Forum Clubic

Virus log hijack

bonjour
j’ai un virus qui pourri mon pc depuis 3 semaines. Après avoir lu plusieurs messages sur des forums j’ai utilisé hijack. Est ce que quelqu’un pourrait jeter un coup d’oeil au log. Merci.

mon ordi:
acer aspire
intel pentium M/35A 1,7ghz
1 GB DDR2

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:23, on 02/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Acer\Empowering Technology\admtray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\philo\Mes documents\Téléchargements\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM…\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM…\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM…\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM…\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM…\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM…\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM…\Run: [ADMTray.exe] “C:\Acer\Empowering Technology\admtray.exe”
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: &Sample Toolband Serach - C:\WINDOWS\system32\ToolBand.dll…
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE…
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra ‘Tools’ menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - messenger.zone.msn.com…
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - messenger.zone.msn.com…
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - messenger.zone.msn.com…
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - messenger.zone.msn.com…
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - messenger.zone.msn.com…
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - messenger.zone.msn.com…
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - messenger.zone.msn.com…
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - messenger.zone.msn.com…
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - messenger.zone.msn.com…
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - messenger.zone.msn.com…
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - secure.gopetslive.com…
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe


End of file - 10194 bytes

:hello:

relance hijackthis puis clique sur http://images.imagehotel.net/z8uattg6yg.jpg

recherche et coche les lignes suivantes:

puis clique sur http://images.imagehotel.net/sw6zjk8ugk.jpg

Télécharge et installe ccleaner , refuse la barre Yahoo à l’install

Passe le en mode nettoyeur

Télécharge, mets à jour Malwarebytes Anti-Malware que tu trouveras ici (pour les intimes il se nomme MBAM)

Passe en mode sans échec:
www.inforumatique.fr…

En préférant la méthode F8

Scanne ton ordi avec MBAM (mode complet), [bsélectionne tout ce qui est trouvé]supprime tout ce qui est trouvé[/b], enregistre le rapport sur le bureau, poste le dans ton prochain message

Clique [ici](http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip) pour télécharger [b]GenProc[/b] sur le bureau

=> Décompresse le sur le bureau
=> Ouvre le dossier créé et lance [b]GenProc.bat[/b]
=> Enregistre le rapport sur le bureau et poste le ici s'il te plait

[[b]Une aide à  l'utilisation ici[/b]](http://www.alt-shift-return.org/Info/GenProc-HowTo.html)

Poste le rapport MBAM et Genproc

Merci beaucoup pour cette réponse aussi rapide, je n’ai pas eu le temps de m’en occuper avant.

J’ai bien fait ce que vous m’avez dit mais mon ordinateur refuse de démarrer en mode sans échec, windows dit qu’un virus l’en empêche. J’ai donc scanner mon ordi en mode normal.

Voici les rapports:

Il y en a deux pour MBAM:
Malwarebytes’ Anti-Malware 1.41
Version de la base de données: 2977
Windows 5.1.2600 Service Pack 3

18/10/2009 09:43:30
mbam-log-2009-10-18 (09-43-30).txt

Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 29871
Temps écoulé: 1 minute(s), 40 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Et:
Malwarebytes’ Anti-Malware 1.41
Version de la base de données: 2977
Windows 5.1.2600 Service Pack 3

18/10/2009 11:21:05
mbam-log-2009-10-18 (11-21-04).txt

Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 184778
Temps écoulé: 23 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Et le rapport Genproc:
Rapport GenProc 2.640 [1] - 18/10/2009 à 9:57:22
@ Windows XP Service Pack 3 - Mode normal
@ Mozilla Firefox (3.5.3) [Navigateur par défaut]

GenProc n’a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :

Poste un rapport Nod32 www.eset-nod32.fr… (il faut utiliser Internet Explorer)

  • coche toutes les cases à chaque fois, et lorsque c’est terminé, colle le rapport :
    C:\Program Files\EsetOnlineScanner\log.txt

~~~~ INFORMATION COMPLEMENTAIRE ~~~~

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:58:50, on 18/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Acer\Empowering Technology\admtray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Malwarebytes’ Anti-Malware\mbam.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\philo\Bureau\GenProc\outil\philo_GenProc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM…\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM…\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM…\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM…\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM…\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM…\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM…\Run: [ADMTray.exe] “C:\Acer\Empowering Technology\admtray.exe”
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE…
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra ‘Tools’ menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe


End of file - 8574 bytes


Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com

~~ Fin à 9:59:09 ~~

Encore merci pour l’aide, je serai plus rapide pour les prochains conseils !

Re,

Télécharge Toolbar-S&D (de la Team IDN) sur ton Bureau.
(Utilisateur de Vista, clique-droit sur le fichier téléchargé > Exécuter en tant qu’administrateur)

[b]/!\ Désactive toutes tes protections résidentes ! /![/b]

  • Lance le programme. (Utilisateur de Vista, clique-droit sur le raccourci de Toolbar-S&D > Exécuter en tant qu’administrateur)
  • Choisis F pour Français, et valide par Entrée
  • Choisis maintenant l’option 1 (Recherche). Patiente jusqu’à la fin de la recherche.
  • Poste le rapport généré. (C:\TB.txt)

[b]/!\ Réactive toutes tes protections résidentes ! /![/b]

Comment je désactive toutes mes protections résidentes?

salut

tu désactives ==> Avast ==>Clic droit sur son icone d’avast "A"dans la barre des taches, puis ==>“arrêter la protection résidente”.

tu n oublieras pas de réactiver une fois fini ,l analyse

saches aussi qu il se réactive aprés un redémarrage

Merci :slight_smile:


Voici le rapport:

-----------\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel® Pentium® M processor 1.73GHz )
BIOS : Phoenix NoteBIOS 4.0 Release 6.1
USER : philo ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1229 [VPS 091017-0] 4.8.1229 (Not Activated)
C:\ (Local Disk) - FAT32 - Total:35 Go (Free:4 Go)
D:\ (Local Disk) - FAT32 - Total:35 Go (Free:0 Go)
E:\ (CD or DVD)

“C:\ToolBar SD” ( MAJ : 22-08-2009|18:42 )
Option : [1] ( 18/10/2009|16:20 )

-----------\ Recherche de Fichiers / Dossiers …

-----------\ […\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
“Local Page”=“C:\WINDOWS\system32\blank.htm”
“Start Page”=“http://www.google.fr/
“Search Page”=“http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
“Default_Page_URL”=“http://go.microsoft.com/fwlink/?LinkId=69157
“Default_Search_URL”=“http://go.microsoft.com/fwlink/?LinkId=54896
“Search Page”=“http://go.microsoft.com/fwlink/?LinkId=54896
“Start Page”=“http://go.microsoft.com/fwlink/?LinkId=69157

--------------------\ Recherche d’autres infections

Aucune autre infection trouvée !

1 - “C:\ToolBar SD\TB_1.txt” - 18/10/2009|16:21 - Option : [1]

-----------\ Fin du rapport a 16:21:44,62

Alors, mon ordi ne veut plus du tout accéder à internet…

Grâce à Avast, j’ai pu avoir des noms de dossiers malveillants:
Nom fichier: C:\windows\system32\vsfocekmnwwykk.dll
Nom logiciel: win32:alureon-CM[Rtk]
Type logiciel: Rootkit
Version VPS: 091026-0, 26/10/2009

Nom fichier: C:\windows\system32\vsfoceqpapmevt.dll
Nom logiciel: win32:alureon-DA[Rtk]
Type logiciel: Rootkit
Version VPS: 091026-0, 26/10/2009

Nom fichier: C:\windows\system32\vsfoceklllngsw.dll
Nom logiciel: win32:alureon-CDORtk]
Type logiciel: Rootkit
Version VPS: 091026-0, 26/10/2009

Nom fichier: C:\windows\system32\vsfocetkbeecxi.dll
Nom logiciel: win32:alureon-DO[Rtk]
Type logiciel: Rootkit
Version VPS: 091026-0, 26/10/2009

J’espère que ça peut vous aider !

Merci,

salut

jeanmimigab :super: c est ce qu il fallait lui faire ,peut être que Senosen est absent. Je lui aurai également donné à faire si tu ne l avais pas fait

:hello:

Voici le rapport de Combofix:
ComboFix 09-10-30.01 - philo 01/11/2009 13:33.1.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.542 [GMT 1:00]
Lancé depuis: c:\documents and settings\philo\Bureau\leetah.exe
AV: avast! antivirus 4.8.1229 [VPS 091031-0] On-access scanning disabled (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

  • Un nouveau point de restauration a été créé
    .

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\WinPCap
c:\program files\WinPCap\daemon_mgm.exe
c:\program files\WinPCap\npf_mgm.exe
c:\program files\WinPCap\rpcapd.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\vsfocemrvskwpr.dat
c:\windows\system32\vsfoceniylstmt.dat
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_vsfocecgalxrhx
-------\Service_NPF
-------\Service_vsfocecgalxrhx

((((((((((((((((((((((((((((( Fichiers créés du 2009-10-01 au 2009-11-01 ))))))))))))))))))))))))))))))))))))
.

2009-10-18 15:06 . 2009-10-18 15:06 -------- d-----w- C:\ToolBar SD
2009-10-18 10:29 . 2009-10-18 10:29 -------- d-----w- C:\FOUND.001
2009-10-18 08:40 . 2009-10-18 08:40 -------- d-----w- c:\documents and settings\philo\Application Data\Malwarebytes
2009-10-18 08:40 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-18 08:40 . 2009-10-18 08:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-18 08:40 . 2009-10-18 08:40 -------- d-----w- c:\program files\Malwarebytes’ Anti-Malware
2009-10-18 08:40 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-25 19:04 . 2009-09-25 19:04 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-09-25 19:04 . 2009-09-25 19:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-11 15:18 . 2004-08-05 04:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-09 15:25 . 2009-09-09 15:25 -------- d-----w- c:\documents and settings\philo\Application Data\FileZilla
2009-09-09 15:25 . 2009-09-09 15:24 -------- d-----w- c:\program files\FileZilla FTP Client
2009-09-04 22:04 . 2004-08-05 04:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 08:28 . 2004-08-05 04:00 832512 ----a-w- c:\windows\system32\wininet.dll
2009-08-29 08:28 . 2004-08-05 04:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-08-29 08:28 . 2004-08-05 04:00 17408 ----a-w- c:\windows\system32\corpol.dll
2009-08-26 09:01 . 2004-08-05 04:00 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-17 22:33 . 2009-08-17 22:33 1193832 ----a-w- c:\windows\system32\FM20.DLL
2009-08-06 18:24 . 2004-08-05 04:00 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-08-06 18:24 . 2004-08-05 04:00 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-08-06 18:24 . 2005-05-26 03:16 44768 ----a-w- c:\windows\system32\wups2.dll
2009-08-06 18:24 . 2004-08-05 04:00 35552 ----a-w- c:\windows\system32\wups.dll
2009-08-06 18:24 . 2004-08-05 04:00 53472 ----a-w- c:\windows\system32\wuauclt.exe
2009-08-06 18:24 . 2004-08-05 04:00 96480 ----a-w- c:\windows\system32\cdm.dll
2009-08-06 18:23 . 2004-08-05 04:00 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-08-06 18:23 . 2007-07-05 09:33 215920 ----a-w- c:\windows\system32\muweb.dll
2009-08-06 18:23 . 2007-07-05 09:33 274288 ----a-w- c:\windows\system32\mucltui.dll
2009-08-06 18:23 . 2004-08-05 04:00 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-08-05 10:00 . 2004-08-05 04:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-04 21:58 . 2004-08-05 04:00 2191232 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-08-04 18:28 . 2004-08-05 04:00 2068096 ----a-w- c:\windows\system32\ntkrnlpa.exe
2008-09-04 21:29 . 2008-09-04 21:28 6108728 ----a-w- c:\program files\picasaweb-current-setup.exe
2008-01-30 19:33 . 2008-01-30 19:33 1943936 ----a-w- c:\program files\pn31lous.exe
2007-06-06 12:29 . 2007-06-06 12:24 5823256 ----a-w- c:\program files\Firefox Setup 2.0.0.4.exe
2007-01-03 11:28 . 2007-01-03 11:26 17674296 ----a-w- c:\program files\avg75free_432a861.exe
2006-12-27 17:01 . 2006-12-27 17:02 643144 ----a-w- c:\program files\XviD-1.1.2-01112006.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Note les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“swg”=“c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-07-29 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“SynTPLpr”=“c:\program files\Synaptics\SynTP\SynTPLpr.exe” [2005-01-07 102491]
“SynTPEnh”=“c:\program files\Synaptics\SynTP\SynTPEnh.exe” [2005-01-07 692315]
“eDataSecurity Loader”=“c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe” [2005-10-19 69632]
“EPM-DM”=“c:\acer\Empowering Technology\ePower\epm-dm.exe” [2005-11-25 212992]
“Acer ePower Management”=“c:\acer\Empowering Technology\ePower\Acer ePower Management.exe” [2005-11-09 3084288]
“eRecoveryService”=“c:\acer\Empowering Technology\eRecovery\Monitor.exe” [2005-11-16 397312]
“ADMTray.exe”=“c:\acer\Empowering Technology\admtray.exe” [2005-10-24 2462208]
“avast!”=“c:\progra~1\ALWILS~1\Avast4\ashDisp.exe” [2008-07-19 78008]
“Malwarebytes Anti-Malware (rootkit-scan)”=“c:\program files\Malwarebytes’ Anti-Malware\mbam.exe” [2009-09-10 1312080]
“GrooveMonitor”=“c:\program files\Microsoft Office\Office12\GrooveMonitor.exe” [2008-10-25 31072]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360]

c:\documents and settings\All Users\Menu D?marrer\Programmes\D?marrage
Post-it© Software Notes Lite.lnk - c:\program files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM~\startupfolder\C:^Documents and Settings^philo^Menu Démarrer^Programmes^Démarrage^ChkDisk.dll]
path=c:\documents and settings\philo\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll
backup=c:\windows\pss\ChkDisk.dllStartup

[HKLM~\startupfolder\C:^Documents and Settings^philo^Menu Démarrer^Programmes^Démarrage^ChkDisk.lnk]
path=c:\documents and settings\philo\Menu Démarrer\Programmes\Démarrage\ChkDisk.lnk
backup=c:\windows\pss\ChkDisk.lnkStartup

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“c:\Program Files\Acer\Acer Arcade\PCMService.exe”=
“c:\Program Files\Messenger\msmsgs.exe”=
“%windir%\Network Diagnostic\xpnetdiag.exe”=
“c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE”=
“c:\Program Files\Microsoft Office\Office12\GROOVE.EXE”=
“c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE”=
“c:\Program Files\Windows Live\Messenger\MsnMsgr.Exe”=
“c:\Program Files\Windows Live\Messenger\livecall.exe”=
“c:\Program Files\iTunes\iTunes.exe”=
“c:\Program Files\Skype\Phone\Skype.exe”=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [28/05/2008 16:42 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28/05/2008 16:42 20560]
S2 tzdkoo;tzdkoo;??\c:\windows\system32\drivers\vjyswvwk.sys --> c:\windows\system32\drivers\vjyswvwk.sys [?]
S3 tsusbser;Toshiba TS705 Serial Port;c:\windows\system32\drivers\tsusbser.sys [07/08/2006 10:44 89728]

— Autres Services/Pilotes en mémoire —

NewlyCreated - CLASSPNP_2
Deregistered - CLASSPNP_2
.
Contenu du dossier ‘Tâches planifiées’

2009-10-07 c:\windows\Tasks\AppleSoftwareUpdate.job

  • c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = www.google.fr…
    uInternet Connection Wizard,ShellNext = iexplore
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\philo\Application Data\Mozilla\Firefox\Profiles\r3em2t21.default\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref(“security.ssl3.rsa_seed_sha”, true);
.


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, www.gmer.net…
Rootkit scan 2009-11-01 13:43
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés …

Recherche d’éléments en démarrage automatique cachés …

Recherche de fichiers cachés …

Scan terminé avec succès
Fichiers cachés: 0


“ImagePath”="“c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe”\00|\00\00\00\00\00\00\00\00\00\00\00\002\00\00\00\00\00S\02pè\13\00pè\13\00\18î‘|¸è\02\08f
[\02m\05’|æ\1b€|\00\00\15\00\00\00\00\00ö\1b"

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\INTEL\Wireless\Folders\¬ 7]
“Path”=“c:\WINDOWS\system32\config\systemprofile\Application Data\Intel\Wireless\”

[HKEY_LOCAL_MACHINE\software\INTEL\Wireless\Folders\¬ ~2]
“Path”=“c:\WINDOWS\system32\config\systemprofile\Application Data\Intel\Wireless\”
.
--------------------- DLLs chargées dans les processus actifs ---------------------

              • ‘winlogon.exe’(772)
                c:\windows\system32\Ati2evxx.dll

              • ‘explorer.exe’(2592)
                c:\windows\system32\MSNChatHook.dll
                c:\windows\system32\sysenv.dll
                c:\windows\system32\MSVCR71.dll
                c:\progra~1\WINDOW~2\wmpband.dll
                c:\windows\system32\eappprxy.dll
                c:\windows\system32\WPDShServiceObj.dll
                c:\windows\system32\PortableDeviceTypes.dll
                c:\windows\system32\PortableDeviceApi.dll
                c:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
                c:\program files\Microsoft Office\Office12\1036\GrooveIntlResource.dll
                c:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
                c:\program files\Acer\Acer Arcade\Kernel\Video\CLMedia.dll
                c:\program files\CyberLink\PowerProducer\ppM1Splter.ax
                c:\program files\Acer\Acer Arcade\Kernel\TV\PCMRM2Splter.ax
                c:\program files\Acer\Acer Arcade\Kernel\TV\PCMBM2Splter.ax
                c:\program files\Acer\Acer Arcade\Kernel\Burner\ppM1Splter.ax
                c:\program files\Acer\Acer Arcade\Kernel\TV\PCMBM1Splter.ax
                c:\program files\CyberLink\PowerProducer\ppM2Splter.ax
                c:\program files\Acer\Acer Arcade\Kernel\Burner\ppM2Splter.ax
                c:\program files\Acer\Acer Arcade\Kernel\Burner\ppTLM2Splter.ax
                c:\program files\Acer\Acer Arcade\Kernel\EditMovie\MDTLM1Splter.ax
                c:\program files\Acer\Acer Arcade\Kernel\Burner\ppTLM1Splter.ax
                c:\program files\CyberLink\PowerProducer\ppTLM1Splter.ax
                c:\program files\CyberLink\PowerProducer\ppTLM2Splter.ax
                c:\program files\Acer\Acer Arcade\Kernel\EditMovie\MDTLM2Splter.ax
                c:\windows\system32\wmpasf.dll
                c:\windows\system32\DRMClien.DLL
                c:\program files\Acer\Acer Arcade\Kernel\Movie\CLDemuxer.ax
                .
                ------------------------ Autres processus actifs ------------------------
                .
                c:\program files\Intel\Wireless\Bin\EvtEng.exe
                c:\program files\Intel\Wireless\Bin\S24EvMon.exe
                c:\program files\Alwil Software\Avast4\aswUpdSv.exe
                c:\program files\Alwil Software\Avast4\ashServ.exe
                c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
                c:\acer\Empowering Technology\admServ.exe
                c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
                c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
                c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
                c:\program files\Intel\Wireless\Bin\RegSrvc.exe
                c:\program files\CyberLink\Shared Files\RichVideo.exe
                c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
                c:\program files\Alwil Software\Avast4\ashMaiSv.exe
                c:\program files\Alwil Software\Avast4\ashWebSv.exe
                c:\progra~1\3M\PSNLite\PSNGive.exe
                .


.
Heure de fin: 2009-11-01 13:45 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-11-01 12:45

Avant-CF: 3 560 931 328 octets libres
Après-CF: 3 511 517 184 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS=“Microsoft Windows XP dition familiale” /noexecute=optin /fastdetect

    • End Of File - - 7649FD3E644B3007A03FBA41F3A16C4D

je sais pas comment vous faites pour comprendre quelque chose… merci de m’aider !

Coucou,
Nouveau rapport:
ComboFix 09-10-30.01 - philo 02/11/2009 23:12.2.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.535 [GMT 1:00]
Lancé depuis: c:\documents and settings\philo\Bureau\leetah.exe
Commutateurs utilisés :: c:\documents and settings\philo\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1229 [VPS 091102-0] On-access scanning disabled (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-10-02 au 2009-11-02 ))))))))))))))))))))))))))))))))))))
.

2009-10-18 15:06 . 2009-10-18 15:06 -------- d-----w- C:\ToolBar SD
2009-10-18 10:29 . 2009-10-18 10:29 -------- d-----w- C:\FOUND.001
2009-10-18 08:40 . 2009-10-18 08:40 -------- d-----w- c:\documents and settings\philo\Application Data\Malwarebytes
2009-10-18 08:40 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-18 08:40 . 2009-10-18 08:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-18 08:40 . 2009-10-18 08:40 -------- d-----w- c:\program files\Malwarebytes’ Anti-Malware
2009-10-18 08:40 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-25 19:04 . 2009-09-25 19:04 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-09-25 19:04 . 2009-09-25 19:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-11 15:18 . 2004-08-05 04:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-09 15:25 . 2009-09-09 15:25 -------- d-----w- c:\documents and settings\philo\Application Data\FileZilla
2009-09-09 15:25 . 2009-09-09 15:24 -------- d-----w- c:\program files\FileZilla FTP Client
2009-09-04 22:04 . 2004-08-05 04:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 08:28 . 2004-08-05 04:00 832512 ------w- c:\windows\system32\wininet.dll
2009-08-29 08:28 . 2004-08-05 04:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-08-29 08:28 . 2004-08-05 04:00 17408 ----a-w- c:\windows\system32\corpol.dll
2009-08-26 09:01 . 2004-08-05 04:00 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-17 22:33 . 2009-08-17 22:33 1193832 ----a-w- c:\windows\system32\FM20.DLL
2009-08-06 18:24 . 2004-08-05 04:00 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-08-06 18:24 . 2004-08-05 04:00 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-08-06 18:24 . 2005-05-26 03:16 44768 ----a-w- c:\windows\system32\wups2.dll
2009-08-06 18:24 . 2004-08-05 04:00 35552 ----a-w- c:\windows\system32\wups.dll
2009-08-06 18:24 . 2004-08-05 04:00 53472 ------w- c:\windows\system32\wuauclt.exe
2009-08-06 18:24 . 2004-08-05 04:00 96480 ----a-w- c:\windows\system32\cdm.dll
2009-08-06 18:23 . 2004-08-05 04:00 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-08-06 18:23 . 2007-07-05 09:33 215920 ----a-w- c:\windows\system32\muweb.dll
2009-08-06 18:23 . 2007-07-05 09:33 274288 ----a-w- c:\windows\system32\mucltui.dll
2009-08-06 18:23 . 2004-08-05 04:00 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-08-05 10:00 . 2004-08-05 04:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2008-09-04 21:29 . 2008-09-04 21:28 6108728 ----a-w- c:\program files\picasaweb-current-setup.exe
2008-01-30 19:33 . 2008-01-30 19:33 1943936 ----a-w- c:\program files\pn31lous.exe
2007-06-06 12:29 . 2007-06-06 12:24 5823256 ----a-w- c:\program files\Firefox Setup 2.0.0.4.exe
2007-01-03 11:28 . 2007-01-03 11:26 17674296 ----a-w- c:\program files\avg75free_432a861.exe
2006-12-27 17:01 . 2006-12-27 17:02 643144 ----a-w- c:\program files\XviD-1.1.2-01112006.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-11-01_12.43.19 )))))))))))))))))))))))))))))))))))))))))
.

  • 2009-11-02 22:17 . 2009-11-02 22:17 16384 c:\windows\Temp\Perflib_Perfdata_758.dat
  • 2009-11-02 22:02 . 2009-11-02 22:02 16384 c:\windows\Temp\Perflib_Perfdata_74c.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    Note les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“swg”=“c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-07-29 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“SynTPLpr”=“c:\program files\Synaptics\SynTP\SynTPLpr.exe” [2005-01-07 102491]
“SynTPEnh”=“c:\program files\Synaptics\SynTP\SynTPEnh.exe” [2005-01-07 692315]
“eDataSecurity Loader”=“c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe” [2005-10-19 69632]
“EPM-DM”=“c:\acer\Empowering Technology\ePower\epm-dm.exe” [2005-11-25 212992]
“Acer ePower Management”=“c:\acer\Empowering Technology\ePower\Acer ePower Management.exe” [2005-11-09 3084288]
“eRecoveryService”=“c:\acer\Empowering Technology\eRecovery\Monitor.exe” [2005-11-16 397312]
“ADMTray.exe”=“c:\acer\Empowering Technology\admtray.exe” [2005-10-24 2462208]
“avast!”=“c:\progra~1\ALWILS~1\Avast4\ashDisp.exe” [2008-07-19 78008]
“Malwarebytes Anti-Malware (rootkit-scan)”=“c:\program files\Malwarebytes’ Anti-Malware\mbam.exe” [2009-09-10 1312080]
“GrooveMonitor”=“c:\program files\Microsoft Office\Office12\GrooveMonitor.exe” [2008-10-25 31072]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360]

c:\documents and settings\All Users\Menu D?marrer\Programmes\D?marrage
Post-it© Software Notes Lite.lnk - c:\program files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM~\startupfolder\C:^Documents and Settings^philo^Menu Démarrer^Programmes^Démarrage^ChkDisk.dll]
path=c:\documents and settings\philo\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll
backup=c:\windows\pss\ChkDisk.dllStartup

[HKLM~\startupfolder\C:^Documents and Settings^philo^Menu Démarrer^Programmes^Démarrage^ChkDisk.lnk]
path=c:\documents and settings\philo\Menu Démarrer\Programmes\Démarrage\ChkDisk.lnk
backup=c:\windows\pss\ChkDisk.lnkStartup

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“c:\Program Files\Acer\Acer Arcade\PCMService.exe”=
“c:\Program Files\Messenger\msmsgs.exe”=
“%windir%\Network Diagnostic\xpnetdiag.exe”=
“c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE”=
“c:\Program Files\Microsoft Office\Office12\GROOVE.EXE”=
“c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE”=
“c:\Program Files\Windows Live\Messenger\MsnMsgr.Exe”=
“c:\Program Files\Windows Live\Messenger\livecall.exe”=
“c:\Program Files\iTunes\iTunes.exe”=
“c:\Program Files\Skype\Phone\Skype.exe”=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [28/05/2008 16:42 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28/05/2008 16:42 20560]
S2 tzdkoo;tzdkoo;??\c:\windows\system32\drivers\vjyswvwk.sys --> c:\windows\system32\drivers\vjyswvwk.sys [?]
S3 tsusbser;Toshiba TS705 Serial Port;c:\windows\system32\drivers\tsusbser.sys [07/08/2006 10:44 89728]

— Autres Services/Pilotes en mémoire —

NewlyCreated - PCIIDEX_2
Deregistered - CLASSPNP_2
Deregistered - PCIIDEX_2
.
Contenu du dossier ‘Tâches planifiées’

2009-10-07 c:\windows\Tasks\AppleSoftwareUpdate.job

  • c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = www.google.fr…
    uInternet Connection Wizard,ShellNext = iexplore
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\philo\Application Data\Mozilla\Firefox\Profiles\r3em2t21.default\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref(“security.ssl3.rsa_seed_sha”, true);
.


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, www.gmer.net…
Rootkit scan 2009-11-02 23:17
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés …

Recherche d’éléments en démarrage automatique cachés …

Recherche de fichiers cachés …

Scan terminé avec succès
Fichiers cachés: 0


“ImagePath”="“c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe”\00|\00\00\00\00\00\00\00\00\00\00\00\002\00\00\00\00\00S\02pè\13\00pè\13\00\18î‘|¸è\02\08f
[\02m\05’|æ\1b€|\00\00\15\00\00\00\00\00ö\1b"

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\INTEL\Wireless\Folders\¬ 7]
“Path”=“c:\WINDOWS\system32\config\systemprofile\Application Data\Intel\Wireless\”

[HKEY_LOCAL_MACHINE\software\INTEL\Wireless\Folders\¬ ~2]
“Path”=“c:\WINDOWS\system32\config\systemprofile\Application Data\Intel\Wireless\”
.
--------------------- DLLs chargées dans les processus actifs ---------------------

              • ‘winlogon.exe’(772)
                c:\windows\system32\Ati2evxx.dll

              • ‘explorer.exe’(3796)
                c:\windows\system32\MSNChatHook.dll
                c:\windows\system32\sysenv.dll
                c:\windows\system32\MSVCR71.dll
                c:\progra~1\WINDOW~2\wmpband.dll
                c:\windows\system32\eappprxy.dll
                c:\windows\system32\WPDShServiceObj.dll
                c:\windows\system32\PortableDeviceTypes.dll
                c:\windows\system32\PortableDeviceApi.dll
                c:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
                c:\program files\Microsoft Office\Office12\1036\GrooveIntlResource.dll
                c:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
                .
                ------------------------ Autres processus actifs ------------------------
                .
                c:\program files\Intel\Wireless\Bin\EvtEng.exe
                c:\program files\Intel\Wireless\Bin\S24EvMon.exe
                c:\program files\Alwil Software\Avast4\aswUpdSv.exe
                c:\program files\Alwil Software\Avast4\ashServ.exe
                c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
                c:\acer\Empowering Technology\admServ.exe
                c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
                c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
                c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
                c:\program files\Intel\Wireless\Bin\RegSrvc.exe
                c:\program files\CyberLink\Shared Files\RichVideo.exe
                c:\progra~1\3M\PSNLite\PSNGive.exe
                c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
                c:\program files\Alwil Software\Avast4\ashMaiSv.exe
                c:\program files\Alwil Software\Avast4\ashWebSv.exe
                .


.
Heure de fin: 2009-11-02 23:20 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-11-02 22:20
ComboFix2.txt 2009-11-01 12:45

Avant-CF: 3 564 929 024 octets libres
Après-CF: 3 512 074 240 octets libres

    • End Of File - - E384503559AB426C6A60B6A68EA6069C

@++

Salut,
Alors, j’ai pas trouvé le rapport tout de suite mais en fouillant mon ordi, j’ai trouvé ça et je crois que c’est ça.
Sinon, Eset online scanner disait qu’il avait trouvé 5 fichiers infectés et qu’il les a nettoyés.

Rapport:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK

version=7

iexplore.exe=7.00.6000.16915 (vista_gdr.090826-0339)

OnlineScanner.ocx=1.0.0.6211

api_version=3.0.2

EOSSerial=bf26c70abe72ac4a99dc6003676f14ce

end=finished

remove_checked=true

archives_checked=true

unwanted_checked=true

unsafe_checked=false

antistealth_checked=true

utc_time=2009-11-03 11:09:24

local_time=2009-11-04 12:09:24 (+0100, Paris, Madrid)

country=“France”

lang=1036

osver=5.1.2600 NT Service Pack 3

compatibility_mode=512 16777215 100 0 0 0 0 0

compatibility_mode=769 16775125 100 97 4824 193571282 0 0

compatibility_mode=1024 16777215 100 0 45892232 45892232 0 0

compatibility_mode=8192 67108863 100 0 3806 3806 0 0

scanned=76552

found=5

cleaned=5

scan_time=3239

C:\FOUND.001\FILE0014.CHK Win32/Rootkit.Agent.NPB cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\System Volume Information_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP478\A0060245.dll une variante probable de Win32/Obfuscated cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\System Volume Information_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP483\A0060358.dll Win32/Olmarik.KO cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\System Volume Information_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP483\A0060359.dll Win32/Olmarik.KW cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\System Volume Information_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP483\A0060361.dll une variante probable de Win32/Obfuscated cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
esets_scanner_update returned -1 esets_gle=53251

@ tte !

Avant de faire ça, c’est sur que j’ai plus de virus?
Parce que Avast me dit quand je le démarre que y a une erreur inconnue “le thème n’a pas été chargé correctement”

ça veut dire quoi?

Merci

@+++

Merci, c’est réglé
En revanche, quand j’ai réinstallé avast, il a trouvé des fichiers rootkit infectés, alors j’ai dit de les supprimer.
C’est normal?

++


Et voici le rapport de Toolscleaner:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

–> Recherche:

C:\VundoFix.txt: trouvé !
C:\Combofix.txt: trouvé !
C:\TB.txt: trouvé !
C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\Toolbar SD: trouvé !
C:\WINDOWS\mbr.exe: trouvé !
C:\Documents and Settings\philo\Mes documents\Téléchargements\GenProc.zip: trouvé !
C:\Documents and Settings\philo\Mes documents\Téléchargements\HijackThis.exe: trouvé !
C:\Documents and Settings\philo\Mes documents\Téléchargements\ToolBarSD.exe: trouvé !
C:\Documents and Settings\philo\Mes documents\Téléchargements\hijackthis.log: trouvé !
C:\Documents and Settings\philo\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\philo\Bureau\GenProc: trouvé !
C:\Documents and Settings\philo\Bureau\GenProc\Genproc.exe: trouvé !
C:\Documents and Settings\philo\Bureau\GenProc\outil\hijackthis.log: trouvé !
C:\Documents and Settings\philo\Bureau\GenProc\outil\mbr.exe: trouvé !
C:\Documents and Settings\philo\Bureau\GenProc\Page\GenProc[*].html: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !

++

Merci !!! Je sais pas comment j’aurais fait sans vous !
J’espère que j’aurai plus de problèmes.

+++