Salut

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! Wreck this mess...

le report SDFix :

[b]SDFix: Version 1.240 /b
Run by Administrateur on 01/12/2008 at 22:34

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:


C:\WINDOWS\system32\Microsoft\backup.ftp Found

[b]Checking files/b:

[b]Genuine/b:
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe

[b]Dummy/b:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe

Files copied to the SDFix\Backups folder
Restoring original files if backups exist

[b]Rechecking Files/b:

[b]Genuine/b:
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe

[b]Dummy/b:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b:

Trojan Files Found:

C:\WINDOWS\system32\drivers\LBTWiz.exe - Deleted
C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted





Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-01 23:13:12
Windows 5.1.2600 NTFS

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[b]Remaining Files /b:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Sat 26 Apr 2008 400 A.SH. --- "C:\Documents and Settings\All Users\DRM\v2ks.bla.bak"
Sat 26 Apr 2008 48 A.SH. --- "C:\Documents and Settings\All Users\DRM\v2ks.sec.bak"
Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\spybot\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\spybot\Spybot - Search & Destroy\SDHelper.dll"
Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\spybot\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\spybot\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\spybot\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\spybot\Spybot - Search & Destroy\Tools.dll"
Mon 1 Dec 2008 171,520 ..SHR --- "C:\WINDOWS\system32\drivers\explore.exe"

[b]Finished!/b



Le nouveau log HiJackThis :

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ad aware\aawservice.exe
C:\Program Files\Avast\aswUpdSv.exe
C:\Program Files\Avast\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\Program Files\Avast\ashMaiSv.exe
C:\Program Files\Avast\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\drivers\explore.exe
C:\PROGRA~1\Avast\ashDisp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Acrobat Reader\Reader\Reader_sl.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Program Files\hijackthis\HijackThis.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\explore.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Acrobat Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [explore.exe] C:\WINDOWS\system32\drivers\explore.exe
O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\spybot\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\spybot\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\ad aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

Ok

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

@+
Wreck this mess...

Le rapport ComboFix :

Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.1678 [GMT 1:00]
Lancé depuis: c:\documents and settings\Rooyo\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/B/COLOR
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Microsoft\backup.ftp
J:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-02 au 2008-12-02 ))))))))))))))))))))))))))))))))))))
.

2008-12-01 22:34 . 2008-12-01 22:34 <REP> d-------- c:\windows\ERUNT
2008-12-01 22:33 . 2008-04-26 10:44 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2008-12-01 22:33 . 2008-04-26 10:44 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2008-12-01 22:33 . 2008-04-26 09:49 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2008-12-01 22:33 . 2008-04-26 10:44 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2008-12-01 22:33 . 2008-04-26 10:44 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2008-12-01 22:33 . 2008-04-26 10:44 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2008-12-01 22:33 . 2008-04-26 10:44 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2008-12-01 22:33 . 2008-12-01 22:33 <REP> d-------- c:\documents and settings\Administrateur
2008-12-01 22:31 . 2008-12-01 23:14 <REP> d-------- C:\SDFix
2008-12-01 21:59 . 2008-12-01 21:59 2,518 --a------ c:\windows\system32\tmp.reg
2008-12-01 21:58 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe
2008-12-01 21:58 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe
2008-12-01 21:58 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe
2008-12-01 21:58 . 2008-11-29 17:58 82,944 --a------ c:\windows\system32\o4Patch.exe
2008-12-01 21:58 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe
2008-12-01 21:58 . 2008-11-29 17:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe
2008-12-01 21:58 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe
2008-12-01 21:58 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe
2008-12-01 21:58 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe
2008-12-01 21:58 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe
2008-12-01 05:54 . 2008-12-01 05:54 <REP> d-------- c:\program files\Sunbelt Software
2008-12-01 05:53 . 2008-12-01 21:32 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-01 05:51 . 2008-12-01 05:51 171,520 -r-hs---- c:\windows\system32\drivers\explore.exe
2008-11-30 20:51 . 2008-12-02 07:28 <REP> d---s---- c:\windows\system32\Microsoft
2008-11-30 20:51 . 2008-11-30 20:51 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-30 20:49 . 2008-12-01 05:53 <REP> d-------- c:\program files\spybot
2008-11-30 20:49 . 2008-11-30 20:53 <REP> d-------- c:\program files\ad aware
2008-11-22 16:37 . 2008-11-30 07:54 <REP> d-------- c:\windows\SxsCaPendDel

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-02 06:21 --------- d-----w c:\documents and settings\Rooyo\Application Data\Azureus
2008-12-02 05:59 --------- d-----w c:\program files\Avast
2008-12-01 22:14 44,032 ----a-w c:\windows\system32\ftp.exe
2008-12-01 04:54 --------- d-----w c:\program files\Sunbelt firewall
2008-11-30 19:51 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-11-22 15:37 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-11-22 15:37 --------- d-----w c:\program files\Acrobat Reader
2008-11-21 20:00 --------- d-----w c:\program files\Azureus
2008-10-31 06:09 270,888 ----a-r c:\windows\system32\drivers\SbFw.sys
2008-10-19 10:43 --------- d-----w c:\program files\Real
2008-10-19 10:43 --------- d-----w c:\program files\Fichiers communs\xing shared
2008-10-19 10:43 --------- d-----w c:\program files\Fichiers communs\Real
2008-10-19 10:41 --------- d-----w c:\program files\Realplayer
2008-10-16 17:46 --------- d-----w c:\program files\HeroStats
2008-10-16 17:44 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-26 18:15 134,656 ----a-w c:\windows\system32\sfc_os.dll
2008-09-26 13:22 2,713,880 ----a-w c:\windows\WindowsXP-KB835732-x86-FRA.EXE
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2001-08-02 1077277]
"SpybotSD TeaTimer"="c:\program files\spybot\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\Avast\ashDisp.exe" [2008-11-18 81000]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-05-25 6746112]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-05-25 86016]
"NVRaidService"="c:\windows\System32\nvraidservice.exe" [2005-01-17 84480]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-04-01 36352]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Reader Speed Launcher"="c:\program files\Acrobat Reader\Reader\Reader_sl.exe" [2008-10-15 39792]
"explore.exe"="c:\windows\system32\drivers\explore.exe" [2008-12-01 171520]
"SDFix"="c:\sdfix\RunThis.bat" [2008-11-06 964661]
"nwiz"="nwiz.exe" [2005-05-25 c:\windows\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-28 13312]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

R0 pavboot;pavboot;c:\windows\System32\drivers\pavboot.sys [2008-09-17 28544]
R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [2008-04-26 110160]
R1 SbFw;SbFw;c:\windows\System32\drivers\SbFw.sys [2008-09-26 270888]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\System32\drivers\sbhips.sys [2008-06-21 66600]
R2 SbPF.Launcher;SbPF.Launcher;"c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe" [2008-10-31 95528]
R2 SPF4;Sunbelt Personal Firewall 4;"c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe" [2008-10-31 1365288]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\System32\DRIVERS\sbfwim.sys [2008-09-26 65576]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\System32\DRIVERS\fbxusb32.sys [2008-04-26 21344]
S4 hpt3xx;hpt3xx; []

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
*Newly Created Service* - PROCEXP90
*Newly Created Service* - SHAREDACCESS
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-PathNvidiaTV - c:\program files\Gigabyte\Nvidia\patchnvidiaTVout.exe


.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Rooyo\Application Data\Mozilla\Firefox\Profiles\8qa4ca0z.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://orange.fr
FF -: plugin - c:\program files\Acrobat Reader\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-02 07:32:35
Windows 5.1.2600 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
PathNvidiaTV = c:\program files\Gigabyte\Nvidia\patchnvidiaTVout.exe???????????????????P?>?P?>?????\?>?????????4???????C]?w?U?w(Q?w?\?w?????\?w?f?w?f?w????!???????????????????????????`???????@???D????????$?w???????????????????????wX???q??w???????w????????????????????&??

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1372)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

- - - - - - - > 'lsass.exe'(1428)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\System32\dssenh.dll
.
Heure de fin: 2008-12-02 7:34:32
ComboFix-quarantined-files.txt 2008-12-02 06:34:29

Avant-CF: 7 035 240 448 octets libres
Après-CF: 7,076,233,216 octets libres

141


La console de récupération n'est pas installée, ComboFix a recommandé de le faire mais comme le firewall, l'antivirus, et la connexion internet étaient coupés, je ne l'ai pas fait.

D´accord rooyo,

Copie le texte ci-dessous :

File::
c:\windows\system32\drivers\explore.exe
c:\windows\System32\drivers\pavboot.sys

Driver::
pavboot

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Run]
"explore.exe"=-

Collect::
c:\windows\system32\drivers\explore.exe

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+ Wreck this mess...

HiJackThis :

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ad aware\aawservice.exe
C:\Program Files\Avast\aswUpdSv.exe
C:\Program Files\Avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\PROGRA~1\Avast\ashDisp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Acrobat Reader\Reader\Reader_sl.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avast\ashMaiSv.exe
C:\Program Files\Avast\ashWebSv.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Acrobat Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\spybot\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\spybot\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\ad aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe


ComboFix :

Lancé depuis: c:\documents and settings\Rooyo\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Rooyo\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
c:\windows\system32\drivers\explore.exe
c:\windows\System32\drivers\pavboot.sys
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\explore.exe
c:\windows\System32\drivers\pavboot.sys
c:\windows\system32\i
c:\windows\system32\Microsoft\backup.ftp

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_PAVBOOT
-------\Service_pavboot


((((((((((((((((((((((((((((( Fichiers créés du 2008-11-02 au 2008-12-02 ))))))))))))))))))))))))))))))))))))
.

2008-12-01 22:34 . 2008-12-01 22:34 <REP> d-------- c:\windows\ERUNT
2008-12-01 22:33 . 2008-04-26 10:44 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2008-12-01 22:33 . 2008-04-26 10:44 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2008-12-01 22:33 . 2008-04-26 09:49 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2008-12-01 22:33 . 2008-04-26 10:44 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2008-12-01 22:33 . 2008-04-26 10:44 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2008-12-01 22:33 . 2008-04-26 10:44 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2008-12-01 22:33 . 2008-04-26 10:44 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2008-12-01 22:33 . 2008-12-01 22:33 <REP> d-------- c:\documents and settings\Administrateur
2008-12-01 22:31 . 2008-12-01 23:14 <REP> d-------- C:\SDFix
2008-12-01 21:59 . 2008-12-01 21:59 2,518 --a------ c:\windows\system32\tmp.reg
2008-12-01 21:58 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe
2008-12-01 21:58 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe
2008-12-01 21:58 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe
2008-12-01 21:58 . 2008-11-29 17:58 82,944 --a------ c:\windows\system32\o4Patch.exe
2008-12-01 21:58 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe
2008-12-01 21:58 . 2008-11-29 17:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe
2008-12-01 21:58 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe
2008-12-01 21:58 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe
2008-12-01 21:58 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe
2008-12-01 21:58 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe
2008-12-01 05:54 . 2008-12-01 05:54 <REP> d-------- c:\program files\Sunbelt Software
2008-12-01 05:53 . 2008-12-01 21:32 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-30 20:51 . 2008-12-02 20:50 <REP> d---s---- c:\windows\system32\Microsoft
2008-11-30 20:51 . 2008-11-30 20:51 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-30 20:49 . 2008-12-01 05:53 <REP> d-------- c:\program files\spybot
2008-11-30 20:49 . 2008-11-30 20:53 <REP> d-------- c:\program files\ad aware
2008-11-22 16:37 . 2008-11-30 07:54 <REP> d-------- c:\windows\SxsCaPendDel

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-02 19:57 --------- d-----w c:\program files\Avast
2008-12-02 06:38 44,032 ----a-w c:\windows\system32\ftp.exe
2008-12-02 06:21 --------- d-----w c:\documents and settings\Rooyo\Application Data\Azureus
2008-12-01 04:54 --------- d-----w c:\program files\Sunbelt firewall
2008-11-30 19:51 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-11-22 15:37 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-11-22 15:37 --------- d-----w c:\program files\Acrobat Reader
2008-11-21 20:00 --------- d-----w c:\program files\Azureus
2008-10-31 06:09 270,888 ----a-r c:\windows\system32\drivers\SbFw.sys
2008-10-19 10:43 --------- d-----w c:\program files\Real
2008-10-19 10:43 --------- d-----w c:\program files\Fichiers communs\xing shared
2008-10-19 10:43 --------- d-----w c:\program files\Fichiers communs\Real
2008-10-19 10:41 --------- d-----w c:\program files\Realplayer
2008-10-16 17:46 --------- d-----w c:\program files\HeroStats
2008-10-16 17:44 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-26 18:15 134,656 ----a-w c:\windows\system32\sfc_os.dll
2008-09-26 13:22 2,713,880 ----a-w c:\windows\WindowsXP-KB835732-x86-FRA.EXE
.

((((((((((((((((((((((((((((( snapshot@2008-12-02_ 7.33.18,10 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
- 2008-12-01 22:14:03 44,032 -c--a-w c:\windows\system32\dllcache\ftp.exe
+ 2008-12-02 06:38:01 44,032 -c--a-w c:\windows\system32\dllcache\ftp.exe
- 2008-12-01 22:15:24 58,732 ----a-w c:\windows\system32\perfc009.dat
+ 2008-12-02 06:39:47 58,732 ----a-w c:\windows\system32\perfc009.dat
- 2008-12-01 22:15:24 71,488 ----a-w c:\windows\system32\perfc00C.dat
+ 2008-12-02 06:39:47 71,488 ----a-w c:\windows\system32\perfc00C.dat
- 2008-12-01 22:15:24 392,432 ----a-w c:\windows\system32\perfh009.dat
+ 2008-12-02 06:39:47 392,432 ----a-w c:\windows\system32\perfh009.dat
- 2008-12-01 22:15:24 458,648 ----a-w c:\windows\system32\perfh00C.dat
+ 2008-12-02 06:39:47 458,648 ----a-w c:\windows\system32\perfh00C.dat
+ 2008-12-02 19:56:10 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_208.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2001-08-02 1077277]
"SpybotSD TeaTimer"="c:\program files\spybot\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\Avast\ashDisp.exe" [2008-11-18 81000]
"PathNvidiaTV"="c:\program files\Gigabyte\Nvidia\patchnvidiaTVout.exe" [BU]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-05-25 6746112]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-05-25 86016]
"NVRaidService"="c:\windows\System32\nvraidservice.exe" [2005-01-17 84480]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-04-01 36352]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Reader Speed Launcher"="c:\program files\Acrobat Reader\Reader\Reader_sl.exe" [2008-10-15 39792]
"SDFix"="c:\sdfix\RunThis.bat" [2008-11-06 964661]
"nwiz"="nwiz.exe" [2005-05-25 c:\windows\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-28 13312]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [2008-04-26 110160]
R1 SbFw;SbFw;c:\windows\System32\drivers\SbFw.sys [2008-09-26 270888]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\System32\drivers\sbhips.sys [2008-06-21 66600]
R2 SbPF.Launcher;SbPF.Launcher;"c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe" [2008-10-31 95528]
R2 SPF4;Sunbelt Personal Firewall 4;"c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe" [2008-10-31 1365288]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\System32\DRIVERS\sbfwim.sys [2008-09-26 65576]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\System32\DRIVERS\fbxusb32.sys [2008-04-26 21344]
S4 hpt3xx;hpt3xx; []
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-explore.exe - c:\windows\system32\drivers\explore.exe



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-02 20:56:22
Windows 5.1.2600 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
PathNvidiaTV = c:\program files\Gigabyte\Nvidia\patchnvidiaTVout.exe???????????????????P?>?P?>?????\?>?????????4???????C]?w?U?w(Q?w?\?w?????\?w?f?w?f?w????!???????????????????????????`???????@???D????????$?w???????????????????????wX???q??w???????w????????????????????&??

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1380)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

- - - - - - - > 'lsass.exe'(1440)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(2640)
c:\windows\system32\WS2_32.dll
c:\windows\system32\WS2HELP.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\ad aware\aawservice.exe
c:\program files\Avast\aswUpdSv.exe
c:\program files\Avast\ashServ.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Sunbelt Software\Personal Firewall\SbPFCl.exe
c:\windows\system32\rundll32.exe
c:\program files\Avast\ashMaiSv.exe
c:\program files\Avast\ashWebSv.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2008-12-02 20:58:50 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-02 19:58:44
ComboFix2.txt 2008-12-02 06:34:35

Avant-CF: 7 064 518 656 octets libres
Après-CF: 7,000,068,096 octets libres

WinXP_FR_PRO_BF.EXE
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP �dition familiale" /fastdetect

179

Ok

Fais un scan avec cet antispyware :

Telecharge malwarebytes + tutoriel :

-> http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

@+ Wreck this mess...

La sauvegarde du rapport a planté, je l'ai perdu :'(

Et explorer plante constamment maintenant, je n'ai plus accès à ma freebox HD, je ne peux plus me connecter à City of Heroes :'(

Salut,

le rapport :

ouvre malwarebytes click sur l´onglet repports > post le stp


@+ Wreck this mess...

L'onglet rapports/log est vide.

Le scan c´est passé sans encombres ? Wreck this mess...

A priori oui, juste l'enregistrement du rapport à la fin qui a été impossible.

Desolé je n´ai pas eu le temps ces derniers temps...

comment va ton pc ?

@+ Wreck this mess...

Toujours pareil, je finis quelques copies de sauvegarde et je formate le tout.

Salut rooyo,

att avant de formater...

fais ceci :

regarde ceci concernant avast :

antivir vs avast :

-> http://forum.malekal.com/ftopic3528.php

alors je te conseille de le desinstaller et d´installer antivir a la place

Telecharge et instales l'antivirus Antivir Personal Edition Classic :

->http://www.malekal.com/tutorial_antivir.php

http://www.free-av.com/antivirus/allinonen.html

En francais :

http://www.free-av.com/en/download/download_servers.php

Reglages :

en image :

http://speedweb1.free.fr/frames2.php?page=tuto5

mes explications :

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
ceux qui ne voie pas root kit search : clcik sur le parapluie dans ta barre des tache > dans la fenetre d´antivir click sur local protection click en suite sur scanner
dans la fenetre de droite : tu a rootkit search vers le bas > tu developpe en appuyant sur le petit +
et coche tes disques...
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp

post le rapport stp

on avisera après la désinfection terminer pour réparer :)

@+ Wreck this mess...