Bonjour, J'ai un petit probleme apparu hier me semble t il... Je n'arrive plus a lancer ni Opera, ni Chrome, ni AntiVir Guard. J'ai du attraper qqch de moche... J'ai lance un scanne avec AntiVir, et eliminer ou mis en quarataine tout ce qu'il a trouve (je suis en train de relancer un scanne complet, mais c'est long...). J'ai lance un examen rapide avec Malwarebytes. Apres avoir elminier un certain nombre de trucs suspects avec AntiVir et Malwarebytes, j'ai tjs les memes problemes. Ci-joint le dernier rapport de Malwarebytes + un rapport HijackThis. Je suis sous XP. A noter que Malwarebytese m'indique un cglsbtcx qu'il n'arrive en fait pas a eliminer... Merci d'avance pour votre aide, Olivier. =========================== RAPPORT MALWAREVYTES ============================== Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Version de la base de données: 3930 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 12/10/2011 14:42:07 mbam-log-2011-10-12 (14-42-07).txt Type d'examen: Examen rapide Elément(s) analysé(s): 113503 Temps écoulé: 3 minute(s), 56 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 1 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cglsbtcx (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\Documents and Settings\olivier\Local Settings\Application Data\tathcvqm\cglsbtcx.exe (Trojan.FakeAlert.H) -> Delete on reboot.

* rapport HJT supprimé par la modération. Obsolète*

bonjour,

Hijackthis est obsolète. Fait les manips avec ZHPDiag (lien dans ma signature : AIDE AU DIAGNOSTIC)

poste le rapport à l'issu

Fichier joint : mbam-log-2011-10-12 (14-41-16).txt

Bon, j'ai du mal a telecharger ZHPDiag... il me telecharge un fichier de 0 octet !?

quand j'essaie de le techarger du site de zebulon... Je reesaierai plus tard.

En attendant, voici le rapport de mon Scan AntiVir et ci-dessus le rapport Malwarebytes qui etait totalement illisible dans le corps de mon precent post.

Olivier.

Fichier joint : AVSCAN.txt

Voici mon rapport ZHPDiag...

Olivier.

Fichier joint : ZHPDiag.txt

Bonsoir,

Désinstaller la Restauration Système.

Poste de Travail->Propriétés->Restauration Système.
Cocher la case "Désactiver la Restauration sur tous les lecteurs".
Vous la décocherez par la suite et Redémarrerez
Un nouveau point de restauration sera créé au redémarrage.
Sous Vista:
Sous Windows 7

Sur le bureau ,il y a 3 icônes

Cliquer sur l'icône Zhpfix
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Ctrl+v pour inscrire le texte dans le Document


F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\olivier\Local Settings\Application Data\tathcvqm\cglsbtcx.exe, => Infection Diverse (Hijack.UserInit)
O4 - HKCU\..\Run: [CglSbtcx] C:\Documents and Settings\olivier\Local Settings\Application Data\tathcvqm\cglsbtcx.exe (.not file.) => Infection LOP (Possible)
O4 - HKUS\S-1-5-21-3214666520-359847719-670222136-1005\..\Run: [CglSbtcx] C:\Documents and Settings\olivier\Local Settings\Application Data\tathcvqm\cglsbtcx.exe (.not file.) => Infection LOP (Possible)
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\putty.lnk . (.Simon Tatham.) -- C:\Program Files\putty.exe => Infection FakeAlert (Trojan.FakeAlert)
O64 - Services: CurCS - ??/??/???? - C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys (.not file.) - esgiguard (esgiguard) .(...) - LEGACY_ESGIGUARD => Infection FakeAlert (Crapware.SpyHunter)
C:\Program Files\Enigma Software Group\SpyHunter => Infection FakeAlert (Crapware.SpyHunter)
C:\Documents and Settings\olivier\Application Data\Mozilla\Firefox\Profiles\wxlybclr.default\user.js (.not file.) => Fichier absent
O4 - HKLM\..\Run: [ChangeTPMAuth] Clé orpheline => Orphean Key not necessary
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline => Orphean Key not necessary
O47 - AAKE:Key Export SP - "C:\Documents and Settings\olivier\Mes documents\tmp\SweetImSetup.exe" [Enabled] .(.SweetIM Technologies, Ltd. - SweetIM Installer.) -- C:\Documents and Settings\olivier\Mes documents\tmp\SweetImSetup.exe
O51 - MPSK:{4e65bdbb-acd2-11de-9967-00216a42fad4}\AutoRun\command - Clé orpheline => Orphean Key not necessary
[MD5.D41D8CD98F00B204E9800998ECF8427E] [SPRF][12/10/2011] (...) -- C:\Documents and Settings\olivier\Local Settings\Application Data\WavXMapDrive.bat [0] => Empty File not necessary


EmptyTemp



Cliquez ensuite sur le H-
Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .
Redémarrer pour achever le nettoyage.
Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur
Copier-coller le rapport de suppression dans la prochaine réponse.

Fichier joint : NouveauRapport.txt

Ci dessus mon nouveau rapport apres avoir suivi les indications de pear... obtenu apres l'execution de ZHPFix

Pour le moment, pas de changement: Impossible de lancer AVG, Opera ou Chrome.

Bon, il semble qu'il m'a vire putty... ce qui n'est pas tres grave, je le reinstallerai quand tout ira mieux ;)

Autrement, lors du dernier redemarrage, AntiVir a affiche le message d'erreur "impossible de charger le profil"...

A noter que j'avais auparavant (avant de poster mon pb sur le forum) desinstalle et reinstaller antiVir.

Bonjour,

Je vous ai demandé de supprimer les points de restauration parceque Antivir y a trouvé Ramnit.c et Ramnit.e qui sont de terribles saletés.

Il est probable qu'ils sont responsables de vos problèmes.

Dans un premier temps, si nous avons de la chance:

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

Télécharger combofix.exe de Subs
et sauvegardez le sur le bureau




1)La console de Récupération
Les utilisateurs de Windows Vista,Seven ne sont pas concernés car ils peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Win RE) passer au point 2
Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.
Certaines infections comme braviax empêcheront son installation.
La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).
Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage
C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.
Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,
D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée
C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .
Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.
Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:
cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:
Ne modifiez pas le nom du fichier
Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2
Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe


Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
Après installation,vous devriez voir ce message:
The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:


Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Pour cela:
Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

Cela est absolument nécessaire au succès de la procédure.
Bien évidemment, vous les rétablirez ensuite.


2)Vous avez téléchargé Combofix.
Double cliquer sur combofix.exe pour le lancer.
Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!
Pour lancer le scan
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Taper sur la touche 1 pour démarrer le scan.
Si pour une raison quelconque, combofix ne se lançait pas,
Sous Vista, désactivez l'UAC
Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix
Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec
Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:
Patientez au moins 30 minutes pendant l'analyse.
Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.
A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.
Si le rapport est trop long, postez le en deux fois.
Il se trouve à c:\combofix.txt

Merci pour votre aide pear... J'avais bien désactivé la restauration système comme vous me l'aviez indiqué. Par contre, le lien download.bleepingcomputer.com/sUBs/ComboFix.exe

ne semble plus valide. Ou est-ce que je pourrais le telecharge ?

Mais si, je viens de le vérifier.

Vous avez cliquez sur le lien dans la procédure ?

OK... etrange... je n'arrive pas a me connecter a bleepingcomputer.com depuis mon portable infecte... je commence un peu a paniquer la... bon, je l'ai telechage avec un autre ordi... Je poste le resultat quand c'est fait.

Fichier joint : ComboFix.txt

Fichier joint : ComboFix2.txt

Voici mno rapport ComboFix.

J'ai coupe le rapport en 2 pour pouvoir l'uploader (sinon c'etait trop gros).

A noter que ComboFix s'est mis a jour au debut de la procedure et semble effectuer tout seul l'etape 1 maintenant... du coup je n'avais pas desactive AntiVir qui a semble t il bloque des processus apres le redemarrage lancer par Combofix...

Du coup, il faut peut-etre que je relance Combofix en desactivant AVANT AntiVir...

Pour le moment, pas de difference de comportement note.

Je vais relancer une nouvelle fois ComboFix avec AnitVir desactive au redemarrage et je posterai a nouveau le resultat.

Fichier joint : ComboFix.txt

Ci dessus, mon dernier rapport ComboxFix... en ayant deasctive AntiVir au demarrage... Je vais tester si mon ordi est plus en forme ou non...

Avant d'aller plus loin, faites cette vérification, svp:

Poste de travail->Outils ->Options des dossiers ->Affichage
Cocher "Afficher les dossiers cachés"
Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"
--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

Rendez vous à cette adresse:
Cliquez sur parcourir pour trouver ces fichiers
c:\windows\system32\Drivers\NvtSp50.sys

et cliquez sur "envoyer le fichier"
Copiez /collez la réponse dans votre prochain message.
Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now



Si Virustotal n'est pas disponible, faites analyser par Jotti:
Analyser_un_fichier_sur_jotti

Tuto Jottiq
Jottiq

Avez vous retrouvé l'usage du mode sans échec ?

Relancez combofix une seconde fois,antivirus désactivé.

Si cela vous est possible, postez en le rapport avec une fonte plus petite que précédemment.

Bon,... il semble qu'il n'y ait rien de nouveau sous le soleil :(

Tjs impossible de lancer AVG, chrome ou Opera...

Je suis en train de faire un scan avec AntiVir et il trouve encore des W32/Ramnit.E

Le scan est toujours en court...

Je fais quoi maintenant ?

Nos messages se sont croisés.

Voyez au dessus.

Ps: pourquoi voulez vous lancer Avg puisque Antivir fonctionne.

Postez en le rapport,svp

Il ne faut jamais avoir 2 antivirus actifs

Oui, nos messages se sont croises... bon, j'ai arrete le scan d'AntiVir... il trouvait encore plein de Ramnit :(

Je n'ai pas de fichier c:\windows\system32\Drivers\NvtSp50.sys

le fichier au nom le plus proche que j'ai trouve est PCASp50.sys

et a nouveau, il m'est impossible de me connecter a VirusTotal de mon portable infecte... pas plus que sur jotti :(

Je ne peux toujours pas demarrer en mode sans echec.

Bref, que des bonnes nouvelles :)

J'ai tente de reinstalle Chrome en esperant pouvoir avoir acces a VirusTOtal... sans succes, l'installation ne semble pas fonctionner.

Avira AntiVir contient plusieurs composantes:

AntiVir Guard et un outil de scan.

Je peux faire des scan, mais ne peut pas activer AntiVir (qui semble malgre tout partiellement fonctionner... enfin, je ne sais pas trop).

Sinon, j'avais de moi meme relancer COMBOfix sans AntiVir (j'ai poster mon rapport un peu plus haut).

Curieux que vous ne trouviez pas

il est là:

S3 NvtSp50;NvtSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\NvtSp50.sys --> c:\windows\system32\Drivers\NvtSp50.sys [?]

Essayez après ceci:

Sous Xp,
Poste de travail->Outils ->Options des dossiers ->Affichage
Cocher "Afficher les dossiers cachés"
Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"
--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

Oui, j'ai vraiment cocher Affciher les dossiers caches, Decocher Masquer les extension des fichies dont le type et connu ainsi que Masquer les fichiers proteges du systeme d'exploitation... Comme c'etais dans le rapport Combofix je rerefais un combofix et envoie le resultat des que c'est fait... Ceci dit, j'ai peut-etre fait un coup d'antivir et vire les trucs qu'il me suggerait de virer... ca se trouve c'etait dedans.. en plus, j'ai pas fais de point de sauvegarde... la, j'ai merde :(

Voici mon nouveau rapport COMBOFIX...

En effet il mentionne, il y a bien cette ligne

S3 NvtSp50;NvtSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\NvtSp50.sys --> c:\windows\system32\Drivers\NvtSp50.sys [?]

dans le rapport... mais le fichier n'existe pas

==========================================================================

ComboFix 11-10-13.04 - olivier 13/10/2011 20:26:34.4.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3536.2720 [GMT 2:00]
Lancé depuis: c:\documents and settings\olivier\Bureau\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\LocalService\Local Settings\Application Data\dhoonufd.log
c:\documents and settings\LocalService\Local Settings\Application Data\exscguma.log
c:\documents and settings\LocalService\Local Settings\Application Data\iqjjpqyx.log
c:\documents and settings\olivier\Local Settings\Application Data\dhoonufd.log
c:\documents and settings\olivier\Local Settings\Application Data\exscguma.log
c:\documents and settings\olivier\Local Settings\Application Data\fulrecpt.log
c:\documents and settings\olivier\Local Settings\Application Data\iqjjpqyx.log
c:\documents and settings\olivier\Local Settings\Application Data\pwlefmke.log
c:\documents and settings\olivier\Local Settings\Application Data\rsgmtmut.log
c:\documents and settings\olivier\Local Settings\Application Data\tathcvqm\cglsbtcx.exe
c:\documents and settings\olivier\Local Settings\Application Data\veycvrgs.log
c:\windows\system32\d3d9caps.dat
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MICORSOFT_WINDOWS_SERVICE
-------\Service_Micorsoft Windows Service
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-09-13 au 2011-10-13 ))))))))))))))))))))))))))))))))))))
.
.
2011-10-13 18:31 . 2011-10-13 18:31 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\tathcvqm
2011-10-12 20:17 . 2011-10-12 20:17 -------- d-----w- c:\documents and settings\olivier\Application Data\Avira
2011-10-12 20:10 . 2011-07-21 10:22 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-10-12 20:10 . 2011-07-21 10:22 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-10-12 20:10 . 2010-06-17 13:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2011-10-12 20:10 . 2010-06-17 13:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2011-10-12 20:10 . 2011-10-12 20:10 -------- d-----w- c:\program files\Avira
2011-10-12 20:10 . 2011-10-12 20:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2011-10-12 14:12 . 2011-10-12 20:26 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-10-12 14:08 . 2011-10-12 20:26 -------- d-----w- C:\ZHP
2011-10-12 14:08 . 2011-10-12 20:26 -------- d-----w- c:\program files\ZHPDiag
2011-10-12 07:57 . 2011-10-12 07:57 -------- d-----w- c:\program files\CCleaner
2011-10-12 07:31 . 2011-10-12 07:33 -------- d---a-w- C:\Navilog1
2011-10-12 07:31 . 2011-10-12 07:32 -------- d-----w- c:\program files\Navilog1
2011-10-11 21:31 . 2011-10-13 18:31 -------- d-----w- c:\documents and settings\olivier\Local Settings\Application Data\tathcvqm
2011-10-06 21:52 . 2011-10-06 21:52 -------- d-----w- c:\program files\Mozilla Firefox7
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-13 18:32 . 2009-05-27 10:50 0 ----a-w- c:\documents and settings\olivier\Local Settings\Application Data\WavXMapDrive.bat
2011-09-22 05:47 . 2011-05-31 08:34 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-09-09 09:12 . 2008-04-25 12:46 606208 ----a-w- c:\windows\system32\crypt32.dll
2011-07-17 09:32 . 2011-07-17 09:32 5248 ----a-w- c:\windows\system32\giveio.sys
2010-02-08 14:01 . 2010-02-08 14:01 27960 ----a-w- c:\program files\mozilla firefox\plugins\atgpcdec.dll
2010-02-08 14:01 . 2010-02-08 14:01 126344 ----a-w- c:\program files\mozilla firefox\plugins\atgpcext.dll
2010-02-08 14:01 . 2010-02-08 14:01 46392 ----a-w- c:\program files\mozilla firefox\plugins\atmccli.dll
2010-02-08 14:01 . 2010-02-08 14:01 98696 ----a-w- c:\program files\mozilla firefox\plugins\ieatgpc.dll
.
.
((((((((((((((((((((((((((((( SnapShot_2011-10-13_14.46.00 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-10-13 18:10 . 2011-10-13 18:10 16384 c:\windows\Temp\Perflib_Perfdata_dd8.dat
+ 2011-10-13 18:31 . 2011-10-13 18:31 16384 c:\windows\Temp\Perflib_Perfdata_100.dat
+ 2011-10-13 18:31 . 2011-10-13 18:31 15360 c:\windows\Temp\jrmemsvq.sys
+ 2011-10-13 18:31 . 2011-10-13 18:31 117325 c:\windows\Temp\tljroxcnrhpaflgh.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ------w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ------w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ------w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ------w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ------w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ------w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ------w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ------w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ------w- c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EnabledUnlockedFDEIconOverlay]
@="{30D3C2AF-9709-4D05-9CF4-13335F3C1E4A}"
[HKEY_CLASSES_ROOT\CLSID\{30D3C2AF-9709-4D05-9CF4-13335F3C1E4A}]
2009-01-14 09:24 40960 ------w- c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UninitializedFdeIconOverlay]
@="{CF08DA3E-C97D-4891-A66B-E39B28DD270F}"
[HKEY_CLASSES_ROOT\CLSID\{CF08DA3E-C97D-4891-A66B-E39B28DD270F}]
2009-01-14 09:24 40960 ------w- c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
"CglSbtcx"="c:\documents and settings\olivier\Local Settings\Application Data\tathcvqm\cglsbtcx.exe" [BU]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2009-02-22 200704]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-03-17 483420]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2009-03-17 729088]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-02-26 134656]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-02-26 166912]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-26 134656]
"OA001Mon"="c:\windows\OA001Mon.exe" [2009-03-30 24576]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-12-04 186904]
"picon"="c:\program files\Fichiers communs\Intel\Privacy Icon\PrivacyIconClient.exe" [2008-06-02 367128]
"WavXMgr"="c:\program files\Wave Systems Corp\Services Manager\Docmgr\bin\WavXDocMgr.exe" [2008-12-22 145408]
"SecureUpgrade"="c:\program files\Wave Systems Corp\SecureUpgrade.exe" [2009-01-16 656696]
"EmbassySecurityCheck"="c:\program files\Wave Systems Corp\EMBASSY Security Setup\EMBASSYSecurityCheck.exe" [2009-01-16 95544]
"DellControlPoint"="c:\program files\Dell\Dell ControlPoint\Dell.ControlPoint.exe" [2009-11-02 657920]
"USCService"="c:\program files\Dell\Dell ControlPoint\Security Manager\BcmDeviceAndTaskStatusService.exe" [2009-01-16 15360]
"DellConnectionManager"="c:\program files\Dell\Dell ControlPoint\Connection Manager\Dell.UCM.exe" [2009-12-22 1845248]
"BIOSEvent"="c:\program files\Dell\Latitude ON Reader Data\BIOSEvent.exe" [2008-08-29 110592]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Dell ControlPoint System Manager.lnk - c:\program files\Dell\Dell ControlPoint\System Manager\DCPSysMgr.exe [2009-2-6 1095456]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2009-5-20 50688]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\documents and settings\LocalService\Local Settings\Application Data\tathcvqm\cglsbtcx.exe"
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Bluetooth.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Bluetooth.lnk
backup=c:\windows\pss\Bluetooth.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 02:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2011-04-21 05:55 281768 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-03-21 18:56 1230704 ----a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\filmoTV]
2010-02-18 19:04 601005 ----a-w- c:\program files\Filmo-TV\filmoTV.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2009-06-03 07:58 133104 ----atw- c:\documents and settings\olivier\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-10-28 19:21 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 07:34 1695232 ----a-w- c:\program files\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVDDXSrv]
2009-02-04 20:26 128232 ------w- c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-09-04 23:54 541016 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44 248552 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\wamp\\bin\\apache\\Apache2.2.11\\bin\\httpd.exe"=
"c:\\Program Files\\NX Client for Windows\\bin\\nxssh.exe"=
"c:\\Documents and Settings\\olivier\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"c:\\Documents and Settings\\olivier\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\msys\\1.0\\local\\bin\\wget.exe"=
"c:\\Program Files\\SmartFTP Client\\SmartFTP.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Avira\\AntiVir Desktop\\avcenter.exe"=
.
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [25/05/2011 15:05 162544]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [25/05/2011 15:00 44720]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [12/10/2011 22:10 136360]
R2 ASFAgent;ASF Agent;c:\program files\Intel\ASF Agent\ASFAgent.exe [19/04/2007 06:56 133968]
R2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [15/06/2011 17:33 249648]
R2 buttonsvc32;Dell ControlPoint Button Service;c:\program files\Dell\Dell ControlPoint\DCPButtonSvc.exe [06/08/2009 14:15 277792]
R2 Credential Vault Host Control Service;Credential Vault Host Control Service;c:\program files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe [22/01/2009 11:19 808296]
R2 Credential Vault Host Storage;Credential Vault Host Storage;c:\program files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe [22/01/2009 11:19 20840]
R2 dcpsysmgrsvc;Dell ControlPoint System Manager;c:\program files\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe [06/02/2009 21:06 443168]
R2 SMManager;Smith Micro Connection Manager Service;c:\program files\Dell\Dell ControlPoint\Connection Manager\SMManager.exe [22/12/2009 11:23 77312]
R2 UNS;Intel(R) Active Management Technology User Notification Service;c:\program files\Fichiers communs\Intel\Privacy Icon\UNS\UNS.exe [20/05/2009 10:33 2058776]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [20/05/2009 19:01 112512]
R3 cvusbdrv;Broadcom USH CV;c:\windows\system32\drivers\cvusbdrv.sys [20/05/2009 19:01 32808]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [20/05/2009 19:01 244368]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [20/05/2009 19:01 109568]
R3 OA001Afx;Provides a software interface to control audio effects of OA001 camera.;c:\windows\system32\drivers\OA001Afx.sys [20/05/2009 19:01 148056]
R3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\drivers\OA001Ufd.sys [20/05/2009 19:01 133632]
R3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\drivers\OA001Vid.sys [20/05/2009 19:01 280096]
R3 SRS_PremiumSound_Service;SRS Labs Premium Sound;c:\windows\system32\drivers\SRS_PremiumSound_i386.sys [20/05/2009 10:45 232744]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [16/05/2011 19:01 122224]
S?2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [03/05/2011 23:50 136176]
S0 adnyjaow;adnyjaow; [x]
S3 AsfAlrt;AsfAlrt Service;c:\windows\system32\drivers\Asfalrt.sys [19/04/2007 06:28 42832]
S3 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [07/07/2011 19:31 195336]
S3 esgiguard;esgiguard;\??\c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [?]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [03/05/2011 23:50 136176]
S3 NvtSp50;NvtSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\NvtSp50.sys --> c:\windows\system32\Drivers\NvtSp50.sys [?]
S3 Service CANALPLAY;Service CANALPLAY;"c:\program files\Lecteur CANALPLAY\CanalPlayService.exe" --> c:\program files\Lecteur CANALPLAY\CanalPlayService.exe [?]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [16/05/2011 19:01 111280]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MICORSOFT_WINDOWS_SERVICE
.
Contenu du dossier 'Tâches planifiées'
.
2011-10-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-05-03 21:50]
.
2011-10-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-05-03 21:50]
.
2011-10-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3214666520-359847719-670222136-1005Core.job
- c:\documents and settings\olivier\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-03 07:58]
.
2011-10-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3214666520-359847719-670222136-1005UA.job
- c:\documents and settings\olivier\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-03 07:58]
.
2011-10-13 c:\windows\Tasks\User_Feed_Synchronization-{18277682-7DE4-4E91-9A74-060F0B445FBE}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = ftp=localhost:8118;http=localhost:8118;https=localhost:8118;socks=localhost:9050
uInternet Settings,ProxyOverride = localhost;127.0.0.1
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
TCP: DhcpNameServer = 192.168.0.254
FF - ProfilePath - c:\documents and settings\olivier\Application Data\Mozilla\Firefox\Profiles\wxlybclr.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - prefs.js: network.proxy.socks - 127.0.0.1
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-CLIVFR - c:\program files\Dell\Latitude ON Reader Data\CLIVFR.exe
HKU-Default-Run-CglSbtcx - c:\documents and settings\LocalService\Local Settings\Application Data\tathcvqm\cglsbtcx.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-13 20:33
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwQueryDirectoryFile
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
c:\documents and settings\olivier\Menu Démarrer\Programmes\Démarrage\cglsbtcx.exe 117325 bytes executable
c:\documents and settings\olivier\Menu Démarrer\Programmes\Démarrage\desktop.ini 84 bytes
.
Scan terminé avec succès
Fichiers cachés: 2
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(4444)
c:\windows\system32\igfxdo.dll
c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll
c:\program files\TortoiseSVN\bin\TortoiseStub.dll
c:\program files\TortoiseSVN\bin\TortoiseSVN.dll
c:\program files\TortoiseSVN\bin\intl3_tsvn.dll
c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll
c:\program files\SmartFTP Client\en-US\sfShellTools.dll.mui
c:\windows\system32\btmmhook.dll
c:\program files\Windows Media Player\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\NetProvCredMan.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\program files\Roxio\Drag-to-Disc\Shellex.dll
c:\program files\Fichiers communs\Roxio Shared\9.0\DLLShared\DLAAPI_W.DLL
c:\program files\Roxio\Drag-to-Disc\ShellRes.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\WiFi\bin\S24EvMon.exe
c:\drivers\audio\r213367\stacsv.exe
c:\windows\System32\SCardSvr.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\FolderSize\FolderSizeSvc.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Intel\AMT\LMS.exe
c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmService.exe
c:\windows\system32\SearchIndexer.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\program files\WIDCOMM\Bluetooth Software\BtTray.exe
c:\program files\TortoiseSVN\bin\TSVNCache.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\HidFind.exe
c:\program files\DellTPad\Apntex.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\SearchFilterHost.exe
c:\windows\system32\SearchProtocolHost.exe
.
**************************************************************************
.
Heure de fin: 2011-10-13 20:36:48 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-10-13 18:36
ComboFix2.txt 2011-10-13 15:29
ComboFix3.txt 2011-10-13 14:58
ComboFix4.txt 2010-04-22 11:21
.
Avant-CF: 9 662 263 296 octets libres
Après-CF: 8 913 178 624 octets libres
.
- - End Of File - - 681C35BA6A0E5BCA16BA453D196DBA1F

Au fait, depuis mes coups de Combofix, il me fait plein de bip malsains au redemarrage... meme son que quand antivir detecte un truc pas clean...

De temps a autre, il m'affiche des message d'erreur du type

EMABASSYSecurityCheck.exe - Erreur d'application

L'application n'a pas reussi a s'initialiser correctement (0xc0000022). Cliquer sur OK pour atteter l'application.

Idem avec DLG.exe

J'ai eu precedement un message similaire (mais pour une autre application ipconfig.exe je crois)...

En attendant, je fais une sauvegarde de tous mes fichiers... comme ca pas de risque que je perde des donnees importantes pendant ma tentative de sauvetage... Si ca continue, je vire XP et j'installe LinuX... mais avant d'en arriver la, j'aimerais tout de meme essayer de sauver mon petit XP.

Au passage, j'en profite pour remercier a nouveau pear qui est vraiment sympa de consacrer du temps a mon probleme...

Bonjour,

Vous avez bien de sauver vos données car, hélas trop souvent, le formatage s'impose avec Ramnit.

On va cependant faire le maximum pour l'éviter.

1)
Combo, Nettoyage
Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Dans certaines circonstances , le Mode sans échec peut être nécessaire
Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

# Dans le bloc-note ,copiez-collez ces lignes :
KillAll::
Driver::
NvtSp50
File::
c:\windows\Temp\jrmemsvq.sys
c:\windows\Temp\tljroxcnrhpaflgh.exe
c:\documents and settings\olivier\Local Settings\Application Data\tathcvqm\cglsbtcx.exe
c:\windows\system32\Drivers\NvtSp50.sys
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"


* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !
Enregistrez-le en lui donnant le nom CFScript.txt
Ouvrez Combofix
* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe


* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.
* Patienter le temps du scan.
Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne toucher à rien tant que le scan n'est pas terminé.

Le rapport de ComboFix ne s'affichera qu'à la fin
Poster son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Téléchargez TFC par OldTimer sur votre Bureau pour supprimer vos fichiers temporaires
Faites un double clic sur TFC.exe pour le lancer.
Sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur
L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours auparavant.
Cliquez sur le bouton Start pour lancer le processus.
Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.
Laissez le programme s'exécuter sans l'interrompre.
Lorsqu'il aura terminé, l'outil devrait faire redémarrer votre systèmepour parachever le nettoyage..
S'il ne le faisait pas,faites redémarrer manuellement le PC



2)Si cela ne suffusait pas:

Télécharger Dr.Web CureIt! et l'enregistrer sur le bureau.
Télécharger Space Security Pro (32-bit)
ou Space Security Pro (64 bits), l'enregistrer dans bureau.
Redémarrez l'ordinateur en mode sans échec (appuyez sur F8 avant que le logo Microsoft apparaît).
DoubleClick "cureit.exe" sur le bureau, suivez les instructions à l'écran pour scanner le disque dur.
(Attendez patiemment, cela peut prendre 20-60 minutes pour effectuer un balayage express.)
Une fois la numérisation effectuée, sélectionnez tous les virus trouvés et choisissez «guérir».
(A défaut, choisissez "Quarantaine" ou "Supprimer".)
Lorsque tous les virus trouvés sont traités, redémarrez en mode normal.
Désinstaller votre anti-virus qui ne peut pas tuer le virus, puis redémarrer à nouveau.
Sur le bureau , double cliquez Sécurité Pro pour l'exécuter.

Pendant l'installation, choisir d'obtenir une clé de démonstration.
Dès la mise à jour, le scanner sera lancé à nouveau, quittez le scanner à ce point.
Terminez l'installation en redémarrant l'ordinateur.
Patientez le temps nécessaire(peut-être plusieurs heures), effectuez une analyse complète de Dr.Web scanner.

Note:

Si Windows est incapable de démarrer en raison d'une infection virale, essayer LiveCD Dr.Web ou LiveUSB au lieu de Dr.Web CureIt!
Gravez un live cd comme expliqué ici:
Tutoriel Dr Web Live cd par Nardino

Bonne chance!

Merci encore pear, mais je crois que je suis trop infecte... donc je repars a zero !

Comme je n'ai pas de CD d'installation XP et que j'ai pas la patiente d'attendre que dell m'en envoie, j'installe une distribution LinuX en reformatant tout le disque dur. Bon, c'est carrement brutal, mais je n'ai pas besoin de programme tournant specifiquement sur windows (bon, j'avais un petit programme de karaoke sympa qui n'a pas d'equivalent linux il me semble,... mes voisins ne vont pas le regreter).

Encore merci pour votre aide et votre temps...

Je ferais un dernier petit poste juste pour indique la reussite ou echec de mon installation Debian...

OK, j'ai finalement vire Windows et installer Debian sur mon portable... Ca ete tres rapide... premiere fois que j'installe une distribution Linux, uacun probleme. J'ai plus qu'a transferer mes fichers :)...

Bon, tant pis pour XP et un dernier merci a pear...