003-10-27 14:06 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll
2008-05-13 17:46 . 2003-10-27 14:06 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca
2008-05-13 17:46 . 2003-10-27 14:06 26,096 --a------ C:\WINDOWS\system32\xmlinst.exe
2008-05-13 17:41 . 2008-05-21 22:54 <REP> d-------- C:\Program Files\UBISOFT
2008-05-13 00:11 . 2008-05-13 02:21 <REP> d-------- C:\Program Files\Future Pinball
2008-05-11 20:39 . 2008-05-11 20:39 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\DivX
2008-05-11 20:38 . 2008-05-11 20:38 <REP> d-------- C:\Program Files\DivX
2008-05-11 20:38 . 2008-03-21 22:30 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-05-11 20:38 . 2008-03-21 22:30 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-05-11 20:33 . 2008-05-12 16:03 38 --a------ C:\WINDOWS\avisplitter.INI
2008-05-05 00:09 . 2008-05-05 00:09 <REP> d-------- C:\Program Files\The Weather Channel FW
2008-05-05 00:07 . 2008-05-13 05:01 <REP> d-------- C:\Program Files\Trillian

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 02:11 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\uTorrent
2008-05-27 01:55 --------- d-----w C:\Program Files\eMule
2008-05-21 23:44 --------- d-----w C:\Program Files\Wesnoth
2008-05-21 20:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-13 23:13 --------- d-----w C:\Program Files\EA SPORTS
2008-05-13 23:12 --------- d-----w C:\Program Files\IndustryGiant2
2008-05-13 17:34 --------- d-----w C:\Program Files\ASC
2008-05-07 20:48 --------- d-----w C:\Program Files\Soulseek
2008-05-07 13:51 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\AdobeUM
2008-04-23 13:54 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-04-23 13:54 --------- d-----w C:\Program Files\Windows Live
2008-04-23 13:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-04-07 07:47 --------- d-----w C:\Program Files\QuickTime
2008-04-07 07:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-05 17:20 --------- d-----w C:\Program Files\SecondLife
2008-04-03 01:55 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\SecondLife
2008-04-02 13:22 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\Apple Computer
2008-04-01 12:39 --------- d-----w C:\Program Files\Lavalys
2008-03-31 19:43 --------- d-----w C:\Program Files\NVIDIA Corporation
2008-03-31 14:30 --------- d-----w C:\Program Files\Apple Software Update
2008-03-31 14:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
.

((((((((((((((((((((((((((((( snapshot@2008-05-27_17.34.54,09 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-27 15:20:10 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-27 17:18:27 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2008-05-27 17:18:49 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_538.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 15:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 04:14 81920]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 11:31 24576]
"WinampAgent"="C:\Program Files\Winamp\wianmpa.exe" [ ]
"DeathAdder"="C:\Program Files\Razer\DeathAdder\razerhid.exe" [2007-05-07 18:40 159744]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-16 14:08 180269]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\APPS\\Inventime\\my.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\Soulseek\\slsk.exe"=
"C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\jeux et sauvegardes\\PSX\\ePSXe.exe"=
"C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40k.exe"=
"C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\programmes divers\\caratruf\\Truf.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40kWA.exe"=
"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Program Files\\FileZilla\\filezilla.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\SecondLife\\SLVoice.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9725:TCP"= 9725:TCP:eMule_TCP
"11307:UDP"= 11307:UDP:eMule_UDP
"4662:TCP"= 4662:TCP:4662 TCP
"4711:TCP"= 4711:TCP:4711 TCP
"4672:UDP"= 4672:UDP:4672 UDP

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 DAdderFltr;DeathAdder Mouse;C:\WINDOWS\system32\drivers\dadder.sys [2007-04-12 07:46]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-14 06:30:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 19:20:07
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...


**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MysqlInventime]
"ImagePath"="c:\mysql\bin\mysqld-nt MysqlInventime"
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\APPS\ABOARD\AOSD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\lotus\register\remind32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-27 19:29:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-27 17:28:14
ComboFix2.txt 2008-05-27 15:35:12

Pre-Run: 69,054,599,168 octets libres
Post-Run: 68,984,680,448 octets libres

190 --- E O F --- 2008-05-16 03:18:05

comment se comporte le PC?

Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
Clique sur Recherche et laisse le Scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


Faire un Scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
poster le rapport ici ensuite
http://www.bitdefender.fr/

En bas, à gauche de la fenêtre, clique sur Bit Defender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte
La fenêtre change encore, clique sur Scanner
Les signatures se chargent, etc.

Tout semble bon... Avast ne me signale plus de problème, et je ne trouve plus rien après plusieurs scans des autres programmes.

Le rapport toolscleaner :


-->- Recherche:

C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Nicolas Prenant\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.lnk: trouvé !
C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe: trouvé !
C:\Documents and Settings\Nicolas Prenant\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Nicolas Prenant\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\Nicolas Prenant\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Nicolas Prenant\Mes documents\Downloads Firefox\HJTInstall.exe: trouvé !
C:\Documents and Settings\Nicolas Prenant\Mes documents\programmes divers\SmitFraudFix.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !



Le rapport bitdefender :


http://nprenant.free.fr/test/bitd.html



Je pense que tout va bien, maintenant, merci beaucoup pour l'aide.

c'est tout bon!!
si tout va bien supprime tout ce qu'on a utilisé et qui ne l'a pas été par Tools Cleaner2, car ce ne sera plus utile désormais
conserve néanmoins Ccleaner ou
Télécharge : - Ccleaner
http://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
et effectue le nettoyage tous les jours avant de couper le PC

installe ce logiciel très utile et Scanne ton PC avec une fois par semaine au moins...
MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lancer l'examen
Clique sur Enregistrer le rapport et choisis ton Bureau

tu peux le coupler avec celui-ci
Spybot Search and Destroy
http://www.safer-networking.org/?page=download

défragmente

pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

http://forum.pcastuces.com/sujet.asp?f=25&s=25892

désactive ta restauration
clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
redémarre ton PC
clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer


la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...


et bon surf