Bonjour,

Mon ordinateur (Medion sous Xp Home Edition, 256 k de mémoire) n'a pu etre mis en service hier, meme en démarrage sans echec. Il m'a fallu remettre mon "recovery" disque qui m'avait été fourni à l'achat de l'ordinateur, il y a quatre ans (Medion). Pour éviter de tout perdre mes fichiers, j'ai demandé une réparation de Xindows et en démarrant sur le disque, l'ordinateur est reparti. (plus ou moins) : j'ai pu remettre outlook en service mais impossible d'utiliser Internet Explorer. Je m'en suis sorti en installant une ancienne version de Firefox qui a été acceptée.

Je peux charger des programmes mais impossible de les installer.

Je me suis aperçu qu'il y avait un virus car j'ai découvert deux programmes qui se mettaient en route au démarrage :"german.exe" et "drvsgskit" . j'ai effacé les deux clés de registre correspondantes. La recherche sur internet m'a montré que j'avais été infecté par un virus de type Bagle.

Mais impossible de réparer. Mon antivirus (Antivir) n' a rien détecté et ne fonctionne plus et impssible de le mettre en service, meme avec un nouveau programme téléchargé sur le site d'antivir. Il y a toujours un blocage à la mise en service. Par exemple impossible de mettre le sp2 de windows, de faire fonctionner sybot, avast, etc..

Je ne peux mettre aucun programme en route. J'ai commencé un scan en ligne avec "Trend" mais c'est très lent et au bout de 6 heures, il n'a toujours rien indiqué.

Ma question est simplement la suivante : y a t-il moyen de réparer sans faire une réinsrallation complète de windows. Merci d'avance.

Bonjour arturo45

Problème pour le forum Sécurité. Clique l'icone dans le bandeau au-dessus de ton premier post et, dans la fenêtre qui s'affiche, demande au modérateur de déplacer ton sujet vers ce forum.

Merci, j'ai fait transférer vers le forum sécurité.

Bonne année

Arturo

Salut Arturo45

Tout d'abord, soit le bienvenu parmis nous chez PCAstuces, tout en espérant, que tu t'y plairas tout autant que nous.

Maintenant, faire un réinstallation d'XP par dessus l'autre, n'est déjà pas un solution très propre (surtout sur un système dont tu n'est pas sûr, qu'il soit désinfecté), mais, elle peut servir momentanément afin de te permettre de sauvegarder ce que à quoi tu tiens le plus, et de Formater par la suite.

Pour le scan en ligne, essaye avec kaperski ici-> http://webscanner.kaspersky.fr/, peut-être que ce sera mieux, mais, il faut que tu sâche, que si cela met un peu de temps (c'est vrai que six heures, ça commence à faire long), c'est peut-être dû au fait, que l'anti-virus en ligne a peut-être cru voir quelque chose, et qu'il analyse plus en profondeur, donc plus lentement, ou alors, peut-être as-tu des problèmes de connexion.

Donc, ou tu peux déjà sauvegarder tout ce que tu veux, tu le fait, et tu Formate ton DD (ou, si tu as plusieurs partitions, tu ne Formate que la partition où se trouve ton XP), ou alors, tu laisse aller le scan en ligne jusqu'au bout, même si c'est long (j'espère au moins, que t'es en ADSL illimité, si non, Sauvegarde et Formate tout de suite après), Sauvegarde et Formate tout de suite après, car pour moi, un PC infecté (je ne parle pas de Spyware bien-sûr, mais bien de Virus) et désinfecté (même proprement), ne sera jamais plus un PC nickel, sans un bon Formatage pour tout remettre à neuf.

Voilà, amuse-toi bien et @+.

Merci Iron,

Actuellement, j'ai l'accès à mes fichiers et j'ai commencé à récupérer les dossiers importants. je vais continuer à le faire. J'espère que j'emméneri pas des virus avec les récupérations !

Je vais tenter ensuite le scan avec Kasperski. Mais je suis obligé d'utiliser Firefox et je ne suis pas sur que Kasperski puisse fonctionner avec Firefox. Impossible d'utiliser IE. Il bloque et impossible de le remettre en service.

Mais je pense comme toi que finalement, il me faudra tout remettre à zéro...

Encore merci.

Je ferai cela demain ou plutot tout à l'heure

Re Arturo45

Fait d'abord le scan en ligne (ne t'en fait pas, je suis aussi sous Mozilla Firefox, et Kaperski marche très bien avec lui) avant de sauvegarder (c'est préférable et plus sûr).

Aller, amuse-toi bien et @+.

bonjour à tous et meilleurs voeux

pour une infection de type bagle tu peux essayer ceci qui en général fonctionne parfaitement

Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil à télécharger,

clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt

Si, dans le rapport, tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer.

tu me postes le rapport obtenu ainsi qu'un rapport Hijack This

bagle à la détestable habitude de court circuiter tous les antivirus et d'empêcher le démarrage en mode sans échec, ne surtout pas le tenter==> risque de plantage complet du PC!

ce fix que je te propose, restaurera en pricipe tout ce que bagle a désactivé...

donne de tes nouvelles...

Bonjour Iron

Bonjour Chrifleur

Je fais tout ce qui est demandé et je vous tiens informé

Merci et bonne année

Rebonjour Chrifleur

Ci après le rapport de Elibaglia :

Wed Jan 02 11:13:04 2008
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Jan 02 11:14:26 2008
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\149468.EXE --> Eliminado Bagle

Nº Total de Directorios: 6752
Nº Total de Ficheros: 71805
Nº de Ficheros Analizados: 10063
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Wed Jan 02 11:25:53 2008
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios: 759
Nº Total de Ficheros: 9438
Nº de Ficheros Analizados: 1219
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Jan 02 11:26:41 2008
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios: 5
Nº Total de Ficheros: 14
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

1 fichier a été nettoyé. Ils m'ont demandé d'autrepart de leur adresser une copie du fichier C:\muestras\SROSA.SYS.MuestraEliBagle v.10.79

ce que j'ai fait.

Je ne vois pas de différence sur le fonctionnement de l'ordinateur. Mon antivirus, IE et autres restent bloqués.

Je fais un Hijack This et je l'envoie.

Encore merci.

il en reste c'est normal

fais ceci maintenant

Télécharge combofix.exe (par sUBs) sur ton Bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

désactive ton antivirus, antispyware, et Spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite.

Double clique combofix.exe.

Tape sur la touche Y (Yes) pour démarrer le scan.

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Bonjour Chrifleur,

Ci après le rapport de Combofix :

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-02 to 2008-01-02 ))))))))))))))))))))))))))))))))))))
.

2008-01-02 17:18 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-02 11:53 . 2008-01-02 11:53 <REP> d-------- C:\Program Files\Avira
2008-01-02 11:53 . 2008-01-02 11:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-02 11:13 . 2008-01-02 12:44 <REP> d-------- C:\Muestras
2008-01-02 00:17 . 2008-01-02 00:17 <REP> d-------- C:\Program Files\Lavalys
2008-01-01 23:18 . 2008-01-02 00:43 <REP> d-------- C:\Program Files\RegistrySmart
2008-01-01 23:18 . 2008-01-01 23:18 <REP> d-------- C:\Documents and Settings\PIERRE BERTE\Application Data\RegistrySmart
2008-01-01 19:59 . 2001-08-28 13:00 6,656 --a--c--- C:\WINDOWS\system32\dllcache\migregdb.exe
2008-01-01 19:56 . 2001-08-28 13:00 11,776 --a------ C:\WINDOWS\system32\chkdsk.exe
2008-01-01 19:17 . 2008-01-01 20:04 <REP> d-------- C:\Program Files\Alwil Software
2008-01-01 14:30 . 2008-01-01 14:30 100,489 --a------ C:\WINDOWS\UninstallFirefox.exe
2008-01-01 14:30 . 2008-01-01 14:40 3,277 --a------ C:\WINDOWS\mozver.dat
2007-12-31 20:43 . 2007-12-31 20:47 <REP> d--h----- C:\WINDOWS\msdownld.tmp
2007-12-31 18:18 . 2007-12-31 18:18 <REP> d-------- C:\Program Files\TuneUp Utilities 2004
2007-12-31 18:18 . 2007-12-31 18:18 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-12-31 17:30 . 2007-12-31 17:30 <REP> d-------- C:\WINDOWS\msapps
2007-12-31 17:26 . 2001-08-28 13:00 41,600 --a--c--- C:\WINDOWS\system32\dllcache\weitekp9.dll
2007-12-31 17:26 . 2001-08-28 13:00 31,360 --a--c--- C:\WINDOWS\system32\dllcache\weitekp9.sys
2007-12-31 17:24 . 2001-08-28 13:00 92,416 --a--c--- C:\WINDOWS\system32\dllcache\mga.sys
2007-12-31 17:23 . 2001-08-28 13:00 10,096,640 --a--c--- C:\WINDOWS\system32\dllcache\hwxcht.dll
2007-12-31 17:22 . 2001-08-23 17:47 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpsnap.dll
2007-12-31 17:21 . 2001-08-23 17:47 80,384 --a------ C:\WINDOWS\system32\CNBJMON2.DLL
2007-12-31 17:21 . 2001-08-23 15:46 58,276 --a------ C:\WINDOWS\system32\CNBJHLP2.HLP
2007-12-31 17:21 . 2001-08-23 15:46 47,735 --a------ C:\WINDOWS\system32\CNBJHLP.HLP
2007-12-31 17:21 . 2001-08-23 15:46 1,312 --a------ C:\WINDOWS\system32\CNBJHLP2.CNT
2007-12-31 17:21 . 2001-08-23 15:46 924 --a------ C:\WINDOWS\system32\CNBJHLP.CNT
2007-12-31 17:20 . 2007-12-31 17:20 <REP> d-------- C:\Documents and Settings\Default User\Application Data\DivX
2007-12-31 17:15 . 2007-12-31 17:15 <REP> d-------- C:\Program Files\Services en ligne
2007-12-31 17:14 . 2001-08-28 13:00 1,007,616 --a--c--- C:\WINDOWS\system32\dllcache\conf.exe
2007-12-31 17:12 . 2001-08-28 13:00 1,267,200 --a--c--- C:\WINDOWS\system32\dllcache\cimwin32.dll
2007-12-31 17:10 . 2001-08-17 21:59 50,048 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2007-12-31 17:07 . 2001-08-17 22:01 56,448 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2007-12-31 17:06 . 2001-08-23 17:18 56,960 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-12-31 17:06 . 2001-08-23 17:47 50,688 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-12-31 16:43 . 2001-08-18 06:38 37,896 --a------ C:\WINDOWS\system32\drivers\termdd.sys
2007-12-31 16:41 . 2007-12-31 16:41 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
2007-12-30 22:55 . 2006-05-06 02:04 556,065 --------- C:\WINDOWS\system32\drivers\hldrrr.exe
2007-12-30 22:53 . 2008-01-02 11:22 <REP> d-------- C:\WINDOWS\system32\drivers\down
2007-12-28 00:26 . 2007-12-28 00:26 <REP> d-------- C:\Program Files\GPLGS
2007-12-28 00:23 . 2007-12-28 00:23 <REP> d-------- C:\Program Files\Acro Software
2007-12-28 00:23 . 2007-07-12 22:33 87,552 --a------ C:\WINDOWS\system32\cpwmon2k.dll
2007-12-27 23:30 . 2007-11-20 11:15 5,269 --a------ C:\WINDOWS\system32\dopdf5.ctm
2007-12-24 18:26 . 2007-12-24 18:26 <REP> d-------- C:\WINDOWS\system32\AdCache
2007-12-24 16:39 . 2007-12-24 16:39 <REP> d-------- C:\Program Files\Veoh Networks
2007-12-11 23:34 . 2007-12-11 23:34 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-12-11 23:34 . 2007-12-11 23:34 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-12-09 17:38 . 2007-12-30 22:49 <REP> d-------- C:\Program Files\eMule

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-01 19:17 --------- d-----w C:\Program Files\MSN Messenger
2007-12-31 18:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-31 11:47 --------- d-----w C:\Program Files\FlashGet
2007-12-24 17:56 --------- d-----w C:\Program Files\DivX
2007-12-24 15:41 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-04 08:17 --------- d-----w C:\Program Files\Picasa2
2007-11-27 19:02 --------- d-----w C:\Program Files\AIDA32 - Enterprise System Information
2007-11-16 19:24 --------- d-----w C:\Program Files\iTunes
2007-11-16 19:24 --------- d-----w C:\Program Files\iPod
2007-11-16 19:22 --------- d-----w C:\Program Files\QuickTime
2007-11-14 07:53 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-11-09 12:47 20 ----a-w C:\Documents and Settings\PIERRE BERTE\PlayList for PIERRE BERTE.bin
2007-11-07 14:35 --------- d-----w C:\Program Files\Webshots
2007-11-04 12:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\TuneUp Software
2006-05-01 18:01 5 --sha-w C:\WINDOWS\system32\dcbeeceffa_s.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2006-05-06 02:04 556065]
"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 13:00 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sys32dll"="C:\Program Files\Active Key Logger\Active Key Logger.exe" [2006-08-14 16:56 2600960]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-02 16:30 249896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoToolbarCustomize"= 0 (0x0)
"NoResolveSearch"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoToolbarCustomize"= 0 (0x0)
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R2 ppsio2;PPDevice;C:\WINDOWS\System32\drivers\ppsio2.sys [1998-07-30 13:44]
R3 PhilCam8116;Logitech QuickCam Pro 3000(PID_08B0);C:\WINDOWS\System32\DRIVERS\CamDrL21.sys [2002-12-10 11:53]
S3 alcan5ln;SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS);C:\WINDOWS\System32\DRIVERS\alcan5ln.sys [2003-12-08 10:53]
S3 ATWPKT;ATWPKT;C:\WINDOWS\system32\Drivers\ATWPKT.SYS [2002-05-10 12:50]
S3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\System32\DRIVERS\ctxs51.sys [2002-07-01 15:10]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb78eafe-8770-11db-aa83-0090d05f31af}]
\Shell\AutoRun\command - F:\ReadMe.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-15 22:17:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2007-12-28 16:15:00 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-01-01 23:34:55 C:\WINDOWS\Tasks\RegistrySmart Scheduled Scan.job"
- C:\Program Files\RegistrySmart\RegistrySmart.ex
- C:\Program Files\RegistrySmart
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-02 17:29:51
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2600.0000]
-> C:\Program Files\Active Key Logger\smode.dll
.
Completion time: 2008-01-02 17:36:58 - machine was rebooted
C:\qoobox\ComboFix-quarantined-files.txt 2008-01-02 16:36:50
.
2007-12-12 10:14:29 --- E O F ---

L'examen de ce log me montre quelques lignes qui me paraissent suspectes :

La ligne EnableLua

la ligne NoSMballonTip

2 lignes Safeboot

Les lignes Registry Smart correspondent à une tentative de nettoyage en ligne que j'ai faite, mais le logiciel s'est incrusté.

La ligne Gmer

La ligne Active key logger est normale. J'ai ce logiciel depuis quelque temps en surveillance d'utilisation.

J'ai maintenant de nouveau accès à mon antivirus ANTIVIR, mais IE reste inaccessible. Je n'ai toujours pas de son sur l'ordinateur. Je n'arrive pas non plus à réinstaller le SP2.

Je vais essayer de faire un HijackThis, mais je ne l'ai jamais fait. Je vais utiliser les conseils de Ccateur.

Encore merci de vous intéresser à mon problème.

ok merci pour ces renseignements, je regarde ce rapport et te dis la suite...

pour restaurer IE essaie ceci

télécharge Zeb Restore

http://telechargement.zebulon.fr/zeb-restore.html

Rebonjour

J'ai essayé Zeb Restore. Mais cela ne fonctionne pas. A l'ouverture du fichier"exe",j'ai un écran bleu avec des cases mais tout est vide sans rien d'écrit ! ! !

J'ai fait un HijackThis et le résultat est le suivant :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:09:20, on 02/01/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 SP1 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Active Key Logger\Active Key Logger.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.noos.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.medion.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [sys32dll] C:\Program Files\Active Key Logger\Active Key Logger.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Startup: Gestionnaire Microsoft Office.Lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162579047359
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163872584656
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap/jsp/composer/player/mmsPlayer.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u2-windows-i586-jc.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://G:\Content\include\msSecUcd.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://www.shockwave.com/content/heavyweapon/popcaploader_v6.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: antivir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: antivir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

--
End of file - 10770 bytes

En regardant rapidement ce log, quelques lignes me paraissent bizarres.

Celles avec FlashGet \ fgiebar.dll

\jccatch.dll

\jc_link.htm

\jc-all.htm

Je ne vois pas à quels téléchargements ils peuvent correspondre.

D'autre part :

03Toolbar;&Radio... msdxm.acx ???

www.col3d.com_download\cult.cab

Mais je ne suis pas le seul utilsateur de ce PC et mon fils va notamment sur des sites de musique et de streaming.

Merci beaucoup de passer quelque temps pour m'aider.

au sujet de Registry smart, un peu de lecture

http://assiste.com.free.fr/p/craptheque/registrysmart.html

gmer fait partie du scan combofix

on continue

Sélectionne le texte suivant

Folder::
C:\Program Files\RegistrySmart
C:\Documents and Settings\PIERRE BERTE\Application Data\RegistrySmart
C:\WINDOWS\system32\drivers\down

File::
C:\WINDOWS\Tasks\RegistrySmart Scheduled Scan.job
C:\WINDOWS\system32\drivers\hldrrr.exe

• Copie le texte sélectionné (CTRL+C).
• Ouvre le bloc-note (programme>Accessoire>bloc-note).
• Colle le texte copié dans ce bloc-note (CTRL+V).
• Sauvegarde ce fichier sous le nom de CFScript.txt
• Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

je vois un fichier qui me parait bizarre, j'aimerais que tu le fasses examiner sur virus total

Ouvrir l'Explorateur Windows: > Démarrer > Programmes > Accessoires > Explorateur Windows ou Démarrer > Programmes > Explorateur Windows.

Cliquer sur Outils > Options des dossiers > Affichage.

Sélectionner :

cocher : Afficher les fichiers et dossiers cachés.

décocher : Masquer les extensions des fichiers dont le type est connu.

décocher : Masquer les fichiers protégés du système d'exploitation (recommandé)

Cliquer sur Appliquer et Ok

Cliquer sur ce lien

http://www.virustotal.com/

Et teste ceci: C:\WINDOWS\system32\dcbeeceffa_s.dll

Cliquer sur Parcourir et indiquer le chemin du ou des fichier(s) que j’ai désigné(s).

Cliquer sur Send File

Au message Sending File, ne pas fermer cette fenêtre.

Si vous avez un message Current Statue: queued : Patience!

Au bout de quelques minutes, vous aurez dans l'encadré: Current status: finishedeued waiting scanning

Faire un copier/coller du résultat et postez-le dans votre prochain message.

Tu recaches tes fichiers dossiers

décocher : Afficher les fichiers et dossiers cachés.

recocher : Masquer les extensions des fichiers dont le type est connu.

cocher : Masquer les fichiers protégés du système d'exploitation (recommandé)

Cliquer sur Appliquer et Ok

poste les rapports obtenus et un nouveau rapport Hijack This et dis moi comment se comporte le Pc

à demain pour la suite

Merci beaucoup chrifleur.

Je fais tout cela et envoie les éléments tout à l'heure ou demain

A demain

Bonjour Chrifleur

J’ai téléchargé hier après midi Registrysmart suite à une pub vue sur 01Net dans le but d’essayer d’arranger mes problèmes ! ! !…

Ci après rapport Combofix

ComboFix 07-12-31.4 - PIERRE BERTE 2008-01-02 23:24:30.2 - NTFSx86
Running from: C:\Documents and Settings\PIERRE BERTE\Bureau\ComboFix.exe
Command Switches used
C:\Documents and Settings\PIERRE BERTE\Bureau\CFScript.txt

FILE
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\Tasks\RegistrySmart Scheduled Scan.job
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\PIERRE BERTE\Application Data\RegistrySmart
C:\Documents and Settings\PIERRE BERTE\Application Data\RegistrySmart\Log\2008 Jan 01 - 11_18_17 PM_046.log
C:\Documents and Settings\PIERRE BERTE\Application Data\RegistrySmart\Log\2008 Jan 01 - 11_18_21 PM_546.log
C:\Documents and Settings\PIERRE BERTE\Application Data\RegistrySmart\Log\2008 Jan 02 - 12_34_49 AM_249.log
C:\Documents and Settings\PIERRE BERTE\Application Data\RegistrySmart\Log\2008 Jan 02 - 12_34_54 AM_874.log
C:\Documents and Settings\PIERRE BERTE\Application Data\RegistrySmart\Registry Backups\2008-01-01_23-20-26.reg
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\down\100812.exe
C:\WINDOWS\system32\drivers\down\103062.exe
C:\WINDOWS\system32\drivers\down\103109.exe
C:\WINDOWS\system32\drivers\down\108843.exe
C:\WINDOWS\system32\drivers\down\111218.exe
C:\WINDOWS\system32\drivers\down\111578.exe
C:\WINDOWS\system32\drivers\down\112937.exe
C:\WINDOWS\system32\drivers\down\113312.exe
C:\WINDOWS\system32\drivers\down\113984.exe
C:\WINDOWS\system32\drivers\down\114625.exe
C:\WINDOWS\system32\drivers\down\114750.exe
C:\WINDOWS\system32\drivers\down\115562.exe
C:\WINDOWS\system32\drivers\down\115609.exe
C:\WINDOWS\system32\drivers\down\116484.exe
C:\WINDOWS\system32\drivers\down\117125.exe
C:\WINDOWS\system32\drivers\down\128109.exe
C:\WINDOWS\system32\drivers\down\128593.exe
C:\WINDOWS\system32\drivers\down\130328.exe
C:\WINDOWS\system32\drivers\down\130546.exe
C:\WINDOWS\system32\drivers\down\130796.exe
C:\WINDOWS\system32\drivers\down\131484.exe
C:\WINDOWS\system32\drivers\down\134781.exe
C:\WINDOWS\system32\drivers\down\136078.exe
C:\WINDOWS\system32\drivers\down\136828.exe
C:\WINDOWS\system32\drivers\down\137343.exe
C:\WINDOWS\system32\drivers\down\141140.exe
C:\WINDOWS\system32\drivers\down\14328703.exe
C:\WINDOWS\system32\drivers\down\14339812.exe
C:\WINDOWS\system32\drivers\down\14347156.exe
C:\WINDOWS\system32\drivers\down\14408765.exe
C:\WINDOWS\system32\drivers\down\14409296.exe
C:\WINDOWS\system32\drivers\down\14422171.exe
C:\WINDOWS\system32\drivers\down\14428484.exe
C:\WINDOWS\system32\drivers\down\14429468.exe
C:\WINDOWS\system32\drivers\down\14430656.exe
C:\WINDOWS\system32\drivers\down\14433421.exe
C:\WINDOWS\system32\drivers\down\144437.exe
C:\WINDOWS\system32\drivers\down\145734.exe
C:\WINDOWS\system32\drivers\down\146093.exe
C:\WINDOWS\system32\drivers\down\146375.exe
C:\WINDOWS\system32\drivers\down\149187.exe
C:\WINDOWS\system32\drivers\down\149453.exe
C:\WINDOWS\system32\drivers\down\152109.exe
C:\WINDOWS\system32\drivers\down\152359.exe
C:\WINDOWS\system32\drivers\down\152734.exe
C:\WINDOWS\system32\drivers\down\154015.exe
C:\WINDOWS\system32\drivers\down\156953.exe
C:\WINDOWS\system32\drivers\down\158921.exe
C:\WINDOWS\system32\drivers\down\159343.exe
C:\WINDOWS\system32\drivers\down\160906.exe
C:\WINDOWS\system32\drivers\down\168781.exe
C:\WINDOWS\system32\drivers\down\169843.exe
C:\WINDOWS\system32\drivers\down\172140.exe
C:\WINDOWS\system32\drivers\down\174906.exe
C:\WINDOWS\system32\drivers\down\175984.exe
C:\WINDOWS\system32\drivers\down\176265.exe
C:\WINDOWS\system32\drivers\down\180781.exe
C:\WINDOWS\system32\drivers\down\185281.exe
C:\WINDOWS\system32\drivers\down\190500.exe
C:\WINDOWS\system32\drivers\down\191812.exe
C:\WINDOWS\system32\drivers\down\192765.exe
C:\WINDOWS\system32\drivers\down\192796.exe
C:\WINDOWS\system32\drivers\down\195984.exe
C:\WINDOWS\system32\drivers\down\196515.exe
C:\WINDOWS\system32\drivers\down\196890.exe
C:\WINDOWS\system32\drivers\down\197953.exe
C:\WINDOWS\system32\drivers\down\198703.exe
C:\WINDOWS\system32\drivers\down\199968.exe
C:\WINDOWS\system32\drivers\down\204531.exe
C:\WINDOWS\system32\drivers\down\205500.exe
C:\WINDOWS\system32\drivers\down\208875.exe
C:\WINDOWS\system32\drivers\down\209437.exe
C:\WINDOWS\system32\drivers\down\209625.exe
C:\WINDOWS\system32\drivers\down\212015.exe
C:\WINDOWS\system32\drivers\down\212500.exe
C:\WINDOWS\system32\drivers\down\212781.exe
C:\WINDOWS\system32\drivers\down\213578.exe
C:\WINDOWS\system32\drivers\down\213703.exe
C:\WINDOWS\system32\drivers\down\214718.exe
C:\WINDOWS\system32\drivers\down\215562.exe
C:\WINDOWS\system32\drivers\down\216140.exe
C:\WINDOWS\system32\drivers\down\217531.exe
C:\WINDOWS\system32\drivers\down\219484.exe
C:\WINDOWS\system32\drivers\down\222234.exe
C:\WINDOWS\system32\drivers\down\222406.exe
C:\WINDOWS\system32\drivers\down\222921.exe
C:\WINDOWS\system32\drivers\down\223031.exe
C:\WINDOWS\system32\drivers\down\226203.exe
C:\WINDOWS\system32\drivers\down\226421.exe
C:\WINDOWS\system32\drivers\down\236609.exe
C:\WINDOWS\system32\drivers\down\241468.exe
C:\WINDOWS\system32\drivers\down\242468.exe
C:\WINDOWS\system32\drivers\down\244875.exe
C:\WINDOWS\system32\drivers\down\249125.exe
C:\WINDOWS\system32\drivers\down\253718.exe
C:\WINDOWS\system32\drivers\down\253781.exe
C:\WINDOWS\system32\drivers\down\255015.exe
C:\WINDOWS\system32\drivers\down\262781.exe
C:\WINDOWS\system32\drivers\down\262921.exe
C:\WINDOWS\system32\drivers\down\263062.exe
C:\WINDOWS\system32\drivers\down\263218.exe
C:\WINDOWS\system32\drivers\down\263921.exe
C:\WINDOWS\system32\drivers\down\264078.exe
C:\WINDOWS\system32\drivers\down\265843.exe
C:\WINDOWS\system32\drivers\down\286187.exe
C:\WINDOWS\system32\drivers\down\286921.exe
C:\WINDOWS\system32\drivers\down\287343.exe
C:\WINDOWS\system32\drivers\down\287390.exe
C:\WINDOWS\system32\drivers\down\287671.exe
C:\WINDOWS\system32\drivers\down\287921.exe
C:\WINDOWS\system32\drivers\down\298343.exe
C:\WINDOWS\system32\drivers\down\299531.exe
C:\WINDOWS\system32\drivers\down\300062.exe
C:\WINDOWS\system32\drivers\down\310109.exe
C:\WINDOWS\system32\drivers\down\311281.exe
C:\WINDOWS\system32\drivers\down\311375.exe
C:\WINDOWS\system32\drivers\down\311500.exe
C:\WINDOWS\system32\drivers\down\317359.exe
C:\WINDOWS\system32\drivers\down\321000.exe
C:\WINDOWS\system32\drivers\down\321437.exe
C:\WINDOWS\system32\drivers\down\329796.exe
C:\WINDOWS\system32\drivers\down\331734.exe
C:\WINDOWS\system32\drivers\down\379468.exe
C:\WINDOWS\system32\drivers\down\393000.exe
C:\WINDOWS\system32\drivers\down\66843.exe
C:\WINDOWS\system32\drivers\down\67734.exe
C:\WINDOWS\system32\drivers\down\72703.exe
C:\WINDOWS\system32\drivers\down\73250.exe
C:\WINDOWS\system32\drivers\down\74625.exe
C:\WINDOWS\system32\drivers\down\78468.exe
C:\WINDOWS\system32\drivers\down\81125.exe
C:\WINDOWS\system32\drivers\down\87718.exe
C:\WINDOWS\system32\drivers\down\90187.exe
C:\WINDOWS\system32\drivers\down\96187.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\Tasks\RegistrySmart Scheduled Scan.job

.
((((((((((((((((((((((((((((( Fichiers créés 2007-12-02 to 2008-01-02 ))))))))))))))))))))))))))))))))))))
.

2008-01-02 22:08 . 2008-01-02 22:08 <REP> d-------- C:\Program Files\Trend Micro
2008-01-02 22:07 . 2008-01-02 22:07 812,344 --a------ C:\hijackthis.exe
2008-01-02 17:18 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-02 11:53 . 2008-01-02 11:53 <REP> d-------- C:\Program Files\Avira
2008-01-02 11:53 . 2008-01-02 11:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-02 11:13 . 2008-01-02 12:44 <REP> d-------- C:\Muestras
2008-01-02 00:17 . 2008-01-02 00:17 <REP> d-------- C:\Program Files\Lavalys
2008-01-01 19:59 . 2001-08-28 13:00 6,656 --a--c--- C:\WINDOWS\system32\dllcache\migregdb.exe
2008-01-01 19:56 . 2001-08-28 13:00 11,776 --a------ C:\WINDOWS\system32\chkdsk.exe
2008-01-01 19:17 . 2008-01-01 20:04 <REP> d-------- C:\Program Files\Alwil Software
2008-01-01 14:30 . 2008-01-01 14:30 100,489 --a------ C:\WINDOWS\UninstallFirefox.exe
2008-01-01 14:30 . 2008-01-01 14:40 3,277 --a------ C:\WINDOWS\mozver.dat
2007-12-31 20:43 . 2007-12-31 20:47 <REP> d--h----- C:\WINDOWS\msdownld.tmp
2007-12-31 18:18 . 2007-12-31 18:18 <REP> d-------- C:\Program Files\TuneUp Utilities 2004
2007-12-31 18:18 . 2007-12-31 18:18 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-12-31 17:30 . 2007-12-31 17:30 <REP> d-------- C:\WINDOWS\msapps
2007-12-31 17:26 . 2001-08-28 13:00 41,600 --a--c--- C:\WINDOWS\system32\dllcache\weitekp9.dll
2007-12-31 17:26 . 2001-08-28 13:00 31,360 --a--c--- C:\WINDOWS\system32\dllcache\weitekp9.sys
2007-12-31 17:24 . 2001-08-28 13:00 92,416 --a--c--- C:\WINDOWS\system32\dllcache\mga.sys
2007-12-31 17:23 . 2001-08-28 13:00 10,096,640 --a--c--- C:\WINDOWS\system32\dllcache\hwxcht.dll
2007-12-31 17:22 . 2001-08-23 17:47 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpsnap.dll
2007-12-31 17:21 . 2001-08-23 17:47 80,384 --a------ C:\WINDOWS\system32\CNBJMON2.DLL
2007-12-31 17:21 . 2001-08-23 15:46 58,276 --a------ C:\WINDOWS\system32\CNBJHLP2.HLP
2007-12-31 17:21 . 2001-08-23 15:46 47,735 --a------ C:\WINDOWS\system32\CNBJHLP.HLP
2007-12-31 17:21 . 2001-08-23 15:46 1,312 --a------ C:\WINDOWS\system32\CNBJHLP2.CNT
2007-12-31 17:21 . 2001-08-23 15:46 924 --a------ C:\WINDOWS\system32\CNBJHLP.CNT
2007-12-31 17:20 . 2007-12-31 17:20 <REP> d-------- C:\Documents and Settings\Default User\Application Data\DivX
2007-12-31 17:15 . 2007-12-31 17:15 <REP> d-------- C:\Program Files\Services en ligne
2007-12-31 17:14 . 2001-08-28 13:00 1,007,616 --a--c--- C:\WINDOWS\system32\dllcache\conf.exe
2007-12-31 17:12 . 2001-08-28 13:00 1,267,200 --a--c--- C:\WINDOWS\system32\dllcache\cimwin32.dll
2007-12-31 17:10 . 2001-08-17 21:59 50,048 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2007-12-31 17:07 . 2001-08-17 22:01 56,448 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2007-12-31 17:06 . 2001-08-23 17:18 56,960 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-12-31 17:06 . 2001-08-23 17:47 50,688 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-12-31 16:43 . 2001-08-18 06:38 37,896 --a------ C:\WINDOWS\system32\drivers\termdd.sys
2007-12-31 16:41 . 2007-12-31 16:41 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
2007-12-28 00:26 . 2007-12-28 00:26 <REP> d-------- C:\Program Files\GPLGS
2007-12-28 00:23 . 2007-12-28 00:23 <REP> d-------- C:\Program Files\Acro Software
2007-12-28 00:23 . 2007-07-12 22:33 87,552 --a------ C:\WINDOWS\system32\cpwmon2k.dll
2007-12-27 23:30 . 2007-11-20 11:15 5,269 --a------ C:\WINDOWS\system32\dopdf5.ctm
2007-12-24 16:39 . 2007-12-24 16:39 <REP> d-------- C:\Program Files\Veoh Networks
2007-12-11 23:34 . 2007-12-11 23:34 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-12-11 23:34 . 2007-12-11 23:34 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-12-09 17:38 . 2007-12-30 22:49 <REP> d-------- C:\Program Files\eMule

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-02 19:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-01 19:17 --------- d-----w C:\Program Files\MSN Messenger
2007-12-31 11:47 --------- d-----w C:\Program Files\FlashGet
2007-12-24 17:56 --------- d-----w C:\Program Files\DivX
2007-12-24 15:41 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-04 08:17 --------- d-----w C:\Program Files\Picasa2
2007-11-27 19:02 --------- d-----w C:\Program Files\AIDA32 - Enterprise System Information
2007-11-16 19:24 --------- d-----w C:\Program Files\iTunes
2007-11-16 19:24 --------- d-----w C:\Program Files\iPod
2007-11-16 19:22 --------- d-----w C:\Program Files\QuickTime
2007-11-14 07:53 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-11-09 12:47 20 ----a-w C:\Documents and Settings\PIERRE BERTE\PlayList for PIERRE BERTE.bin
2007-11-07 14:35 --------- d-----w C:\Program Files\Webshots
2007-11-04 12:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\TuneUp Software
2003-09-15 23:19 99,544 ----a-w C:\WINDOWS\inf\virprn.exe
2003-09-15 23:19 90,624 ----a-w C:\WINDOWS\inf\prtproc.dll
2003-09-15 23:19 18,950 ----a-w C:\WINDOWS\inf\virpntd.dll
2003-09-15 23:19 10,240 ----a-w C:\WINDOWS\inf\virport.dll
2006-05-01 18:01 5 --sha-w C:\WINDOWS\system32\dcbeeceffa_s.dll
.

((((((((((((((((((((((((((((( snapshot@2008-01-02_17.36.33.45 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-02 16:20:52 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2008-01-02 19:56:27 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2006-05-06 02:04 556065]
"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 13:00 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sys32dll"="C:\Program Files\Active Key Logger\Active Key Logger.exe" [2006-08-14 16:56 2600960]

C:\Documents and Settings\PIERRE BERTE\Menu D‚marrer\Programmes\D‚marrage\
Gestionnaire Microsoft Office.Lnk [2007-11-27 19:53:09]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoToolbarCustomize"= 0 (0x0)
"NoResolveSearch"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoToolbarCustomize"= 0 (0x0)
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R2 ppsio2;PPDevice;C:\WINDOWS\System32\drivers\ppsio2.sys [1998-07-30 13:44]
R3 PhilCam8116;Logitech QuickCam Pro 3000(PID_08B0);C:\WINDOWS\System32\DRIVERS\CamDrL21.sys [2002-12-10 11:53]
S3 alcan5ln;SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS);C:\WINDOWS\System32\DRIVERS\alcan5ln.sys [2003-12-08 10:53]
S3 ATWPKT;ATWPKT;C:\WINDOWS\system32\Drivers\ATWPKT.SYS [2002-05-10 12:50]
S3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\System32\DRIVERS\ctxs51.sys [2002-07-01 15:10]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb78eafe-8770-11db-aa83-0090d05f31af}]
\Shell\AutoRun\command - F:\ReadMe.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-12-15 22:17:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2007-12-28 16:15:00 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-02 23:31:08
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-02 23:33:17
C:\qoobox\ComboFix-quarantined-files.txt 2008-01-02 22:32:49
C:\qoobox\ComboFix2.txt 2008-01-02 18:53:44
.
2007-12-12 10:14:29 --- E O F ---

Pas d'amélioration avec IE. J'ai pu mettre sybot en service et fais un scan qui m'a trouvé quelques spyware que j'ai éliminés.

Je poursuis avec Virus Total

Résultat du scan de fichier par virus total ; Négatif

Remarque : je n'ai pas pu ouvrir l'explorateur Windows, aussi j'ai effectué les opérations d'affichage et de masquage sur le Poste de travail\Options\affichage...

Fichier dcbeeceffa_s.dll reçu le 2008.01.03 00:01:33 (CET)
Situation actuelle: terminé
en cours de chargement ... mis en file d'attente en attente en cours d'analyse NON TROUVE ARRETE

Résultat: 0/32 (0%)

Enfin, voici un nouveau rapport HijackThis :