Aide pour déchiffrage rapport HijackThisRésolu/Fermé

Question

Bonjour,

Je me permets de vous demander votre aide car j'ai été infecté par un virus qui me lançait au démarrage "antivirus pro 2010 unregistered", me demandant de m'enregistrer.

J'ai effectué un scan Avast avant le démarrage de windows, j'ai supprimé 3 fichiers infectés, puis j'ai lancé un rapport HiJackThis.

J'aurais besoin de votre aide pour me dire si je suis réellement débarrassé de ce virus ou non, et auquel cas que dois-je faire. Merci beaucoup d'avance.

Voici le rapport hijacthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:25:04, on 27/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Razer\razerhid.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Razer\razertra.exe
C:\Program Files\Razer\razerofa.exe
C:\Documents and Settings\John\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\razerhid.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Antivirus Pro 2010] "C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe" /hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

eZula · Answer

Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

fragger008 · Answer

Voilà qui est fait :

Rapport GenProc 2.631 [1] - 27/09/2009 à 21:39:00 
@ Windows XP Service Pack 3 - Mode normal
@ Mozilla Firefox (3.5.3) [Navigateur par défaut]

~~ CM DISK ERROR ~~ 
 
 Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide Tea-Timer : http://ww11.genproc.com/spybot/spybot.html

# Etape 1/ Télécharge :
 
- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.exe (S!Ri) sur le Bureau.

- ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe (sUBs) sur ton Bureau.
Désactive ton antivirus, ton pare-feu et ferme tes programmes en cours. Lance combofix.exe et accepte les termes en cliquant sur OUI. Patiente. Au message "ComboFix a détecté que la 'console de récupération Windows' n'existe pas sur ce PC", clique sur oui puis sur OK, puis patiente. Valide le CLUF Microsoft. Au message "La console de récupération a été installée avec succès", clique impérativement sur NON pour quitter le programme (ferme également le rapport CF-RC.txt qui s'est ouvert)


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** John *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/ 

 Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

# Etape 3/ 

 Double clique sur combofix.exe et suis les instructions. Attention de ne pas utiliser ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne au risque de figer l'ordinateur.

# Etape 4/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 5/ 

 Redémarre normalement et poste, dans la même réponse : 

- Le contenu du rapport rapport.txt situé sur le Bureau ; 
- Le contenu du rapport Combofix.txt situé dans C:\ ; 
- Un nouveau rapport HijackThis ;
- Un nouveau rapport GenProc ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.631 27/09/2009 à 21:39:19 
Smitfraud:le 27/09/2009 à 21:39:42 "C:\WINDOWS\System32\_scui.cpl" 
TDSS:le 27/09/2009 à 21:39:48 PFROP gasfky* 

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 21:40:15 ~~ 


Dois-je suivre la procédure énoncée ?
Merci.

eZula · Answer

oui

fragger008 · Answer

Ok merci je fais ça de suite.

fragger008 · Answer

C'est encore moi :-)

Alors, juste avant de poster les rapports, une remarque : lorsque j'ai lancé combofix en mode sans échec, au bout d'un moment il m'a dit "présence d'activité de rootkit" puis m'a demandé de noter les fichiers suivants :
c:\windows\system32\drivers\gasfkyfvrsiwuu.sys
c:\windows\system32\drivers\gasfkyfmnevssr.dll
c:\windows\system32\drivers\gasfkyfqxxtkpm.dat
c:\windows\system32\drivers\gasfkybivamdxw.dll
c:\windows\system32\drivers\gasfkydqjjpfgk.dat
c:\windows\system32\drivers\gasfkyiqgmybfw.dll

Puis il a voulu redémarrer. Le souci, c'est qu'il a démarré en mode "normal" et non "sans échec" (peut être aurais-je dû le forcer à se relancer en mode sans échec ?). Mais même en mode normal, le programme a continué tout seul, puis ensuite m'a rédigé le rapport.
Du coup, pour lancer l'étape 4 cccleaner, j'ai redémarré en mode sans échec pour le faire.

Voici maintenant les rapports :

SmitFraudFix v2.424

Rapport fait à 22:00:18,53, 27/09/2009
Executé à partir de C:\Documents and Settings\John\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
...

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\_scui.cpl supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{342764AC-789E-47B5-ACBA-19D8B24E8988}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{342764AC-789E-47B5-ACBA-19D8B24E8988}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{342764AC-789E-47B5-ACBA-19D8B24E8988}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!



»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

ComboFix 09-09-25.01 - John 27/09/2009 22:13.1.2 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.2047.1599 [GMT 2:00]
Lancé depuis: c:\documents and settings\John\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1351 [VPS 090927-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\atisan.bat
c:\documents and settings\All Users\Application Data\azedy.lib
c:\documents and settings\All Users\Application Data\elavehak.dll
c:\documents and settings\All Users\Application Data\elyvyfy.com
c:\documents and settings\All Users\Application Data\omivomy.com
c:\documents and settings\All Users\Application Data\oqam.sys
c:\documents and settings\All Users\Application Data\oruh.bin
c:\documents and settings\All Users\Application Data\ucij.pif
c:\documents and settings\All Users\Application Data\ukoxo.pif
c:\documents and settings\All Users\Application Data\woroqotyf.dll
c:\documents and settings\All Users\Application Data\xonyk.com
c:\documents and settings\All Users\Documents\catosopo.com
c:\documents and settings\All Users\Documents\epanetuj.reg
c:\documents and settings\All Users\Documents\qanutotaze.pif
c:\documents and settings\All Users\Documents\xolyjodas.com
c:\documents and settings\John\Application Data\heqos.sys
c:\documents and settings\John\Cookies\fyqovadu.pif
c:\documents and settings\John\Local Settings\Application Data\halujosagu.sys
c:\documents and settings\John\Local Settings\Application Data\paviwywipy.dl
c:\documents and settings\John\Local Settings\Application Data\qagive.com
c:\documents and settings\John\Local Settings\Application Data\ukyxusi.sys
c:\documents and settings\John\Local Settings\Temporary Internet Files\elopase.vbs
c:\documents and settings\John\Local Settings\Temporary Internet Files\funiwi.bin
c:\documents and settings\John\Local Settings\Temporary Internet Files\kyxoh.lib
c:\documents and settings\John\Local Settings\Temporary Internet Files\qerusyxi.sys
c:\documents and settings\John\Local Settings\Temporary Internet Files\utad.vbs
c:\documents and settings\LocalService\Application Data\abesi._dl
c:\documents and settings\LocalService\Application Data\azykumaqi.dll
c:\documents and settings\LocalService\Application Data\byluhepad._sy
c:\documents and settings\LocalService\Application Data\ciduv._dl
c:\documents and settings\LocalService\Application Data\dati.ban
c:\documents and settings\LocalService\Application Data\ejyjeryq.lib
c:\documents and settings\LocalService\Application Data\fikokyca.ban
c:\documents and settings\LocalService\Application Data\hefupekula.pif
c:\documents and settings\LocalService\Application Data\hogox.lib
c:\documents and settings\LocalService\Application Data\lucac._dl
c:\documents and settings\LocalService\Application Data\otigegob.com
c:\documents and settings\LocalService\Application Data\owibyc.vbs
c:\documents and settings\LocalService\Application Data\poreh.lib
c:\documents and settings\LocalService\Application Dataaconekoc.pif
c:\documents and settings\LocalService\Application Data\uhyxejy.inf
c:\documents and settings\LocalService\Application Data\yhyjo.dl
c:\documents and settings\LocalService\Cookies\adynevof.dat
c:\documents and settings\LocalService\Cookies\epew.exe
c:\documents and settings\LocalService\Cookies\gibywy.com
c:\documents and settings\LocalService\Cookies\kenen.db
c:\documents and settings\LocalService\Cookies\ukipigas.lib
c:\documents and settings\LocalService\Cookies\utowokyxu.scr
c:\documents and settings\LocalService\Cookies\uzunug.exe
c:\documents and settings\LocalService\Cookies\yqazyvywuf.pif
c:\documents and settings\LocalService\Cookies\zirylykub.reg
c:\documents and settings\LocalService\Cookies\zizeris.bin
c:\documents and settings\LocalService\Cookies\zypuk._dl
c:\documents and settings\LocalService\Local Settings\Application Data\jubec.pif
c:\documents and settings\LocalService\Local Settings\Application Data\laxyb.scr
c:\documents and settings\LocalService\Local Settings\Application Data
iduhoze.ban
c:\documents and settings\LocalService\Local Settings\Application Data\ymajyqu.com
c:\documents and settings\LocalService\Local Settings\Temporary Internet Files\dygojibapi.dl
c:\documents and settings\LocalService\Local Settings\Temporary Internet Files\ecenizyz.bin
c:\documents and settings\LocalService\Local Settings\Temporary Internet Files\onuso.exe
c:\documents and settings\LocalService\Local Settings\Temporary Internet Files\ozezifaq.vbs
c:\documents and settings\LocalService\Local Settings\Temporary Internet Files	azyguma.bat
c:\documents and settings\LocalService\Local Settings\Temporary Internet Files\vydis.pif
c:\program files\Fichiers communs\avodafufun.vbs
c:\program files\Fichiers communs\enoqenyl.ban
c:\program files\Fichiers communs\erov.dll
c:\program files\Fichiers communs\ifynuxal._dl
c:\program files\Fichiers communs\irax.inf
c:\program files\Fichiers communs\ixyrodu.scr
c:\program files\Fichiers communs\mody.exe
c:\program files\Fichiers communs
isusaha.reg
c:\program files\Fichiers communs
ywojoloz._dl
c:\program files\Fichiers communs\odaqale.ban
c:\program files\Fichiers communs\vypo.bat
c:\windows\azatyrywy.bin
c:\windows\boje.bin
c:\windows\bysuxi.pif
c:\windows\falomeluw.dl
c:\windows\ibedeqeki.reg
c:\windows\ijimota.ban
c:\windows\iqumuwul.pif
c:\windows\jecapy.pif
c:\windowsufupovig.vbs
c:\windows\system32\azitixokyw.bin
c:\windows\system32\drivers\gasfkyfvrsiwuu.sys
c:\windows\system32\ecefo.dl
c:\windows\system32\facyjibapy.scr
c:\windows\system32\gasfkybivamdxw.dll
c:\windows\system32\gasfkydqjjpfgk.dat
c:\windows\system32\gasfkyfmnevssr.dll
c:\windows\system32\gasfkyfqxxtkpm.dat
c:\windows\system32\gasfkyiqgmybfw.dll
c:\windows\system32\ipurac.bin
c:\windows\system32\jysys.vbs
c:\windows\system32
eluw.scr
c:\windows\system32oqapo._dl
c:\windows\system32	mp.reg
c:\windows\system32\xytenilu.ban
c:\windows	awakurap.reg
c:\windows\uqaw.ban
c:\windows\wimeqo.dll
c:\windows\ynoje.sys

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gasfkybpcrcnpy
-------\Legacy_gasfkybpcrcnpy


(((((((((((((((((((((((((((((   Fichiers créés du 2009-08-27 au 2009-09-27  ))))))))))))))))))))))))))))))))))))
.

2009-09-27 19:54 . 2009-09-27 19:54	--------	d-sh--w-	c:\documents and settings\NetworkService\IETldCache
2009-09-27 19:52 . 2009-09-27 19:52	--------	d-----w-	c:\program files\CCleaner
2009-09-27 19:38 . 2009-09-27 19:47	--------	d-----w-	C:\GenProc
2009-09-24 22:26 . 2009-09-24 22:26	11670	----a-w-	c:\windows\system32
acigamy.dat
2009-09-24 21:46 . 2009-09-24 21:49	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-24 21:46 . 2009-09-24 21:47	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-09-24 21:38 . 2009-09-24 21:42	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2009-09-24 17:44 . 2009-09-24 17:44	16709	----a-w-	c:\documents and settings\LocalService\Local Settings\Application Data\uqazi.dat
2009-09-24 17:44 . 2009-09-24 17:44	16307	----a-w-	c:\windows\system32\dypysoc.com
2009-09-24 17:44 . 2009-09-24 17:44	13953	----a-w-	c:\program files\Fichiers communs\ypaturib.dat
2009-09-24 17:43 . 2009-09-24 17:43	--------	d-----w-	C:\AntivirusPro_2010
2009-09-21 21:44 . 2009-09-21 21:44	--------	d-----w-	c:\windows\Sun
2009-09-21 21:37 . 2009-07-25 03:23	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-09-21 21:37 . 2009-09-21 21:56	--------	d-----w-	c:\program files\Java
2009-09-21 21:22 . 2009-09-21 21:22	--------	d-----w-	c:\documents and settings\John\Application Data\ACD Systems
2009-09-21 21:21 . 2009-09-21 21:21	--------	d-----w-	c:\program files\Fichiers communs\ACD Systems
2009-09-21 21:21 . 2009-09-21 21:21	--------	d-----w-	c:\program files\ACD Systems
2009-09-21 21:21 . 2009-09-21 21:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\ACD Systems
2009-09-21 21:20 . 2009-09-21 21:23	--------	d-----w-	C:\Saint-Gervais
2009-09-21 18:14 . 2009-09-21 18:14	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2009-09-20 19:11 . 2009-09-20 19:11	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2009-09-18 20:38 . 2009-09-21 21:44	--------	d-----w-	C:\SFR Music Box
2009-09-18 20:03 . 2009-09-18 20:03	--------	d-----w-	c:\program files\Razer
2009-09-18 20:03 . 2005-04-24 20:43	13225	----a-w-	c:\windows\system32\drivers\Razerlow.sys
2009-09-18 20:03 . 2009-09-18 20:03	--------	d-----w-	C:azer
2009-09-18 19:14 . 2009-09-18 19:14	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2009-09-18 19:13 . 2009-09-18 19:17	--------	d-----w-	c:\documents and settings\John\Local Settings\Application Data\Adobe
2009-09-18 17:16 . 2009-09-18 17:16	127	----a-w-	c:\documents and settings\John\Local Settings\Application Data\fusioncache.dat
2009-09-18 17:16 . 2009-09-18 17:17	--------	d-----w-	c:\documents and settings\John\Local Settings\Application Data\ApplicationHistory
2009-09-18 17:11 . 2009-09-18 17:11	--------	d-----w-	C:\330ci
2009-09-18 17:11 . 2008-06-02 22:45	12887728	----a-w-	C:\o-o-defrag_o_o_defrag_10.0.1670_anglais_11995.exe
2009-09-18 17:10 . 2009-09-18 17:10	--------	d-----w-	C:\yam
2009-09-18 17:10 . 2009-09-18 17:10	--------	d-----w-	C:\Vidéos Motif XS
2009-09-18 17:10 . 2009-09-18 17:10	--------	d-----w-	C:\Vidéos iPhone
2009-09-18 17:10 . 2009-09-18 17:10	--------	d-----w-	C:\UnrealTournament
2009-09-18 17:10 . 2009-09-18 17:10	--------	d-----w-	C:\superpi2
2009-09-18 17:05 . 2009-09-18 17:06	--------	d-----w-	C:\Shareaza
2009-09-18 17:04 . 2009-09-18 17:05	--------	d-----w-	C:\Selection GLX
2009-09-18 17:04 . 2009-09-18 17:04	--------	d-----w-	C:\Save
2009-09-18 17:04 . 2009-09-18 17:04	--------	d-----w-	C:\samsung
2009-09-18 17:04 . 2009-09-18 17:04	--------	d-----w-	C:\Répertoire Samsung
2009-09-18 17:04 . 2009-09-18 17:04	--------	d-----w-	C:\Repas Départ Audrey
2009-09-18 17:02 . 2009-09-18 17:04	--------	d-----w-	C:\Photos iPhone
2009-09-18 17:02 . 2009-09-18 17:02	--------	d-----w-	C:\Photos Alstom
2009-09-18 16:53 . 2009-09-18 16:59	--------	d-----w-	C:\Paris Oct 2008
2009-09-18 16:52 . 2009-09-18 16:53	--------	d-----w-	C:\NOUVELLE STAR
2009-09-18 16:51 . 2009-09-18 16:51	--------	d-----w-	C:\Noel 2008
2009-09-18 16:51 . 2009-09-18 16:51	--------	d-----w-	C:\memtest
2009-09-18 16:51 . 2009-09-18 16:51	--------	d-----w-	C:\Memos_iPhone
2009-09-18 16:48 . 2009-09-18 16:49	--------	d-----w-	C:\Mariage Rachel & Jacques
2009-09-18 16:40 . 2009-09-18 16:47	--------	d-----w-	C:\Mariage Hasmig & Rodolphe
2009-09-18 16:36 . 2009-09-18 16:40	--------	d-----w-	C:\Mariage Delphine
2009-09-18 16:28 . 2009-09-18 16:34	--------	d-----w-	C:\Italie
2009-09-18 16:28 . 2009-09-18 16:28	--------	d-----w-	C:\Hydro Discovery Tour
2009-09-18 16:20 . 2009-09-18 16:24	--------	d-----w-	C:\Films Julien
2009-09-18 16:16 . 2009-09-18 16:20	--------	d-----w-	C:\Dr.House S4
2009-09-18 16:11 . 2009-09-18 16:16	--------	d-----w-	C:\downloads
2009-09-18 16:10 . 2009-09-18 16:11	--------	d-----w-	C:\DeusEx
2009-09-18 16:10 . 2009-09-18 16:10	--------	d-----w-	C:\Déclaration Impôts
2009-09-18 16:10 . 2009-09-18 16:10	--------	d-----w-	C:\Demos XS
2009-09-18 16:10 . 2009-09-18 16:10	--------	d-----w-	C:\cpuz
2009-09-18 16:10 . 2009-09-18 16:10	--------	d-----w-	C:\clockgen
2009-09-18 16:07 . 2009-09-18 16:08	--------	d-----w-	C:\Carte 3
2009-09-18 16:06 . 2009-09-18 16:07	--------	d-----w-	C:\Carte 2
2009-09-18 16:04 . 2009-09-18 16:05	--------	d-----w-	C:\Carte 1
2009-09-18 16:02 . 2009-09-18 16:03	--------	d-----w-	C:\Bureau
2009-09-18 16:01 . 2009-09-18 16:01	--------	d-----w-	C:\BMVRC2
2009-09-18 15:59 . 2009-09-18 15:59	--------	d-----w-	C:\BMVRC
2009-09-18 15:58 . 2009-09-18 15:59	--------	d-----w-	C:\BitLord
2009-09-18 15:54 . 2009-09-18 15:57	--------	d-----w-	C:\Bastille
2009-09-18 15:53 . 2009-09-18 15:53	--------	d-----w-	C:\Anniv Papa 65ans
2009-09-18 15:52 . 2009-09-18 15:52	--------	d-----w-	C:\Anniv Josh + Alstom
2009-09-18 15:52 . 2009-09-18 15:52	--------	d-----w-	C:\Anniv Hasmig 31ans
2009-09-18 15:52 . 2009-09-18 15:52	--------	d-----w-	C:\A graver
2009-09-18 15:52 . 2009-09-18 15:52	--------	d-----w-	C:\330citarpea
2009-09-18 15:50 . 2008-04-13 09:45	26368	-c--a-w-	c:\windows\system32\dllcache\usbstor.sys
2009-09-16 22:15 . 2009-09-16 22:15	60416	----a-w-	c:\windows\ALCFDRTM.EXE
2009-09-16 22:15 . 2009-09-16 22:15	--------	d-----w-	c:\windows\system32\Lang
2009-09-16 22:02 . 2009-09-16 22:02	--------	d-----w-	c:\documents and settings\John\Local Settings\Application Data\ATI
2009-09-16 22:02 . 2009-09-16 22:02	--------	d-----w-	c:\documents and settings\John\Application Data\ATI
2009-09-16 22:02 . 2009-09-16 22:02	--------	d-----w-	c:\documents and settings\All Users\Application Data\ATI

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-24 22:26 . 2009-09-24 22:26	12619	----a-w-	c:\program files\Fichiers communs\uzuc._sy
2009-09-24 22:24 . 2009-09-24 22:24	13312	----a-w-	c:\documents and settings\LocalService\Application Data\svcst.exe
2009-09-24 22:24 . 2009-09-24 17:42	13312	----a-w-	c:\documents and settings\LocalService\Application Data\seres.exe
2009-09-24 17:42 . 2009-09-24 17:42	158832	----a-w-	c:\documents and settings\LocalService\Application Data\lizkavd.exe
2009-09-18 20:03 . 2009-09-16 19:46	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-09-18 17:16 . 2008-04-14 12:00	84766	----a-w-	c:\windows\system32\perfc00C.dat
2009-09-18 17:16 . 2008-04-14 12:00	510742	----a-w-	c:\windows\system32\perfh00C.dat
2009-09-16 22:02 . 2009-09-16 20:25	12328	----a-w-	c:\documents and settings\John\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-16 21:57 . 2009-09-16 21:57	--------	d-----w-	c:\program files\MSBuild
2009-09-16 21:56 . 2009-09-16 21:56	--------	d-----w-	c:\program files\Reference Assemblies
2009-09-16 21:54 . 2009-09-16 21:54	--------	d-----w-	c:\program files\Windows Media Connect 2
2009-09-16 21:31 . 2009-09-16 21:31	0	----a-w-	c:\windows
sreg.dat
2009-08-05 09:00 . 2008-04-14 12:00	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-29 04:35 . 2008-04-14 12:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-07-29 04:35 . 2008-04-14 12:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-07-21 16:30 . 2009-07-21 16:30	3565056	----a-w-	c:\windows\system32\drivers\ati2mtag.sys
2009-07-21 15:55 . 2009-07-21 15:55	442368	----a-w-	c:\windows\system32\ATIDEMGX.dll
2009-07-21 15:54 . 2009-07-21 15:54	325120	----a-w-	c:\windows\system32\ati2dvag.dll
2009-07-21 15:44 . 2009-07-21 15:44	204800	----a-w-	c:\windows\system32\atipdlxx.dll
2009-07-21 15:44 . 2009-07-21 15:44	155648	----a-w-	c:\windows\system32\Oemdspif.dll
2009-07-21 15:43 . 2009-07-21 15:43	26112	----a-w-	c:\windows\system32\Ati2mdxx.exe
2009-07-21 15:43 . 2009-07-21 15:43	43520	----a-w-	c:\windows\system32\ati2edxx.dll
2009-07-21 15:43 . 2009-07-21 15:43	155648	----a-w-	c:\windows\system32\ati2evxx.dll
2009-07-21 15:42 . 2009-07-21 15:42	602112	----a-w-	c:\windows\system32\ati2evxx.exe
2009-07-21 15:40 . 2009-07-21 15:40	53248	----a-w-	c:\windows\system32\ATIDDC.DLL
2009-07-21 15:35 . 2009-07-21 15:35	307200	----a-w-	c:\windows\system32\atiiiexx.dll
2009-07-21 15:32 . 2009-07-21 15:32	11845632	----a-w-	c:\windows\system32\atioglxx.dll
2009-07-21 15:32 . 2009-07-21 15:32	3818272	----a-w-	c:\windows\system32\ati3duag.dll
2009-07-21 15:17 . 2009-07-21 15:17	2670720	----a-w-	c:\windows\system32\ativvaxx.dll
2009-07-21 15:17 . 2009-07-21 15:17	887724	----a-w-	c:\windows\system32\ativva6x.dat
2009-07-21 15:17 . 2009-07-21 15:17	3107788	----a-w-	c:\windows\system32\ativva5x.dat
2009-07-21 15:01 . 2009-07-21 15:01	49664	----a-w-	c:\windows\system32\amdpcom32.dll
2009-07-21 14:57 . 2009-07-21 14:57	475136	----a-w-	c:\windows\system32\atikvmag.dll
2009-07-21 14:55 . 2009-07-21 14:55	126976	----a-w-	c:\windows\system32\atiadlxx.dll
2009-07-21 14:54 . 2009-07-21 14:54	17408	----a-w-	c:\windows\system32\atitvo32.dll
2009-07-21 14:54 . 2009-07-21 14:54	53248	----a-w-	c:\windows\system32\drivers\ati2erec.dll
2009-07-21 14:53 . 2009-07-21 14:53	45056	----a-w-	c:\windows\system32\aticalrt.dll
2009-07-21 14:53 . 2009-07-21 14:53	45056	----a-w-	c:\windows\system32\aticalcl.dll
2009-07-21 14:52 . 2009-07-21 14:52	290816	----a-w-	c:\windows\system32\atiok3x2.dll
2009-07-21 14:52 . 2009-07-21 14:52	3227648	----a-w-	c:\windows\system32\aticaldd.dll
2009-07-21 14:48 . 2009-07-21 14:48	626688	----a-w-	c:\windows\system32\ati2cqag.dll
2009-07-21 08:40 . 2009-09-16 20:39	593920	------w-	c:\windows\system32\ati2sgag.exe
2009-07-17 19:03 . 2008-04-14 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2008-04-14 12:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-03 16:57 . 2008-04-14 12:00	915456	----a-w-	c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-21 61440]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"razer"="c:\program files\Razerazerhid.exe" [2005-05-17 147456]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-11-15 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [16/09/2009 22:58 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [16/09/2009 22:58 20560]
R3 Razerlow;Razerlow USB Filter Driver;c:\windows\system32\drivers\Razerlow.sys [18/09/2009 22:03 13225]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32undll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\documents and settings\John\Application Data\Mozilla\Firefox\Profiles\ak00kllr.default\
FF - prefs.js: browser.startup.homepage - www.yahoo.fr
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 22:15
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(660)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-09-27 22:17
ComboFix-quarantined-files.txt  2009-09-27 20:17

Avant-CF: 80 101 445 632 octets libres
Après-CF: 80 076 083 200 octets libres

300	--- E O F ---	2009-09-20 19:14


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:21, on 27/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Razerazerhid.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Razerazertra.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Razerazerofa.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Documents and Settings\John\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [razer] C:\Program Files\Razerazerhid.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

eZula · Answer

Qu'as-tu fait de mal pour mériter toutes ces insanités ? ^^

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes  en italique :

File::
c:\windows\system32
acigamy.dat
c:\documents and settings\LocalService\Local Settings\Application Data\uqazi.dat
c:\windows\system32\dypysoc.com
c:\program files\Fichiers communs\ypaturib.dat
c:\program files\Fichiers communs\uzuc._sy
c:\documents and settings\LocalService\Application Data\svcst.exe
c:\documents and settings\LocalService\Application Data\seres.exe
c:\documents and settings\LocalService\Application Data\lizkavd.exe
C:\WINDOWS\iqiruta.db
C:\WINDOWS\uqezaqy.db

Folder::
C:\AntivirusPro_2010

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=dword:00000001

Enregistre ce fichier sous le nom CFScript

[*]Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture [img]http://apu.mabul.org/up/apu/2008/08/12/img-191202xzrpd.gif[/img]
[*]Une fenêtre bleue va apparaître : au message "Type 1 to continue, or 2 to abort", tape 1 puis valide.
[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal.
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher : poste son contenu.
[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

fragger008 · Answer

Pourquoi, je suis infecté par beaucoup de choses ? A vrai dire, je ne comprends pas grand chose à tout ce que tu me fais faire, alors je ne me rends pas compte de l'ampleur de dégâts ! :-) Pourtant, ça fait pas longtemps que j'ai tout formaté suite à un disque dur défectueux, comment ai-je pu choper ça ? J'ai remarqué durant le scan d'avast tout à l'heure qu'un fichier "setup.exe" était infecté dans le répertoire "razer", qui est le répertoire de driver de ma souris (driver que j'ai téléchargé sur le net). Peut être que tout vient de là ? Si c'est ça, bizarre qu'Avast n'ait rien détecté quand j'ai téléchargé le fichier non ?

quoi qu'il en soit, voici le dernier rapport combofix :

ComboFix 09-09-25.01 - John 27/09/2009 22:51.2.2 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.2047.1568 [GMT 2:00]
Lancé depuis: c:\documents and settings\John\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\John\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1351 [VPS 090927-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"c:\documents and settings\LocalService\Application Data\lizkavd.exe"
"c:\documents and settings\LocalService\Application Data\seres.exe"
"c:\documents and settings\LocalService\Application Data\svcst.exe"
"c:\documents and settings\LocalService\Local Settings\Application Data\uqazi.dat"
"c:\program files\Fichiers communs\uzuc._sy"
"c:\program files\Fichiers communs\ypaturib.dat"
"c:\windows\iqiruta.db"
"c:\windows\system32\dypysoc.com"
"c:\windows\system32
acigamy.dat"
"c:\windows\uqezaqy.db"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\AntivirusPro_2010
c:\antiviruspro_2010\AntivirusPro_2010.lnk
c:\antiviruspro_2010\Uninstall.lnk
c:\documents and settings\LocalService\Application Data\lizkavd.exe
c:\documents and settings\LocalService\Application Data\seres.exe
c:\documents and settings\LocalService\Application Data\svcst.exe
c:\documents and settings\LocalService\Local Settings\Application Data\uqazi.dat
c:\program files\Fichiers communs\uzuc._sy
c:\program files\Fichiers communs\ypaturib.dat
c:\windows\iqiruta.db
c:\windows\system32\dypysoc.com
c:\windows\system32
acigamy.dat
c:\windows\uqezaqy.db

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-08-27 au 2009-09-27  ))))))))))))))))))))))))))))))))))))
.

2009-09-27 19:54 . 2009-09-27 19:54	--------	d-sh--w-	c:\documents and settings\NetworkService\IETldCache
2009-09-27 19:52 . 2009-09-27 19:52	--------	d-----w-	c:\program files\CCleaner
2009-09-27 19:38 . 2009-09-27 20:30	--------	d-----w-	C:\GenProc
2009-09-24 21:46 . 2009-09-27 20:35	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-24 21:46 . 2009-09-24 21:47	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-09-24 21:38 . 2009-09-24 21:42	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2009-09-21 21:44 . 2009-09-21 21:44	--------	d-----w-	c:\windows\Sun
2009-09-21 21:37 . 2009-07-25 03:23	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-09-21 21:37 . 2009-09-21 21:56	--------	d-----w-	c:\program files\Java
2009-09-21 21:22 . 2009-09-21 21:22	--------	d-----w-	c:\documents and settings\John\Application Data\ACD Systems
2009-09-21 21:21 . 2009-09-21 21:21	--------	d-----w-	c:\program files\Fichiers communs\ACD Systems
2009-09-21 21:21 . 2009-09-21 21:21	--------	d-----w-	c:\program files\ACD Systems
2009-09-21 21:21 . 2009-09-21 21:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\ACD Systems
2009-09-21 21:20 . 2009-09-21 21:23	--------	d-----w-	C:\Saint-Gervais
2009-09-21 18:14 . 2009-09-21 18:14	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2009-09-20 19:11 . 2009-09-20 19:11	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2009-09-18 20:38 . 2009-09-21 21:44	--------	d-----w-	C:\SFR Music Box
2009-09-18 20:03 . 2009-09-18 20:03	--------	d-----w-	c:\program files\Razer
2009-09-18 20:03 . 2005-04-24 20:43	13225	----a-w-	c:\windows\system32\drivers\Razerlow.sys
2009-09-18 20:03 . 2009-09-18 20:03	--------	d-----w-	C:azer
2009-09-18 19:14 . 2009-09-18 19:14	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2009-09-18 19:13 . 2009-09-18 19:17	--------	d-----w-	c:\documents and settings\John\Local Settings\Application Data\Adobe
2009-09-18 17:16 . 2009-09-18 17:16	127	----a-w-	c:\documents and settings\John\Local Settings\Application Data\fusioncache.dat
2009-09-18 17:16 . 2009-09-18 17:17	--------	d-----w-	c:\documents and settings\John\Local Settings\Application Data\ApplicationHistory
2009-09-18 17:11 . 2009-09-18 17:11	--------	d-----w-	C:\330ci
2009-09-18 17:11 . 2008-06-02 22:45	12887728	----a-w-	C:\o-o-defrag_o_o_defrag_10.0.1670_anglais_11995.exe
2009-09-18 17:10 . 2009-09-18 17:10	--------	d-----w-	C:\yam
2009-09-18 17:10 . 2009-09-18 17:10	--------	d-----w-	C:\Vidéos Motif XS
2009-09-18 17:10 . 2009-09-18 17:10	--------	d-----w-	C:\Vidéos iPhone
2009-09-18 17:10 . 2009-09-18 17:10	--------	d-----w-	C:\UnrealTournament
2009-09-18 17:10 . 2009-09-18 17:10	--------	d-----w-	C:\superpi2
2009-09-18 17:05 . 2009-09-18 17:06	--------	d-----w-	C:\Shareaza
2009-09-18 17:04 . 2009-09-18 17:05	--------	d-----w-	C:\Selection GLX
2009-09-18 17:04 . 2009-09-18 17:04	--------	d-----w-	C:\Save
2009-09-18 17:04 . 2009-09-18 17:04	--------	d-----w-	C:\samsung
2009-09-18 17:04 . 2009-09-18 17:04	--------	d-----w-	C:\Répertoire Samsung
2009-09-18 17:04 . 2009-09-18 17:04	--------	d-----w-	C:\Repas Départ Audrey
2009-09-18 17:02 . 2009-09-18 17:04	--------	d-----w-	C:\Photos iPhone
2009-09-18 17:02 . 2009-09-18 17:02	--------	d-----w-	C:\Photos Alstom
2009-09-18 16:53 . 2009-09-18 16:59	--------	d-----w-	C:\Paris Oct 2008
2009-09-18 16:52 . 2009-09-18 16:53	--------	d-----w-	C:\NOUVELLE STAR
2009-09-18 16:51 . 2009-09-18 16:51	--------	d-----w-	C:\Noel 2008
2009-09-18 16:51 . 2009-09-18 16:51	--------	d-----w-	C:\memtest
2009-09-18 16:51 . 2009-09-18 16:51	--------	d-----w-	C:\Memos_iPhone
2009-09-18 16:48 . 2009-09-18 16:49	--------	d-----w-	C:\Mariage Rachel & Jacques
2009-09-18 16:40 . 2009-09-18 16:47	--------	d-----w-	C:\Mariage Hasmig & Rodolphe
2009-09-18 16:36 . 2009-09-18 16:40	--------	d-----w-	C:\Mariage Delphine
2009-09-18 16:28 . 2009-09-18 16:34	--------	d-----w-	C:\Italie
2009-09-18 16:28 . 2009-09-18 16:28	--------	d-----w-	C:\Hydro Discovery Tour
2009-09-18 16:20 . 2009-09-18 16:24	--------	d-----w-	C:\Films Julien
2009-09-18 16:16 . 2009-09-18 16:20	--------	d-----w-	C:\Dr.House S4
2009-09-18 16:11 . 2009-09-18 16:16	--------	d-----w-	C:\downloads
2009-09-18 16:10 . 2009-09-18 16:11	--------	d-----w-	C:\DeusEx
2009-09-18 16:10 . 2009-09-18 16:10	--------	d-----w-	C:\Déclaration Impôts
2009-09-18 16:10 . 2009-09-18 16:10	--------	d-----w-	C:\Demos XS
2009-09-18 16:10 . 2009-09-18 16:10	--------	d-----w-	C:\cpuz
2009-09-18 16:10 . 2009-09-18 16:10	--------	d-----w-	C:\clockgen
2009-09-18 16:07 . 2009-09-18 16:08	--------	d-----w-	C:\Carte 3
2009-09-18 16:06 . 2009-09-18 16:07	--------	d-----w-	C:\Carte 2
2009-09-18 16:04 . 2009-09-18 16:05	--------	d-----w-	C:\Carte 1
2009-09-18 16:02 . 2009-09-18 16:03	--------	d-----w-	C:\Bureau
2009-09-18 16:01 . 2009-09-18 16:01	--------	d-----w-	C:\BMVRC2
2009-09-18 15:59 . 2009-09-18 15:59	--------	d-----w-	C:\BMVRC
2009-09-18 15:58 . 2009-09-18 15:59	--------	d-----w-	C:\BitLord
2009-09-18 15:54 . 2009-09-18 15:57	--------	d-----w-	C:\Bastille
2009-09-18 15:53 . 2009-09-18 15:53	--------	d-----w-	C:\Anniv Papa 65ans
2009-09-18 15:52 . 2009-09-18 15:52	--------	d-----w-	C:\Anniv Josh + Alstom
2009-09-18 15:52 . 2009-09-18 15:52	--------	d-----w-	C:\Anniv Hasmig 31ans
2009-09-18 15:52 . 2009-09-18 15:52	--------	d-----w-	C:\A graver
2009-09-18 15:52 . 2009-09-18 15:52	--------	d-----w-	C:\330citarpea
2009-09-18 15:50 . 2008-04-13 09:45	26368	-c--a-w-	c:\windows\system32\dllcache\usbstor.sys
2009-09-16 22:15 . 2009-09-16 22:15	60416	----a-w-	c:\windows\ALCFDRTM.EXE
2009-09-16 22:15 . 2009-09-16 22:15	--------	d-----w-	c:\windows\system32\Lang
2009-09-16 22:02 . 2009-09-16 22:02	--------	d-----w-	c:\documents and settings\John\Local Settings\Application Data\ATI
2009-09-16 22:02 . 2009-09-16 22:02	--------	d-----w-	c:\documents and settings\John\Application Data\ATI
2009-09-16 22:02 . 2009-09-16 22:02	--------	d-----w-	c:\documents and settings\All Users\Application Data\ATI

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-18 20:03 . 2009-09-16 19:46	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-09-18 17:16 . 2008-04-14 12:00	84766	----a-w-	c:\windows\system32\perfc00C.dat
2009-09-18 17:16 . 2008-04-14 12:00	510742	----a-w-	c:\windows\system32\perfh00C.dat
2009-09-16 22:02 . 2009-09-16 20:25	12328	----a-w-	c:\documents and settings\John\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-16 21:57 . 2009-09-16 21:57	--------	d-----w-	c:\program files\MSBuild
2009-09-16 21:56 . 2009-09-16 21:56	--------	d-----w-	c:\program files\Reference Assemblies
2009-09-16 21:54 . 2009-09-16 21:54	--------	d-----w-	c:\program files\Windows Media Connect 2
2009-09-16 21:31 . 2009-09-16 21:31	0	----a-w-	c:\windows
sreg.dat
2009-08-05 09:00 . 2008-04-14 12:00	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-29 04:35 . 2008-04-14 12:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-07-29 04:35 . 2008-04-14 12:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-07-21 16:30 . 2009-07-21 16:30	3565056	----a-w-	c:\windows\system32\drivers\ati2mtag.sys
2009-07-21 15:55 . 2009-07-21 15:55	442368	----a-w-	c:\windows\system32\ATIDEMGX.dll
2009-07-21 15:54 . 2009-07-21 15:54	325120	----a-w-	c:\windows\system32\ati2dvag.dll
2009-07-21 15:44 . 2009-07-21 15:44	204800	----a-w-	c:\windows\system32\atipdlxx.dll
2009-07-21 15:44 . 2009-07-21 15:44	155648	----a-w-	c:\windows\system32\Oemdspif.dll
2009-07-21 15:43 . 2009-07-21 15:43	26112	----a-w-	c:\windows\system32\Ati2mdxx.exe
2009-07-21 15:43 . 2009-07-21 15:43	43520	----a-w-	c:\windows\system32\ati2edxx.dll
2009-07-21 15:43 . 2009-07-21 15:43	155648	----a-w-	c:\windows\system32\ati2evxx.dll
2009-07-21 15:42 . 2009-07-21 15:42	602112	----a-w-	c:\windows\system32\ati2evxx.exe
2009-07-21 15:40 . 2009-07-21 15:40	53248	----a-w-	c:\windows\system32\ATIDDC.DLL
2009-07-21 15:35 . 2009-07-21 15:35	307200	----a-w-	c:\windows\system32\atiiiexx.dll
2009-07-21 15:32 . 2009-07-21 15:32	11845632	----a-w-	c:\windows\system32\atioglxx.dll
2009-07-21 15:32 . 2009-07-21 15:32	3818272	----a-w-	c:\windows\system32\ati3duag.dll
2009-07-21 15:17 . 2009-07-21 15:17	2670720	----a-w-	c:\windows\system32\ativvaxx.dll
2009-07-21 15:17 . 2009-07-21 15:17	887724	----a-w-	c:\windows\system32\ativva6x.dat
2009-07-21 15:17 . 2009-07-21 15:17	3107788	----a-w-	c:\windows\system32\ativva5x.dat
2009-07-21 15:01 . 2009-07-21 15:01	49664	----a-w-	c:\windows\system32\amdpcom32.dll
2009-07-21 14:57 . 2009-07-21 14:57	475136	----a-w-	c:\windows\system32\atikvmag.dll
2009-07-21 14:55 . 2009-07-21 14:55	126976	----a-w-	c:\windows\system32\atiadlxx.dll
2009-07-21 14:54 . 2009-07-21 14:54	17408	----a-w-	c:\windows\system32\atitvo32.dll
2009-07-21 14:54 . 2009-07-21 14:54	53248	----a-w-	c:\windows\system32\drivers\ati2erec.dll
2009-07-21 14:53 . 2009-07-21 14:53	45056	----a-w-	c:\windows\system32\aticalrt.dll
2009-07-21 14:53 . 2009-07-21 14:53	45056	----a-w-	c:\windows\system32\aticalcl.dll
2009-07-21 14:52 . 2009-07-21 14:52	290816	----a-w-	c:\windows\system32\atiok3x2.dll
2009-07-21 14:52 . 2009-07-21 14:52	3227648	----a-w-	c:\windows\system32\aticaldd.dll
2009-07-21 14:48 . 2009-07-21 14:48	626688	----a-w-	c:\windows\system32\ati2cqag.dll
2009-07-21 08:40 . 2009-09-16 20:39	593920	------w-	c:\windows\system32\ati2sgag.exe
2009-07-17 19:03 . 2008-04-14 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2008-04-14 12:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-03 16:57 . 2008-04-14 12:00	915456	------w-	c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-09-27_20.16.02   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-27 20:21 . 2009-09-27 20:21	16384              c:\windows\Temp\Perflib_Perfdata_594.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-21 61440]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"razer"="c:\program files\Razerazerhid.exe" [2005-05-17 147456]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-11-15 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [16/09/2009 22:58 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [16/09/2009 22:58 20560]
R3 Razerlow;Razerlow USB Filter Driver;c:\windows\system32\drivers\Razerlow.sys [18/09/2009 22:03 13225]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32undll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\documents and settings\John\Application Data\Mozilla\Firefox\Profiles\ak00kllr.default\
FF - prefs.js: browser.startup.homepage - www.yahoo.fr
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 22:53
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-09-27 22:54
ComboFix-quarantined-files.txt  2009-09-27 20:54

Avant-CF: 80 139 632 640 octets libres
Après-CF: 80 107 466 752 octets libres

211	--- E O F ---	2009-09-20 19:14


Je précise qu'à la fin il a envoyé des fichier sur un serveur pour "analyse poussée de certains fichiers" lol.

Que dois-je fairem maintenant ?

Merci beaucoup pour ton aide. ;-)

eZula · Answer

Maintenant relance GenProc et suis les nouvelles instructions

fragger008 · Answer

Voilà le nouveau rapport genproc :

Rapport GenProc 2.631 [3] - 27/09/2009 à 23:09:32 
@ Windows XP Service Pack 3 - Mode normal
@ Internet Explorer (8.0.6001.18702) [Navigateur par défaut]

~~ "C:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


# Etape 1/ Télécharge :
ToolsCleaner! http://pc-system.fr/ (A.Rothstein & Dj QUIOU) sur ton Bureau.

# Etape 2/
- Double-clique sur ToolsCleaner2.exe pour le lancer.
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options Facultatives.
- Clique sur Quitter pour obtenir le rapport C:\TCleaner.txt


# Etape 3/
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
C:\Program Files\EsetOnlineScanner\log.txt

 


~~~~ INFORMATION COMPLEMENTAIRE ~~~~
 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:10:05, on 27/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Razer\razerhid.exe
C:\Program Files\Razer\razertra.exe
C:\Program Files\Razer\razerofa.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cmd.exe
C:\GenProc\outil\John_GenProc.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\razerhid.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

fragger008 · Answer

Alors, voici le rapport de toolscleaner :

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\John\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\John\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\John\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\John\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\John\Bureau\SmitFraudfix: trouvé !
C:\GenProc\Genproc.exe: trouvé !
C:\GenProc\outil\hijackthis.log: trouvé !
C:\GenProc\outil\mbr.exe: trouvé !
C:\GenProc\Page\GenProc[*].html: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\John\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\John\Bureau\HijackThis.exe: supprimé !
C:\Documents and Settings\John\Bureau\SmitFraudFix.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\John\Bureau\hijackthis.log: supprimé !
C:\GenProc\Genproc.exe: supprimé !
C:\GenProc\outil\hijackthis.log: supprimé !
C:\GenProc\outil\mbr.exe: supprimé !
C:\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\GenProc: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\John\Bureau\SmitFraudfix: supprimé !

Le scan "nod32" est en cours, mais je pense que ça va prendre un bon moment, il en est à 20% au bout de 13min. Déjà 2 menaces détectées... Je poste le rapport dès qu'il est terminé.

Merci pour ton aide. ;-)

fragger008 · Answer

Voici le rapport d'ESET Online Scanner :

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=6
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6050
# api_version=3.0.2
# EOSSerial=24bd39f7cff8c4468ce9bdd8d6ab12d2
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2009-09-27 09:20:49
# local_time=2009-09-27 11:20:49 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=769 21 100 100 5470781250
# scanned=1
# found=0
# cleaned=0
# scan_time=36
esets_scanner_update returned -1 esets_gle=53251
# version=6
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6050
# api_version=3.0.2
# EOSSerial=24bd39f7cff8c4468ce9bdd8d6ab12d2
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2009-09-27 10:16:18
# local_time=2009-09-28 12:16:18 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=769 21 100 100 38759843750
# scanned=45667
# found=14
# cleaned=14
# scan_time=3308
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CoolWWWSearchOleHelp1.zip	Win32/Bagle.gen.zip ver (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CoolWWWSearchOleHelp4.zip	Win32/Bagle.gen.zip ver (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\Shareaza\securom\procyon.exe	une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\Shareaza\securom\SecuROM_Loader_v7.26.rar	une variante probable de Win32/Agent cheval de troie (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
C:\System Volume Information\_restore{B86B1BE7-2924-4F64-B458-A20A118D8428}\RP16\A0001238.sys	une variante probable de Win32/Olmarik.MT cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\System Volume Information\_restore{B86B1BE7-2924-4F64-B458-A20A118D8428}\RP16\A0001241.dll	Win32/Olmarik.KW cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\System Volume Information\_restore{B86B1BE7-2924-4F64-B458-A20A118D8428}\RP17\A0001717.exe	une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
D:\clé julien\3dmark05_v130_installer.zip	une variante de Win32/Adware.Casino application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
D:\demoscene\08\flt_cheguevara.exe	une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
D:\divers\Futuremark.3DMark05.Pro.v1.0.Keygen.Only-ORiON.rar	une variante probable de Win32/Agent cheval de troie (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
D:\Données\Fichiers Téléchargés\adsl\GDiVX1.9.9.5.exe	une variante probable de Win32/Adware.Agent application (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
D:\Données\Fichiers Téléchargés\adsl2\che_guevara_by_fairlight.zip	une variante probable de Win32/Agent cheval de troie (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
D:\Données\Fichiers Téléchargés\adsl2\grenoble\Test_Drive_Unlimited-Crack-HATRED.rar	une variante probable de Win32/Agent cheval de troie (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
D:\Données\Fichiers Téléchargés\adsl2\Nouveau dossier
fs-mania_maniatools_setup_v1.0.zip	une variante probable de Win32/Spy.Agent cheval de troie (supprimé - mis en quarantaine)	00000000000000000000000000000000	C

Que dois-je faire maintenant ?

Merci. ;)

fragger008 · Answer

Voici le rapport d'ESET Online Scanner :

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=6
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6050
# api_version=3.0.2
# EOSSerial=24bd39f7cff8c4468ce9bdd8d6ab12d2
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2009-09-27 09:20:49
# local_time=2009-09-27 11:20:49 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=769 21 100 100 5470781250
# scanned=1
# found=0
# cleaned=0
# scan_time=36
esets_scanner_update returned -1 esets_gle=53251
# version=6
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6050
# api_version=3.0.2
# EOSSerial=24bd39f7cff8c4468ce9bdd8d6ab12d2
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2009-09-27 10:16:18
# local_time=2009-09-28 12:16:18 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=769 21 100 100 38759843750
# scanned=45667
# found=14
# cleaned=14
# scan_time=3308
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CoolWWWSearchOleHelp1.zip	Win32/Bagle.gen.zip ver (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CoolWWWSearchOleHelp4.zip	Win32/Bagle.gen.zip ver (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\Shareaza\securom\procyon.exe	une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\Shareaza\securom\SecuROM_Loader_v7.26.rar	une variante probable de Win32/Agent cheval de troie (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
C:\System Volume Information\_restore{B86B1BE7-2924-4F64-B458-A20A118D8428}\RP16\A0001238.sys	une variante probable de Win32/Olmarik.MT cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\System Volume Information\_restore{B86B1BE7-2924-4F64-B458-A20A118D8428}\RP16\A0001241.dll	Win32/Olmarik.KW cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\System Volume Information\_restore{B86B1BE7-2924-4F64-B458-A20A118D8428}\RP17\A0001717.exe	une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
D:\clé julien\3dmark05_v130_installer.zip	une variante de Win32/Adware.Casino application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
D:\demoscene\08\flt_cheguevara.exe	une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
D:\divers\Futuremark.3DMark05.rar	une variante probable de Win32/Agent cheval de troie (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
D:\Données\Fichiers Téléchargés\adsl\GDiVX1.9.9.5.exe	une variante probable de Win32/Adware.Agent application (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
D:\Données\Fichiers Téléchargés\adsl2\che_guevara_by_fairlight.zip	une variante probable de Win32/Agent cheval de troie (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
D:\Données\Fichiers Téléchargés\adsl2\grenoble\Test.rar	une variante probable de Win32/Agent cheval de troie (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
D:\Données\Fichiers Téléchargés\adsl2\Nouveau dossier
fs-mania_maniatools_setup_v1.0.zip	une variante probable de Win32/Spy.Agent cheval de troie (supprimé - mis en quarantaine)	00000000000000000000000000000000	C

Que dois-je faire maintenant ?

Merci.

eZula · Answer

Supprime C:\WINDOWS\sed.exe_RenameGenProc[nombre aléatoire] et C:\WINDOWS\grep.exe_RenameGenProc[nombre aléatoire]

* Pour terminer, désactive la restauration système, redémarre l'ordinateur, puis réactive-la, en procédant comme indiqué ici  http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

* Lance le nettoyage avec CCleaner régulièrement 

* Visite régulièrement le site http://www.update.microsoft.com/windowsupdate/v6/default.aspx afin d'avoir un système toujours actualisé.
* Utilise hebdomadairement ce petit programme http://alt-shift-return.org/Info/Update_Checker.html pour effectuer tes mises à jour logicielles.
* N'installe jamais un programme sans avoir entièrement lu et compris les termes de son contrat d'utilisation, ou sans être définitivement certain qu'il n'installe pas discrètement un logiciel publicitaire (renseigne-toi sur Google ou sur les forums)
* Préfère l'utilisation de logiciels libres https://fr.wikipedia.org/wiki/Logiciel_libre : ils sont transparents et plus sécurisés, à l'inverse des logiciels propriétaires https://fr.wikipedia.org/wiki/Logiciel_propri%C3%A9taire ; Firefox, Thunderbird, OpenOffice, VLC... en font partie.

* A ce moment là, tu pourras marquer ton sujet "résolu" si tu estimes que c'est le cas

* Note importante : il est fortement conseillé d'utiliser un compte limité pour une utilisation classique d'un ordinateur afin de minimiser très siginificativement les risques d'infection.
Mode d'emploi : https://www.microsoft.com/de-ch

à+

fragger008 · Answer

Salut eZula.

Et merci encore pour tous tes conseils.

J'ai donc désactivé la restauration système, redémarré le PC, puis réactivé la restauration. J'ai enfin lancé un CCleaner. 

Je suis donc maintenant débarrassé de tout virus/ ver / trojan etc... ? Comment en être sûr ?

Merci d'avance.

eZula · Answer

On ne peut jamais être sur. Observe, si dans quelques temps la situation reste stable, sois confiant.

fragger008 · Answer

D'accord. Je vais donc patienter quelques jours voir comment ça évolue. Est-ce qu'un rapport hijackthis pourra alors vous donner quelques indices ?

Si tout se passe d'ici quelques jours, je passerai le sujet sur "résolu".

Merci encore pour toute aide, c'est vraiment sympa de ta part. ;-)

eZula · Answer

un rapport hijackthis pourra alors vous donner quelques indices ?


tu pourras retélécharger GenProc et voir s'il trouve encore des problèmes

à+

Aide pour déchiffrage rapport HijackThis

17 réponses

Discussions similaires

Newsletters