Infecté par Hacktool.Rootkit

Salut à tous,

Hé bien voila je suis infecté par ce virus pour le moins énervant. Je m'explique : un copain m'a preté sa clé usb, je prend les fichiers dont j'ai besoin et là surprise le virus hacktool.rootkit envahit mon pc ( le copain en question avait oublié de me le dire lol). Je constate que ce virus s'est mis sur mes partitions dd car lorsque j'accède à l'une d'elles, norton le détecte et le supprime automatiquement dans mon c:/windows mais le prob et que à chaque fois que je retourne dans une partition, le même scénario revient...Je fais des recherches sur internet et tombe sur votre site où je vois qu'il y a un programme appellé "Flash_Disinfector" pour supprimer ce type de virus...Je l'applique et là génial, plus de virus lorsque j'accède à mes partitions...Seulement maintenant (et je ne comprend pas pourquoi) mon pc est hyper, mais vraiment hyper lent. Ajd, je l'allume et en arrivant sur le bureau impossible de faire quoi que ce soit et ce même après 2-3 reboots...Je décide donc de formater et après avoir tout réinstallé je constate que je peux désormais faire des choses mais de façon précaire car le pc est toujours aussi lent et a planté une fois...Cest la premiere fois que j'ai un prob de ce genre et ca me fait peur pcq d'habitude le formatage règle tout...Or j'ai vraiment besoin de mon pc pour réaliser des travaux à l'approche de mon blocus .
J'espère que vous pourrez m'aider et je vous remercie d'avance,

Sam

Bonjour Sam et

Fais un rapport hijackthis pour que je puisse vérifier les infections de ton pc stp

• Télécharge hijackthis sur mon site web.
  
  
• Tout est expliqué pour bien l installer et savoir l'utiliser.
  

Comment copier/coller le rapport :


Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

Ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.


Une explication des raccourcis clavier sont illustrés sur mon site web à cette adresse :

http://forum-aide-contre-virus.be/divers.html

Tout d'abord merci pour ta réponse rapide et ton tutoriel vraiment bien fait

Voici le rapport :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:14:40, on 15/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Program Files\SlimBrowser\sbrowser.exe
D:\Program Files\Trend Micro\HijackThis\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{5809E~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{5809E~1\reboot.ini -l0x40c
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
--
End of file - 2532 bytes

Aussi je voudrais ajouter que depuis ce virus, je ne peux plus afficher les fichiers cachés...Ce qui est assez étrange

Ton PC est infecté par le virus kavo... Commence par faire ceci stp :

• Télécharge et enregistre Combofix (de sUBs) sur ton bureau
  (c est le numéro 5 en bas de la page) :
  
  
• Je te conseille d'installer la console de récupération !!
  
  
• désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
  

Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

ensuite envois le rapport et refais un nouveau rapport hijackthis stp

Merci beaucoup ca a marché

Heureusement qu'il a des gars comme toi pour nous débarasser de ces salopries lancées par des gamins...

Merci encore

De rien mais il me faut le rapport pour vérifier

Et ce n'est surement pas fini...

Ah mince le rapport je pense que je l'ai zappé...Pcq j'ai vu dans la console qu'il supprimait le fichier kavo.exe et mtn mon pc est super fluide donc jme suis dit que cetait bon..Ya pas moyen de récupérer le rapport?

il se trouve à C:\combofix.txt

OK autant pour moi


ComboFix 08-12-15.01 - Sam 2008-12-15 20:28:02.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.3071.2641 [GMT 1:00]
Lancé depuis: c:\documents and settings\Sam\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
c:\windows\system32\kavo.exe
c:\windows\system32\kavo0.dll
c:\windows\system32\kavo1.dll
D:\86m2.cmd
D:\9w2.cmd
D:\Autorun.inf
D:\wycgb8.cmd
E:\86m2.cmd
E:\9w2.cmd
E:\Autorun.inf
E:\wycgb8.cmd
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-15 au 2008-12-15 ))))))))))))))))))))))))))))))))))))
.
2008-12-15 20:29 . 2008-12-15 20:29 0 --a------ c:\windows\ativpsrm.bin
2008-12-15 20:18 . 2008-12-15 20:28 <REP> d-------- c:\documents and settings\Sam\Application Data\Skype
2008-12-15 20:06 . 2008-12-15 20:06 <REP> d-------- c:\program files\Logitech
2008-12-15 20:06 . 2008-12-15 20:06 <REP> d-------- c:\program files\Fichiers communs\Logitech
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-15 19:26 --------- d-----w c:\documents and settings\Sam\Application Data\SlimBrowser
2008-12-15 19:06 81,920 ------r c:\windows\bwUnin-6.1.4.61-8876480L.exe
2008-12-15 19:06 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-15 18:59 315,392 ----a-w c:\windows\HideWin.exe
2008-12-15 18:58 --------- d-----w c:\program files\ATI
2008-12-15 18:57 --------- d-----w c:\program files\Fichiers communs\InstallShield
2008-12-15 18:57 --------- d-----w c:\program files\ATI Technologies
2008-12-15 18:47 --------- d-----w c:\documents and settings\Sam\Application Data\Lavasoft
2008-12-15 18:01 108,534 --sh--r C:\bjj3iccf.com
2008-12-15 17:54 --------- d-----w c:\program files\microsoft frontpage
2008-12-15 17:52 --------- d-----w c:\program files\Services en ligne
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-02 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-19 1667584]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
"ATICustomerCare"="c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe" [2007-10-04 307200]
"RTHDCPL"="RTHDCPL.EXE" [2007-08-10 c:\windows\RTHDCPL.EXE]
"SkyTel"="SkyTel.EXE" [2007-08-03 c:\windows\SkyTel.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\ALCWZRD.EXE]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 c:\windows\LOGI_MWX.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2008-12-15 169472]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"d:\\Program Files\\Skype\\Phone\\Skype.exe"=

*Newly Created Service* - ATI_HOTKEY_POLLER
*Newly Created Service* - ATI_SMART
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-15 20:29:30
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(500)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Logitech\MouseWare\system\EM_EXEC.EXE
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2008-12-15 20:30:10 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-15 19:30:04
Avant-CF: 11 734 396 928 octets libres
Après-CF: 11,777,138,688 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP �dition familiale" /noexecute=optin /fastdetect
112 --- E O F --- 2008-12-15 19:05:06

ok maintenant fais ceci stp :

• Telecharge UsbFix sur ton bureau
  
  (c'est le numéro 19 en bas de la page)
  
  
• Lance l installation avec les parametres par default
  
  
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
  
  
• Double clic sur le raccourci UsbFix sur ton bureau
  
  
• Le pc va redémarer
  
  
• Apres redémarrage post le rapport UsbFix.txt
  

* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" ,
"Nouvelle tâche" , tapes explorer.exe et valides

Ensuite refais un nouveau rapport hijackthis stp

Voila



-------------- UsbFix V2.413.4 ---------------
* User : Sam - POCHET
* Outils mis a jours le 11/12/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 21:35:13 le 15/12/2008
* Windows Xp - Internet Explorer 6.0.2900.2180


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\DOCUME~1\Sam\LOCALS~1\Temp\1.tmp\b2e.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe
D: - Lecteur fixe
E: - Lecteur fixe
G: - Lecteur de CD-ROM
I: - Lecteur amovible

+- Contenu de l'autorun : G:\autorun.inf
[autorun]
open=Setup.EXE
--------------- [ Lecteur C ] ----------------
C: - Lecteur fixe

+- Listing des fichiers présents :
[15/12/2008 18:54][--a------] C:\AUTOEXEC.BAT
[15/12/2008 19:01][-r-hs----] C:\bjj3iccf.com
[15/12/2008 19:01][-r-hs----] C:\NTDETECT.COM
[15/12/2008 20:27][-rahs----] C:\boot.ini
[15/12/2008 20:30][--a------] C:\ComboFix.txt
[15/12/2008 20:30][--a------] C:\UsbFix.txt
[15/12/2008 18:54][--a------] C:\CONFIG.SYS
[15/12/2008 18:54][--a------] C:\IO.SYS
[15/12/2008 18:54][--a------] C:\MSDOS.SYS
[15/12/2008 18:54][--a------] C:\pagefile.sys
--------------- [ Lecteur D ] ----------------
D: - Lecteur fixe

+- Listing des fichiers présents :
[15/12/2008 19:01][-r-hs----] D:\bjj3iccf.com
--------------- [ Lecteur E ] ----------------
E: - Lecteur fixe

+- Listing des fichiers présents :
[15/12/2008 19:01][-r-hs----] E:\bjj3iccf.com
[13/07/2007 20:20][--a------] E:\pkrinstall.exe
--------------- [ Lecteur G ] ----------------
G: - Lecteur de CD-ROM

+- Listing des fichiers présents :
[22/11/2006 10:11][-r-------] G:\Setup.exe
[22/11/2006 10:07][-r-------] G:\Setup.ini
[22/11/2006 10:08][-r-------] G:\LXCTcomp.inf
[22/11/2006 10:08][-r-------] G:\LXCThid.inf
[22/11/2006 10:08][-r-------] G:\LXCTsc9x.inf
[22/11/2006 10:08][-r-------] G:\autorun.inf
[25/03/2004 12:12][-r-------] G:\LEXUMSS.sys
[25/03/2004 12:12][-r-------] G:\hidclass.sys
[25/03/2004 12:12][-r-------] G:\hidparse.sys
[25/03/2004 12:12][-r-------] G:\hidusb.sys
[25/03/2004 12:12][-r-------] G:\usbscan.sys
--------------- [ Lecteur I ] ----------------
I: - Lecteur amovible

+- Listing des fichiers présents :

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
StartCCC="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
Logitech Utility=Logi_MwX.Exe
RTHDCPL=RTHDCPL.EXE
Alcmtr=ALCMTR.EXE

--------------- [ Registre / Mountpoint2 ] ----------------


-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------

Echec de la supression !! - [07/06/2006 15:09] G:\autorun.inf
Echec de la supression !! - [07/06/2006 15:09] G:\autorun.inf
Echec de la supression !! - [07/06/2006 15:09] G:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre [http://www.virustotal.com/fr/ interprété] par un spécialiste /!\

[15/12/2008 18:54][--a------] C:\AUTOEXEC.BAT
[15/12/2008 19:01][-r-hs----] C:\bjj3iccf.com
[15/12/2008 19:01][-r-hs----] C:\NTDETECT.COM
[15/12/2008 20:27][-rahs----] C:\boot.ini
[15/12/2008 19:01][-r-hs----] D:\bjj3iccf.com
[15/12/2008 19:01][-r-hs----] E:\bjj3iccf.com
[13/07/2007 20:20][--a------] E:\pkrinstall.exe
[22/11/2006 10:11][-r-------] G:\Setup.exe
[22/11/2006 10:07][-r-------] G:\Setup.ini
[22/11/2006 10:08][-r-------] G:\LXCTcomp.inf
[22/11/2006 10:08][-r-------] G:\LXCThid.inf
[22/11/2006 10:08][-r-------] G:\LXCTsc9x.inf
[22/11/2006 10:08][-r-------] G:\autorun.inf

--------------- ! Fin du rapport ! ----------------

Ok maintenant refais un nouveau rapport hijackthis stp

Voici :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:45:00, on 15/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
D:\Program Files\SlimBrowser\sbrowser.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
D:\Program Files\Trend Micro\HijackThis\HJT.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
--
End of file - 2660 bytes

ok maintenant fais ceci stp :

• Télécharge Malwarebytes
  
  
• Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
  
  
• Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
  
  
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
  
  
• Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
  
  
• L'analyse peut durer un bon moment.....
  
  
• Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
  
  
• Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
  
  
• Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
  

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

Et ensuite refais un nouveau rapport hijackthis stp

Lorsque je clic sur le lien je n'ai pas de fichier à télécharger...

Que dois-je faire alors?

Bonjour,

C'est bizarre ça

• Télécharge a-squared free 3.5
  
  
• Un tutoriel est à ta disposition pour bien l utiliser.
  
  
• fais la mise à jour et une analyse complète.
  
  
• poste le rapport stp
  

Salut,
Voici le rapport :

Version - a-squared Free 3.5
Dernière mise à jour : 16/12/2008 16:57:53
Paramètres des balayages :
Éléments : Mémoire, Traces, Cookies, C:\WINDOWS\, C:\Program Files
Balaye dans les archives : Marche
Analyse heuristique : Marche
Balaye dans les ADS : Marche
Début du balayage : 16/12/2008 17:01:05
Key: HKEY_USERS\S-1-5-21-776561741-1078081533-725345543-1004\software\kazaa Objets détectés : Trace.Registry.KaZaA!A2
C:\Documents and Settings\Sam\Cookies\sam@adtech[1].txt Objets détectés : Trace.TrackingCookie.adtech!A2
C:\Documents and Settings\Sam\Cookies\sam@atdmt[2].txt Objets détectés : Trace.TrackingCookie.atdmt!A2
C:\Documents and Settings\Sam\Cookies\sam@bs.serving-sys[2].txt Objets détectés : Trace.TrackingCookie.bs.serving-sys!A2
C:\Documents and Settings\Sam\Cookies\sam@doubleclick[1].txt Objets détectés : Trace.TrackingCookie.doubleclick!A2
C:\Documents and Settings\Sam\Cookies\sam@metriweb[1].txt Objets détectés : Trace.TrackingCookie.metriweb!A2
C:\Documents and Settings\Sam\Cookies\sam@serving-sys[2].txt Objets détectés : Trace.TrackingCookie.serving-sys!A2
C:\Documents and Settings\Sam\Application Data\Mozilla\Firefox\Profiles\cwyo3b4f.default\cookies.txt:7 Objets détectés : Trace.TrackingCookie.doubleclick.net!A2
C:\Program Files\Logitech\Desktop Messenger\8876480\6.1.4.61-8876480L\Program\runner.exe Objets détectés : Adware.BackWeb.a!A2
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe Objets détectés : Adware.BackWeb.a!A2
C:\Program Files\UsbFix\Tools\Proc.exe Objets détectés : Riskware.RiskTool.Win32.Processor.20!A2
Analysé
Fichiers : 24539
Traces : 551307
Cookies : 168
Processus : 27
Objets trouvés
Fichiers : 3
Traces : 1
Cookies : 7
Processus : 0
Clés de Registre : 0
Fin du balayage : 16/12/2008 17:07:53
Temps du balayage : 0:06:48

Ok tu peux aller vider la quarantaine d a-squared...

Que se passe-t-il exactement lorsque tu veux télécharger Malwarebytes ??

J'ai supprimé directement les fichiers détectés en fait, je les avais pas mis en quarantaine...
Concernant Malwarebytes, lorsque je clic sur le lien qui permet de télécharger le programme rien ne se passe...

Bonjour Sam,

est-ce que tu as le logiciel Spybot ??

Salut,
Non je n'ai pas ce logiciel...Par contre je viens de reesayer de télécharger le logiciel que tu m'as demandé et cela marche...Je viens de lancer l'examen et je post le rapport après

Voici le rapport :

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1508
Windows 5.1.2600 Service Pack 2
17/12/2008 16:56:41
mbam-log-2008-12-17 (16-56-41).txt
Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 94149
Temps écoulé: 19 minute(s), 37 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

ok...

• Télécharge Spybot Search & Destroy sur mon site web.
  
  
• Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
  

Salut,

Voila j'ai tout fait en suivant le tutoriel...Pas de rapport à poster cette fois-ci? J'ai juste du corriger le problème "DoubleClick" si jamais

Salut

as-tu encore des problèmes ??

Non aucun le pc est parfaitement fluide
Si l'assistance est terminée, je te remercie une nouvelle fois pour ton aide

Mais de rien, je t'ai aidé avec plaisir... Tu m'excuseras pour les temps d'attente mais pour le moment je suis occupé à autre chose, donc je ne suis plus beaucoup sur l'ordi...

Nous allons faire un nettoyage du registre :

• Télécharge RegCleaner
  
  
• Une fois installé, double-clique sur son icône pour l'exécuter
  
  
• Dans la barre de menu, clique sur Options puis sélectionne Language => Select language
  
  
• recherche French.rlg et double-clique dessus pour appliquer la langue
  
  
• Clique ensuite sur Outils dans la barre de menu
  
  
• Sélectionne Nettoyage du registre => Nettoyeur de registre automatique
  
  
• RegCleaner va alors lancer le nettoyage automatiquement
  
  
• Coche ensuite les entrées invalides et clique sur Supprimer sélections => Terminer => Quitter
  

Ensuite reviens signaler que tu as terminé pour qu'on puisse finir la désinfection proprement

Ok voila c'est fait...Pas de probleme pour les temps d'attente à partir du moment où on a retiré le virus mon pc allait normalment donc ce n'urgeait plus
Bonne soirée