Infecté par backdoor.Graybird.MR, quoi faire? [Résolu]

Bonjour

Télécharge combofix.exe http://download.bleepingcomputer.com/sUBs/ComboFix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
• ==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
• ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
• Double-clique combofix.exe afin de l'exécuter.
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
• Ou bien --> Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
• Laisse se dérouler le scan.
• /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse)./i\
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
• Copie-colle ce rapport dans ta prochaine réponse.
• Le rapport se trouve dans : C:\Combofix.txt (si jamais).



Merci
Al

d'accord merci beaucoup de m'avoir répondue aussi rapidement je vais faire ce que tu me demandes
à +

OK

Avec le rapport de ComboFix que tu feras parvenir ici, cite-moi les apllications que tu avais déjà lancées, SVP.
Merci

voilà le rapport combofix :

ComboFix 08-09-10.04 - Client 2008-09-12 8:30:27.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1019 [GMT 1:00]
Endroit: E:\documentations\informatique décisionnelle\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\dao350.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-12 to 2008-09-12 ))))))))))))))))))))))))))))))))))))
.

2008-09-12 07:37 . 2008-09-12 07:44 12,288 --a------ C:\Documents and Settings\Client\spydb.dat
2008-09-12 00:01 . 2008-09-12 00:01 <REP> d-------- C:\SpySoapBin
2008-09-11 22:13 . 2008-09-11 22:13 <REP> d-------- C:\Documents and Settings\Client\Application Data\SUPERAntiSpyware.com
2008-09-11 22:13 . 2008-09-11 22:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-09-11 22:12 . 2008-09-11 22:12 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-09-11 05:33 . 2008-09-12 08:25 <REP> d--h----- C:\$AVG8.VAULT$
2008-09-11 05:17 . 2008-09-11 05:23 <REP> d-------- C:\Documents and Settings\Client\.smplayer
2008-09-11 05:09 . 2008-09-11 05:09 <REP> d--hs---- C:\WINDOWS\ftpcache
2008-09-11 02:07 . 2008-09-12 02:44 <REP> d-------- C:\WINDOWS\system32\drivers\Avg
2008-09-11 02:07 . 2008-09-11 05:50 97,928 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-09-11 02:07 . 2008-09-11 05:50 76,040 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-09-11 02:07 . 2008-09-11 05:50 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-09-11 00:57 . 2008-09-11 01:54 <REP> d-------- C:\Documents and Settings\Client\Application Data\AVGTOOLBAR
2008-09-11 00:57 . 2008-09-11 02:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-09-10 23:27 . 2008-09-10 23:27 173 --a------ C:\curr_ver.tmp
2008-09-09 00:06 . 2008-09-09 00:06 3,932,214 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp
2008-09-09 00:06 . 2008-09-09 00:06 52,191 --a------ C:\WINDOWS\BricoPackUninst.cmd
2008-09-08 23:51 . 2008-09-09 00:06 4,835 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-09-08 23:49 . 2008-09-08 23:49 <REP> d-------- C:\WINDOWS\BricoPacks
2008-09-08 22:49 . 2007-08-22 07:55 2,759,438 --a------ C:\WINDOWS\Sim AQUARIUM 2.scr
2008-09-08 18:48 . 2008-09-12 07:37 <REP> d-------- C:\Documents and Settings\Client\Application Data\IDM
2008-09-08 18:48 . 2008-09-12 08:33 <REP> d-------- C:\Documents and Settings\Client\Application Data\DMCache
2008-09-07 03:38 . 2008-09-07 03:38 <REP> d-------- C:\Documents and Settings\Client\Application Data\3M
2008-09-07 03:18 . 2008-09-07 03:36 <REP> d-------- C:\Documents and Settings\Client\Application Data\GetRightToGo
2008-09-06 04:15 . 2008-09-06 04:15 <REP> d-------- C:\Documents and Settings\Client\Application Data\Apple Computer
2008-09-04 22:53 . 2008-09-04 22:53 <REP> d-------- C:\Documents and Settings\Client\Application Data\Malwarebytes
2008-09-04 22:53 . 2008-09-04 22:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-04 22:53 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-04 22:53 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-01 13:56 . 2008-07-09 15:34 206,256 --a------ C:\WINDOWS\system32\idmmbc.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 07:33 75,362,336 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-12 04:51 878,636 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-12 01:54 --------- d-----w C:\Documents and Settings\Client\Application Data\Skype
2008-09-12 00:26 --------- d-----w C:\Documents and Settings\Client\Application Data\skypePM
2008-09-11 12:16 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-09-11 05:55 --------- d-----w C:\Documents and Settings\Client\Application Data\Free Download Manager
2008-09-08 23:06 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-09-07 19:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-07 04:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-06 07:00 444,928 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-08-28 16:40 198,656 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-08-24 14:18 124,416 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-08-23 03:07 197,632 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-08-18 03:23 828,416 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-08-18 03:23 1,422,848 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-07-30 01:51 --------- d-----w C:\Program Files\EsetOnlineScanner
2008-07-29 16:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-07-21 17:46 201,728 ----a-w C:\WINDOWS\system32\Les Simpson - Le film.scr
2008-07-16 08:47 --------- d-----w C:\Documents and Settings\Client\Application Data\dvdcss
2008-07-09 08:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-07-09 08:05 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll
2008-07-09 08:05 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll
2008-07-09 08:05 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-07-09 08:05 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-07-09 08:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"L08FXLRD_2306265"="C:\Program Files\Microsoft Etudes\Microsoft Encarta 2008 - Études DVD\EDICT.EXE" [2007-06-12 351000]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 1667584]
"SpybotSD TeaTimer"="D:\Mes Programmes\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"IDMan"="D:\Mes Programmes\Internet Download Manager\IDMan.exe" [2008-09-01 2610608]
"AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 2321600]
"SUPERAntiSpyware"="D:\Mes Programmes\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSRaid"="C:\Program Files\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe" [2005-05-18 905216]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-07-10 188416]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe" [2007-05-02 75520]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [2007-07-11 20480]
"tsnpstd3"="C:\WINDOWS\tsnpstd3.exe" [2007-04-21 270336]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2007-05-10 835584]
"ZoneAlarm Client"="D:\Mes Programmes\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"AVG8_TRAY"="D:\MESPRO~1\AVG\AVG8\avgtray.exe" [2008-09-11 1235736]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SpySoap_tray"="D:\Mes Programmes\SpySoap\tray.exe" [2008-04-16 425984]
"SpySoap_schedules"="D:\Mes Programmes\SpySoap\schedules.exe" [2008-04-16 64512]
"SiSPower"="SiSPower.dll" [2005-08-25 C:\WINDOWS\system32\SiSPower.dll]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe [2008-06-02 262144]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "D:\Mes Programmes\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 D:\Mes Programmes\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= DIVXc32.dll
"vidc.DIV4"= DIVXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Mes Programmes\\AVG\\AVG8\\avgupd.exe"=
"D:\\Mes Programmes\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-09-11 97928]
R2 avg8emc;AVG8 E-mail Scanner;D:\MESPRO~1\AVG\AVG8\avgemc.exe [2008-09-11 875288]
R2 avg8wd;AVG8 WatchDog;D:\MESPRO~1\AVG\AVG8\avgwdsvc.exe [2008-09-11 231704]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-09-11 76040]
R2 SpySoapSysGuardService;System Guard(SpySoap);D:\Mes Programmes\SpySoap\SysGuard.exe [2008-04-16 186368]
R3 SpySoapSysGuardDriver;SpySoapSysGuardDriver;D:\Mes Programmes\SpySoap\sysGuard.sys [2008-04-16 13824]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b725225-3096-11dd-9a99-0019216f0368}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs

*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Client\Application Data\Mozilla\Firefox\Profiles\a1acxl8q.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.com/
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava11.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava12.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava13.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava14.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJava32.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPJPI150_12.dll
FF -: plugin - C:\Program Files\Java\jre1.5.0_12\bin\NPOJI610.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM1.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM2.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM3.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM4.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM5.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\NP_IDM6.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\npdsplay.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\npfdm.dll
FF -: plugin - D:\Mes Programmes\Opera\program\plugins\npwmsdrm.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-12 08:33:36
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...


**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySQL]
"ImagePath"="\"D:\Mes Programmes\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"D:\Mes Programmes\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
Temps d'accomplissement: 2008-09-12 8:37:01
ComboFix-quarantined-files.txt 2008-09-12 07:35:54

Pre-Run: 4,247,281,664 octets libres
Post-Run: 4,284,170,240 octets libres

175 --- E O F --- 2008-08-02 09:29:30

les applications que j'ai lancé sont :
- au debut, j'ai fait un scan avec antivir qui me l'a detecté mais ne l'a pas supprimé, j'ai refait le scan 2 fois c'était la même chose, l'infection est là
- je suis passée à avg qui ne l'a pas détecté dutout seulement des tracking cookies de opera
- j'ai fait un scan avec spybot toujours rien, il ne le detecte pas
- j'ai essayé superantispyware, rien non plus, il ne detecte que les tracking cookies de opera
- j'ai essayé spy soap qui normalement peut supprimé ce backdoor, rien ! mais il a attiré mon attention sur une entrée du registre qui contient Rundll32.exe parmi les processus de démarrage de windows qui était rajoutée à une entrée pour un de mes utilitaires, je l'ai enlevé des processus de demarrage
en parallèle, mon parfeu zonealarme m'a hier demandé si j'autorisais l'accès à internet à Rundll32.exe bien sure j'ai refusé, rundll32.exe n'a rien à faire de internet, ça c'est propre aux spywares, j'ai ensuite lancé le gestionnaire de taches et arrété ce rundll32.exe sans problème
- j'ai aussi remarqué qu'il m'était impossible d'ouvrir System Volume Information,le repertoire qui stocke les points de restauration, comme je sais que les virus aiment bien se balader dedans j'ai essayé de l'ouvrir avec windows rien, j'ai essayé avec winrar et toujours rien, alors je suis passée au dos, et j'ai fait le nettoyage des fichiers de restauration avec les commandes dos, s'était facile de reconnaitre les maichants fichiers
voilà, normalement j'ai rien oublié, c'est ce que j'ai fait, et ce qui m'a mis la puce à l'oreil c'est la lenteur de ma connexion
- j'oubliais j'ai aussi lancé malwarebytes' rien non plus
voilà voilà, et encore merci pour votre aide

Re,

Merci.
Effectivement, on ne voit plus grand-chose.

==> "impossible d'ouvrir System Volume Information" As-tu affiché les fichiers cachés ?

Ton antivirus actif actuellement, est-ce ANTIVIR ou AVG Internet Security Suite ?
Qu'en est-il de ce AVG Internet Security Suite ? (licence ?)

Ton pare-feu ZoneLabsFirewall est-il bien activé ?
Parce que je vois ceci :
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001 ==> désactivé ?

Note: Pour l'analyse par ComboFix, j'avais recommandé de désactiver les protections résidentes du PC.
Or, je note encore que le Tea-Timer de Spybot S&D est activé:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="D:\Mes Programmes\Spybot - Search & Destroy\TeaTimer.exe"


Supprime ce D:\Mes Programmes\SpySoap


Appliquer ces mises à jour de sécurité:
1°- ton C:\Program Files\Adobe\Reader; comme ceci:
http://www.adobe.com/fr/products/acrobat/readstep2.html
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.
- Décocher "Téléchargez également :Adobe Photoshop® Album Édition"
- Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions.
2°- ta console JAVA; comme ceci:
Dernière version Java Runtime Environment 1.6.0.7 disponible ici :
http://filehippo.com/download_java_runtime/
Ensuite, vas dans "Panneau de configuration" > "Ajout/suppr.de programmes", et supprime tes anciennes versions



Utilises-tu une clé USB (disque amovible) ? Par ce que je vois ceci:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b725225-3096-11dd-9a99-0019216f0368}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs
Si OUI, fais ceci:
� Désactive la restauration système.
Clic droit sur poste de travail > propriétés > onglet restauration système
Coche "désactiver la restauration système sur tous les lecteurs".
clic sur ok pour valider

� Télécharge l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistre Flash_Disinfector.exe sur ton bureau.
Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau).
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.
Puis clic sur Ok Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
Appuies ensuite sur OK, pour faire réapparaître le bureau.
S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par une.

Ensuite fais analyser par précaution ton pc par :
http://www.kaspersky.com/virusscanner
Clic sur le bouton [Kaspersky Online Scanner] et laisse toi guider.
Comme cible d'analyse, choisis le « Poste de travail ».
- Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ».
- Sauvegarde puis colle le rapport généré en fin d'analyse.
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif

AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 >
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : http://forum.pcastuces.com/sujet.asp?f=25&s=37641 (par Morgane & nico_dodo)

Si le rapport n'indique aucune infection :
� Réactive la restauration système.
Clic droit sur poste de travail > propriétés > onglet restauration système
Décoche "désactiver la restauration système sur tous les lecteurs".
Clic sur ok pour valider.



Fais déjà ça.
Merci
Al.

merci beaucoup, je vais faire ça

excuse moi, j'ai oublié de repondre à tes questions :
- oui j'affiche toujours les fichiers cachés et les fichiers cryptés sous ntfs, je préfère ça, souvent c'est comme ça que je détecte les virus par moi même, je ne fais pas confiance aux anti virus
- l'antivirus actif en ce moment est avg anti virus free, c'est le dernier que j'ai essayé, je suis trop creuvée pour désinstaller ... redémarrer ... réinstaller ... redemarrer (je n'ai pas encore dormie de la nuit, trop de travail à faire)
- oui mon parfeu zonealarme est activé, je l'ai désactivé pour faire le scan combofix, mais je me rends compte que c'était spybot qu'il fallait désactiver et pas lui .... mauvaise manip, je suis trop creuvée !!!
- spysoap je l'ai désinstallé avg me l'a détecté comme un adware et puis j'ai ma dose d'anti spyware et d'autres anti ... n'importe quoi
- pour l'adobe j'étais en train de faire la mise à jour tout à l'heure mais j'ai tout arrété pour faire le scan
- je vais faire les mises à jour de java et adobe
- pour l'entrée du registre de la clé usb, oui j'utilise des clés usb, mais elles sont toutes nickel, je ferais quand même le scan
cette entrée c'est apparamment le dernier souvenir du virus ".vbs" que j'ai eu une fois mais que j'ai pu supprimer en supprimant manuellement (toujours à partir du dos) le fichier ".vbe" du repertoire System32, je vais voir ça
- je fais faire le scan en ligne, ça va prendre du temps, je metterai le rapport une fois terminé

encore merci Al

finallement,je vais dormir un peu je ne tiens plus debout
j'ai installé adobereader9 je l'avais déjà téléchargé sans l'installer
le reste je le ferais tout à l'heure
merci beaucoup
Al
à +

OK
Pense à toi
à+..
Al.

yasmine,

Note:
As-tu vu que tu as reçu un MP.
Il doit y avoir un clignotant dans le coin supérieur droit de la page CCM.
Clique sur l'enveloppe pour l'ouvrir.


(La suite)
À appliquer uniquement après en avoir terminé avec ce qui a été demandé précédemment.
Notamment, avoir posté le rapport Kaspersky.
Merci.


A)- Il faudra faire analyser ce fichier C:\Documents and Settings\Client\.smplayer chez VirusTotal
Note: Remarque le point avant smplayer (?)
Tutoriel ici http://bibou0007.com/tutos-f45/tutorial-sur-virustotal-t190.htm
Vas là :< http://www.virustotal.com/ >
•- sur la page qui s'affiche tu cliques sur [Parcourir]
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin C:\Documents and Settings\Client du fichier .smplayer
c'est-à-dire via "Poste de travail" >
•- Tu ouvres le dossier "\Client", et quand tu y as trouvé le fichier .smplayer, tu cliques sur "Ouvrir" ( sur cette dernière page affichée)
•- le fichier .smplayer se retrouve alors ainsi dans la fenêtre de VirusTotal, pour l'analyse
•- là, tu cliques sur "send file" = « Envoyer » ( de la page de VirusTotal )
•- et tu attends le résultat (il faut parfois patienter)
•- Dans l'encadré: "Situation actuelle: terminé" ==> cliquer sur "Formaté"
•- Une nouvelle fenêtre de votre navigateur apparaîtra...
•- Dans la nouvelle fenêtre, cliquer sur cette image : < http://img215.imageshack.us/img215/6039/virustotalpourcopierip3.jpg >
•- Faire un clic-droit sur la page, choisir => "Sélectionner tout" > puis encore clic-droit => Copier...
Enfin , clic-droit => Coller le(s) résultat(s) dans le WordPad ou Bloc-Notes ==> et le poster sur forum ici.

Refais la même chose pour ces fichiers
C:\WINDOWS\system32\SiSPower.dll
D:\Mes Programmes\MySQL\MySQL Server 5.0\my.ini
Note: Remarque que ce n'est pas le même chemin à suivre.




B)- 1°- AVG 8 est disponible en langue française en évaluation sur 30 jours
Est-ce bien celui que tu as mis dans ton PC ? (je préfère ANTIVIR).
Tutorial et Guide AVG8 Internet Security http://www.malekal.com/tutorial_AVG8.php
2°- ATTENTION: Le pare-feu de AVG8 Internet Security fait double emploi avec ZA.
3°- Comme antipywares sur ton PC, SUPERAntiSpyware suffit; pas besoin de Spybot S&D; de surcroît, le Tea-Timer de Spybot S&D ralenti le PC, n'est plus très efficace, et contrarie les désinfections.
Mais je crois que c'est la même rengaine ... gratuit, ses fonctions sont limitées.


C)- Tu as toujours l'icône de ComboFix sur le bureau
1°- PREALABLES :
A)-Désactiver le TeaTimer
==> Si tu n'as pas Spybot S&D, passe outre de cette partie !
==> Si tu as Spybot S&D.
•- Tout d'abord > Désactive le Tea-Timer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Tea- Timer dans la barre de tâches!
•- Ne fais pas l'impasse sur cette étape, car ça peut faire échouer la procédure de désinfection !
B)- Supprime également la protection en temps-réel (bouclier) de AVG ISS.

2°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :

File::
C:\Documents and Settings\Client\spydb.dat
C:\curr_ver.tmp
C:\WINDOWS\Internet Logs\xDB6.tmp
C:\WINDOWS\Internet Logs\xDB5.tmp
C:\WINDOWS\Internet Logs\xDB4.tmp
C:\WINDOWS\Internet Logs\xDB3.tmp
C:\WINDOWS\Internet Logs\xDB1.tmp
C:\WINDOWS\Internet Logs\xDB2.tmp

Folder::
C:\Program Files\EsetOnlineScanner
C:\SpySoapBin
D:\Mes Programmes\SpySoap
D:\Mes Programmes\Spybot - Search & Destroy

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b725225-3096-11dd-9a99-0019216f0368}\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpySoap_tray"=-
"SpySoap_schedules"=-
"SiSPower"=-

3°- Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C.
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V .
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript1.txt
• Regarde ici (ce n’est qu’un exemple !) < http://img509.imageshack.us/img509/5984/screenshot332wc3.png >

4°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ gras>CFScript1.txt</gras> ” sur le fichier “ComboFix.exe”(Tristan.exe) comme sur la capture: < http://apu.mabul.org/up/apu/2008/08/12/img-210914jjufm.gif >
L'icône ComboFix.exe change alors de "brillance" dans sa couleur.
Un module s'affiche ==> clic sur "Exécuter"

Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!
(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

5°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

6°- Arrêter puis redémarrer le PC

7°- Passe un coup de MalwareBytes ==> choisis le "scan complet", et "nettoyer tout ce qu'il trouve".
Branche les disques amovibles (clés USB) sans les ouvrir.
Télécharge et installe Malwarebyte's Anti-Malware
Je préfère le scan sous le MSE (=mode sans échec).
Aide : http://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
Poste-moi le rapport généré à la fin dans ta prochaine réponse


8°- Poste un rapport d'analyse avec DiagHelp; comme ceci:
Télécharge DiagHelp.zip < http://www.malekal.com/download/DiagHelp.zip > sur ton bureau
< http://img521.imageshack.us/img521/3341/screenshot426fc5.png >
- - Ne double-clic pas dessus !!
Clic sur l'icône DiagHelp.zip téléchargé sur le bureau > "clic-droit" sur le fichier .zip > "Ouvrir" > un nouveau dossier va être créé sous le nom DiagHelp sur une page qui s'affiche > sur cette page, clic sur "Fichier" > "Extraire tout" > Un assistant d'extraction s'ouvre ==> [Suivant] > [Suivant] (cocher la case devant "afficher les fichiers extraits") > [Terminer]
À nouveau, une page s'affiche avec le dossier DiagHelp > Ouvre-le et clic sur le fichier "go.cmd" < http://img392.imageshack.us/img392/9054/screenshot416to8.png > ----> et sur cette page, < http://img512.imageshack.us/img512/9692/screenshot427ci2.png > choisis l'option 1 (= tape 1 sur le petit clignotant, puis [Exécuter]
(NOTE : Si tu reçois cette page http://img257.imageshack.us/img257/2271/screenshot424jn0.png , c’est que les fichiers ne sont pas décompressés correctement)

Notes:
1)- Lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur "Agree"
2)- Tu vas certainement recevoir une alerte du pare-feu te demandant si tu acceptes que le processus "sigcheck.exe" puisse se connecter à Internet > "Accepte".
3)- Pendant l'analyse, à la fin du rapport "catchme", il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran! N'oublie pas !
4- A la fin du scan tu seras dirigé vers la page de l'auteur afin d'expédier le fichier C:\upload_moi_xxxxx.zip ==> Envoie le fichier (c'est chez le concepteur) s’il te plaît.
(J'espère que ça passera --> beaucoup de souci à cette étape de ses jours-ci.)
Si tu reçois un message d'erreur ferme simplement la page internet et clique sur la touche [Enter], pour laisser terminer le scan et avoir accès au fichier texte
•- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur...
•- Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes.
Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-notes qui s'ouvre, pour cela : « Dans le bloc-notes, cliquez sur le menu Edition / Sélectionner tout > à nouveau menu Edition / copier > pour terminer dans un nouveau message ici, faire un clic droit / coller. »
- Tutoriel ici : < http://www.malekal.com/DiagHelp/DiagHelp.php >



Bonne chance
Je quitte un peu le PC.
Al.

Bonsoir,
le scan en ligne de kaspersky est en court, je viens de lire ton dernier post :

- en ce qui concèrne le répertoire .smplayer, il fait partie des fichiers d'installation du lecteur SMPlayer, il contient le fichier smplayer.ini qui stocke toutes les informations concernant sur la dernière selection qu'il a lu, parce que smplayer a la particularité de retenir où il s'est arrété lors de sa dernière executin (très pratique, je le ferme et quand je l'ouvre je retrouve ma liste et la chanson que j'écoutais) -> ça explique pourquoi .ini
en plus je l'ai ouvert ce n'est pas un autorun, il ne contient rien de maichant, juste des paramètres de volume, le chemin du fichier mp3

- pour SiSPower c'est un des utilitaires que j'ai eu avec mon cd driver du pc, mais je n'ai toujours pas compris à quoi il sert exactement, et j'ai jamais essayé de comprendre, je vais le scanner aussi, c'est plus sure

- my.ini appartient au SGBD mysql c'est normal

- le chemin est different, c'est moi qui ai choisis ce chemin, j'ai un "petit" disk qui ne me suffit pas (40 Gb seulement) et pour ne pas saturer une partition et avoir une bonne organisation et aussi pour pouvoir défragmenter mon disk, comme il ne me reste que 3 GB dans le C, je mets le reste des logiciels que j'installe dans la partition D, le reste c'est de la documentation ... beaucoup de documentations !, des applications que j'ai développé, de la musique .... tu comprends que 40 Gb c'est l'enfer à gérer et encore j'ai gravé des trucs sur dvd

- pour l'antivirus, j'avais antivir mais à cause de ce backdoor j'ai essayé pour voir si avg pouvait faire quelque chose, je crois que je vais essayer kaspersky je l'ai trouvé en free, j'ai toujours eu un faible pour kaspersky, surtout son journal d'évènement, il affiche tout ce qu'il vérifie, alors même si il ne reconnait pas de virus je le reconnais moi même sur mon flash disque (ensuite je le supprime sans ouvrir mon flash, avec rechercher je l'affiche et je le supprime, bon parfois ça marche pas, je passe au dos)

- pour spybot, tea timer me plait bien, je sais ce qui se passe même si empêcher la modification du registre ne nous débarrasse pas de l'infection mais au moins je pense limiter les dégâts, superantispywre je ne le connais pas bien, je ne l'ai installé qu'hier, et à première vue il ne me convint pas trop

- j'attends la fin du scan pour faire la suite

merci et à tout à l'heure

Attention
En fonction de ce que tu décides pour Spybot, il faut alors modifier le CFSript.
Idem pour SiSPower

As-tu encore cette alerte backdoor.Graybird.MR ?

je sais qu'il faut faire attention avec tea timer, mais bon je suis curieuse quand même
j'ai essayé de voir ce qu'est cfscript mais je n'ai pas compris qu'est ce que c'est ?
pour backdoor, j'aurais du installer antivir avant de lancer le scan en ligne, j'ai avg en ce moment et lui il ne le détecte pas, en tout cas ma connexion me parait bien en ce moment et je n'ai pas d'alertes de zonealarme de demande d'accès de rundll32.exe
le scan n'est pas fini, on verra ce qu'il en ait dans le rapport, en attendant je vais un peu faire le tour de mes fichiers système pour voir s'il y a quelque chose qui cloche
merci de donner suite à mes messages rapidement, et je m'excuse d'être lente à te répondre

Re,

CFSript sert uniquement à supprimer des éléments infectieux ou inutiles avec ComboFix.

Si tu veux un bon conseil et éviter de perdre des heures précieuses, jette tous tes outils et achète une licence de Kaspersky Internet Security 2009 (Kis8) http://kaspersky.telechargement.fr/
< http://grandpublic.kaspersky.fr/forum/index.php >
Lire ceci avant installation http://grandpublic.kaspersky.fr/forum/viewtopic.php?t=7164

Avec CCleaner et Spyware Terminator (avec protection en temps-réel gratuite) en sus, on a la paix royale.

Al.

merci
c'est bien juste ce que tu dis, j'ai des tonnes de boulot et tout ce que j'ai fait ces 2 derniers jours c'est tourner en rond pour me débarrasser de ce backdoor, une véritable perte de temps

tu préconises ccleaner et spyware terminator, je ne les ai encore jamais testé, ok je vais faire ça
pour l'anti virus c'est sure qu'un kaspersky avec licence payante protège mieux, mais je me tourne vers le free car je ne peux avoir que ça, donc je vais tester la version free si ça me convient pas je reprends antivir.

pour le scan kaspersky ça traine toujours (81%) mais il n'a rien détécté pour le moment et il a dépassé la partition c, il n'a rien trouvé dans les fichiers système

encore merci de m'aider, j'espère que je ne t'ai pas fait trop perdre ton temps, je m'en excuse si tel est le cas

(suite)

SpySoap is a rogue security program that shows false Warning messages. It also shows misleading scan Results. It may use aggressive advertising and can also install through Trojan exploits.
C:\Program Files\SpySoap\image\spydb.dat [12288 Bytes] DAT File


Il faut absolument que tu exécutes le CFSript du post # 11
Mais attention !!
Il faut le modifier ==> En fonction de ce que tu décides pour Spybot, et pour SiSPower


Le CFSript devient


File::
C:\Documents and Settings\Client\spydb.dat
C:\curr_ver.tmp
C:\WINDOWS\Internet Logs\xDB6.tmp
C:\WINDOWS\Internet Logs\xDB5.tmp
C:\WINDOWS\Internet Logs\xDB4.tmp
C:\WINDOWS\Internet Logs\xDB3.tmp
C:\WINDOWS\Internet Logs\xDB1.tmp
C:\WINDOWS\Internet Logs\xDB2.tmp

Folder::
C:\Program Files\EsetOnlineScanner
C:\SpySoapBin
D:\Mes Programmes\SpySoap

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b725225-3096-11dd-9a99-0019216f0368}\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpySoap_tray"=-
"SpySoap_schedules"=-



As-tu encore cette alerte backdoor.Graybird.MR ?
Il reste des applications demandées à terminer et dans l'ordre demandé, SVP.
On se revoit quand tu as tout terminé.
Merci


Bonne chance
Al.

* * voilà le resultat du scan de kaspersky en ligne :

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Friday, September 12, 2008
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Friday, September 12, 2008 15:53:16
Records in database: 1218956
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan statistics:
Files scanned: 71385
Threat name: 0
Infected objects: 0
Suspicious objects: 0
Duration of the scan: 02:57:24

No malware has been detected. The scan area is clean.

The selected area was scanned.


* * ici le resultat du scan de sispower.dll avec virus totale :


Fichier SiSPower.dll reçu le 2008.09.10 19:27:49 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.9.6.0 2008.09.10 -
AntiVir 7.8.1.28 2008.09.10 -
Authentium 5.1.0.4 2008.09.10 -
Avast 4.8.1195.0 2008.09.10 -
AVG 8.0.0.161 2008.09.10 -
BitDefender 7.2 2008.09.10 -
CAT-QuickHeal 9.50 2008.09.10 -
ClamAV 0.93.1 2008.09.10 -
DrWeb 4.44.0.09170 2008.09.10 -
eSafe 7.0.17.0 2008.09.10 -
eTrust-Vet 31.6.6082 2008.09.10 -
Ewido 4.0 2008.09.10 -
F-Prot 4.4.4.56 2008.09.09 -
F-Secure 8.0.14332.0 2008.09.10 -
Fortinet 3.112.0.0 2008.09.10 -
GData 19 2008.09.10 -
Ikarus T3.1.1.34.0 2008.09.10 -
K7AntiVirus 7.10.450 2008.09.10 -
Kaspersky 7.0.0.125 2008.09.10 -
McAfee 5381 2008.09.10 -
Microsoft 1.3903 2008.09.10 -
NOD32v2 3429 2008.09.09 -
Norman 5.80.02 2008.09.10 -
Panda 9.0.0.4 2008.09.09 -
PCTools 4.4.2.0 2008.09.10 -
Prevx1 V2 2008.09.10 -
Rising 20.61.22.00 2008.09.10 -
Sophos 4.33.0 2008.09.10 -
Sunbelt 3.1.1616.1 2008.09.09 -
Symantec 10 2008.09.10 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.10 -
VBA32 3.12.8.5 2008.09.10 -
ViRobot 2008.9.10.1371 2008.09.10 -
VirusBuster 4.5.11.0 2008.09.10 -
Webwasher-Gateway 6.6.2 2008.09.10 -
Information additionnelle
File size: 49152 bytes
MD5...: b8e35f02d22ac240498898afcffa33da
SHA1..: 2eb0ab70f567f5adfbcda51b3479065b71ff240d
SHA256: 67b10c6c1a34ddec91f186cb885fa0819d01ffdb7dd80a924c68670fce98f689
SHA512: 08e5298b7851d4041f487d8d8fe45d131c71b707eec653f8475f2d51feaef451<br>15401dc82b08f94bb4b0dcd0bf5c7b2fa86646f9fb16fd99e85d803a90c6ddad
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification<br>Win64 Executable Generic (80.9%)<br>Win32 Executable Generic (8.0%)<br>Win32 Dynamic Link Library (generic) (7.1%)<br>Generic Win/DOS Executable (1.8%)<br>DOS Executable Generic (1.8%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x10005cd8<br>timedatestamp.....: 0x430da5e1 (Thu Aug 25 11:05:05 2005)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x528a 0x6000 5.57 7436fa903387ecf4e41b6152dbd2893f<br>.rdata 0x7000 0x1209 0x2000 3.10 3a3f1671827b4e41b3ffa3ca4c7ae423<br>.data 0x9000 0x14c4 0x1000 1.37 3f4de12f1c97fed731d6299478e5d56c<br>.rsrc 0xb000 0x4d8 0x1000 1.27 96497c3e8245ed548db899f001183b60<br>.reloc 0xc000 0xeac 0x1000 3.31 72f1ba7fa544c344d9869ce75621467c<br><br>( 7 imports ) <br>> USER32.dll: FindWindowA, UpdateWindow, GetMessageA, GetDC, ReleaseDC, GetSystemMetrics, SendMessageA, OffsetRect, IntersectRect, SystemParametersInfoA<br>> POWRPROF.dll: SetActivePwrScheme, ReadPwrScheme, GetActivePwrScheme<br>> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<br>> MSVCRT.dll: __1type_info@@UAE@XZ, _adjust_fdiv, malloc, _initterm, free, _onexit, __dllonexit, _itoa, sprintf, strtok, atoi, _mbscmp, __CxxFrameHandler<br>> KERNEL32.dll: GetVersionExA, GetProcAddress, GetModuleHandleA, lstrcpyA, ResumeThread, WaitForSingleObject, LocalFree, LocalAlloc, CreateEventA<br>> GDI32.dll: DeleteDC, ExtEscape, CreateDCA, GetClipBox, GetDCOrgEx<br>> ADVAPI32.dll: RegNotifyChangeKeyValue, RegDeleteKeyA, RegEnumKeyExA, RegOpenKeyExA, RegSetValueExA, RegCloseKey, RegQueryValueExA, RegCreateKeyExA<br><br>( 1 exports ) <br>ModeAgent<br>


* * ici le resultat du scan de smplayer.ini avec virus totale :


Fichier smplayer.ini reçu le 2008.09.12 23:24:04 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.9.13.0 2008.09.12 -
AntiVir 7.8.1.28 2008.09.12 -
Authentium 5.1.0.4 2008.09.12 -
Avast 4.8.1195.0 2008.09.12 -
AVG 8.0.0.161 2008.09.12 -
BitDefender 7.2 2008.09.12 -
CAT-QuickHeal 9.50 2008.09.12 -
ClamAV 0.93.1 2008.09.12 -
DrWeb 4.44.0.09170 2008.09.12 -
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6085 2008.09.12 -
Ewido 4.0 2008.09.12 -
F-Prot 4.4.4.56 2008.09.12 -
F-Secure 8.0.14332.0 2008.09.12 -
Fortinet 3.113.0.0 2008.09.12 -
GData 19 2008.09.12 -
Ikarus T3.1.1.34.0 2008.09.12 -
K7AntiVirus 7.10.453 2008.09.12 -
Kaspersky 7.0.0.125 2008.09.12 -
McAfee 5383 2008.09.12 -
Microsoft 1.3903 2008.09.12 -
NOD32v2 3438 2008.09.12 -
Norman 5.80.02 2008.09.12 -
Panda 9.0.0.4 2008.09.12 -
PCTools 4.4.2.0 2008.09.12 -
Prevx1 V2 2008.09.12 -
Rising 20.61.42.00 2008.09.12 -
Sophos 4.33.0 2008.09.12 -
Sunbelt 3.1.1628.1 2008.09.12 -
Symantec 10 2008.09.12 -
TheHacker 6.3.0.9.078 2008.09.12 -
TrendMicro 8.700.0.1004 2008.09.12 -
VBA32 3.12.8.5 2008.09.12 -
ViRobot 2008.9.12.1375 2008.09.12 -
VirusBuster 4.5.11.0 2008.09.12 -
Webwasher-Gateway 6.6.2 2008.09.12 -
Information additionnelle
File size: 48493 bytes
MD5...: a120776036a66d47129b9a377839e57b
SHA1..: 6ddf3cf343028a826ada4868a8c1b6d2f75794bf
SHA256: 7f07a4af59b03690c5b5b8b38aa1a9b309bd6daee924b3f82bfb75bfe9b4adc2
SHA512: e73bf8cdc25bb06c97a3c08e92fa922c582f3316c27b55d019003486310d2ec4<br>ccb4774a8fabae0766b905a147fc5512474553b55c1083e40ca00dcd17890223
PEiD..: -
TrID..: File type identification<br>Generic INI configuration (100.0%)
PEInfo: -


* * ici le resultat du scan de my.ini avec virus totale :


Fichier my.ini reçu le 2008.09.12 23:32:25 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.9.13.0 2008.09.12 -
AntiVir 7.8.1.28 2008.09.12 -
Authentium 5.1.0.4 2008.09.12 -
Avast 4.8.1195.0 2008.09.12 -
AVG 8.0.0.161 2008.09.12 -
BitDefender 7.2 2008.09.12 -
CAT-QuickHeal 9.50 2008.09.12 -
ClamAV 0.93.1 2008.09.12 -
DrWeb 4.44.0.09170 2008.09.12 -
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6086 2008.09.12 -
Ewido 4.0 2008.09.12 -
F-Prot 4.4.4.56 2008.09.12 -
F-Secure 8.0.14332.0 2008.09.12 -
Fortinet 3.113.0.0 2008.09.12 -
GData 19 2008.09.12 -
Ikarus T3.1.1.34.0 2008.09.12 -
K7AntiVirus 7.10.453 2008.09.12 -
Kaspersky 7.0.0.125 2008.09.12 -
McAfee 5383 2008.09.12 -
Microsoft 1.3903 2008.09.12 -
NOD32v2 3438 2008.09.12 -
Norman 5.80.02 2008.09.12 -
Panda 9.0.0.4 2008.09.12 -
PCTools 4.4.2.0 2008.09.12 -
Prevx1 V2 2008.09.12 -
Rising 20.61.42.00 2008.09.12 -
Sophos 4.33.0 2008.09.12 -
Sunbelt 3.1.1628.1 2008.09.12 -
Symantec 10 2008.09.12 -
TheHacker 6.3.0.9.078 2008.09.12 -
TrendMicro 8.700.0.1004 2008.09.12 -
VBA32 3.12.8.5 2008.09.12 -
ViRobot 2008.9.12.1375 2008.09.12 -
VirusBuster 4.5.11.0 2008.09.12 -
Webwasher-Gateway 6.6.2 2008.09.12 -
Information additionnelle
File size: 9252 bytes
MD5...: d2307c0f125fc6cd1ac22a29e9a43a32
SHA1..: fad318984e7328876a50847af7ec3fcde839caf6
SHA256: 54d95ca267a8f785f2d7dfc4f9990c9adf4684ba9371a869b7b1934f366a2e00
SHA512: ed518fa62fca7570a35fcd76d4e6c8b68327ba1f6522be600386e77a386e2bd4<br>a77ca0b6e000a2944f5f8d7dff0262f09ea74164f186181daf39c118eaac0393
PEiD..: -
TrID..: File type identification<br>file seems to be plain text/ASCII (0.0%)
PEInfo: -

* * voici le resultat de combofix :

ComboFix 08-09-10.04 - Client 2008-09-12 22:53:14.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1001 [GMT 1:00]
Endroit: C:\Documents and Settings\Client\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Client\Bureau\CFScript1.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\curr_ver.tmp
C:\Documents and Settings\Client\spydb.dat
C:\Program Files\EsetOnlineScanner
C:\Program Files\EsetOnlineScanner\debuglog.txt
C:\Program Files\EsetOnlineScanner\log.txt
C:\Program Files\EsetOnlineScanner\nod32.000
C:\Program Files\EsetOnlineScanner\nod32.002
C:\Program Files\EsetOnlineScanner\nod32.003
C:\Program Files\EsetOnlineScanner\nod32.004
C:\Program Files\EsetOnlineScanner\nod32.005
C:\Program Files\EsetOnlineScanner\nod32.006
C:\Program Files\EsetOnlineScanner\nod32.007
C:\Program Files\EsetOnlineScanner\nup\advheur0.nup
C:\Program Files\EsetOnlineScanner\nup\advheur1.nup
C:\Program Files\EsetOnlineScanner\nup\archs0.nup
C:\Program Files\EsetOnlineScanner\nup\archs1.nup
C:\Program Files\EsetOnlineScanner\nup\archs2.nup
C:\Program Files\EsetOnlineScanner\nup\charon0.nup
C:\Program Files\EsetOnlineScanner\nup\charon1.nup
C:\Program Files\EsetOnlineScanner\nup\charon2.nup
C:\Program Files\EsetOnlineScanner\nup\engine0.nup
C:\Program Files\EsetOnlineScanner\nup\engine1.nup
C:\Program Files\EsetOnlineScanner\nup\engine2.nup
C:\Program Files\EsetOnlineScanner\nup\helper0.nup
C:\Program Files\EsetOnlineScanner\nup\pwscan0.nup
C:\Program Files\EsetOnlineScanner\nup\pwscan1.nup
C:\Program Files\EsetOnlineScanner\nup\pwscan2.nup
C:\Program Files\EsetOnlineScanner\nup\update.ver
C:\Program Files\EsetOnlineScanner\nup\utilmod0.nup
C:\Program Files\EsetOnlineScanner\nup\utilmod1.nup
C:\Program Files\EsetOnlineScanner\nup\utilmod2.nup
C:\SpySoapBin
C:\WINDOWS\Internet Logs\xDB1.tmp
C:\WINDOWS\Internet Logs\xDB2.tmp
C:\WINDOWS\Internet Logs\xDB3.tmp
C:\WINDOWS\Internet Logs\xDB4.tmp
C:\WINDOWS\Internet Logs\xDB5.tmp
C:\WINDOWS\Internet Logs\xDB6.tmp
D:\Mes Programmes\SpySoap
D:\Mes Programmes\SpySoap\image\spydb.dat
D:\Mes Programmes\SpySoap\smartupgrade.exe.txt
D:\Mes Programmes\SpySoap\SpySoap.exe.txt
D:\Mes Programmes\SpySoap\SysGuard.exe.txt
D:\Mes Programmes\SpySoap\tray.exe.txt

j'ai laissé spybot et sispower
je vais faire le scan avec malwarebytes' et le reste des étapes