Mon PC est infecté!

Bonjour,

C'est la 1ere fois que je participe à un quelconque forum mais là j'ai sérieusement besoin d'aide svp.

Si je fais un faux pas dans la façon de le faire, soyez indulgents et dites-moi comment.

Spybot et AVG m'ont tous deux averti hier que mon PC avait été infecté. J'ai eu le temps de noter qu'ils avaient détecté au moins 2 virus: Dropper.Bravix.K et Trojan Horse Agent.AHAS. C'est probablement pas tout mais c'est ce que j'ai vu. Et comme j'ai cru comprendre qu'un Dropper ça se multiplie, je commence sérieusement à décourager.

J'ai cliqué pour effacer les fichiers infectés, scanné mon PC plusieurs fois avec AVG, Spybot et Ad-Aware et re-booté, etc...Rien n'y fait.

Ça a pris le contrôle tant de Firefox, que j'uilise par défaut, que de IE et de la barre de recherche (Google et les autres). Quand j'utilise la barre de recherche, je suis dirigé vers une page qui ressemble beaucoup à une liste de liens sur Google ou Yahoo mais c'est faux. Bien que les sujets soient pertinents, je suis toujours redirigé vers d'autres sites qui veulent me vendre n'importe quoi. Quand j'utilise des mots clé comme Dropper, Kaperski, Spybot, symantec et autres reliés aux virus, ça me renvoi même sur une page vide ou bien d'erreur. Même chose quand je tente d'écrire l'adresse à la mitaine dans la barre d'adresse. C'est impossible d'accéder à un lien de téléchargement de quoi que ce soit qui soit connu et qui ait rapport avec les virus. En plus, maintenant quand je tente d'ouvrir Spybot, ça indique dans mes processus qu'il est bien là mais rien à l'écran et donc impossible de l'utiliser pour unscan complet (ça fonctionne pourtant pour la commande de scan d'un seul fichier???). J'avais réussis à télécharger Malwarebites avant que tout gèle mais il me fait la même chose que Spybot! Ad-Aware, AVG et CCCleaner fonctionnent mais ne trouvent plus rien. Et l'ordi qui se met à ralentir...Je suis littéralement pris en otage!

J'ai réussis à vous joindre en fouillant dans mes favoris de Firefox où j'avais sauvegardé un lien où Geoffrey5 aidait quelqu'un pour un problème similaire.Tous les sites sur lesquels je navique normalement et qui sont dans mes favoris sont accessibles. Et aussi ceux qui n'ont aucun rapport avec cette infection. Je sais pas pourquoi votre site a passé le filet mais me voici et j'ai besoin d'aide.

J'ai vu que vous travaillez avec Hijackthis et d'autres programmes. À moins que vous ayez une solution (je suis loin d'être un expert, je ne peux plus télécharger ces programmes. Mais j'avais sur un disque certains programmes dont je m'étais servi il y a un an quand je courrais après autre chose sur mon ordi. J'ai donc accès à Hijackthis mais dans sa version 2.0.0 (Beta). Il me faisait la même chose que Spybot et Malwarebites au début mais j'ai renommé le .exe et ça fonctionne maintenant. Je joins le rapport. J'espère que ça sera quand même utile.

J'ai aussi des choses qui fonctionnent, mais qui datent également d'au moins un an, comme VundoFix 6.5.0.1, Kaperski 6.0 (mais ça me demande de désinstaller AVG alors j'ai pas osé), Smithfraudfix v2.376 (que j'ai aussi du renommer pour le faire fonctionner). J'ai rien effacé avec ces programmes, seulement avec Spybot, Ad-Aware et AVG.

Alors, voilà le rapport HJT et j'attends des nouvelles:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 06:22:49, on 2008-11-22
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\FinePixViewerS\QuickDCF2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Marco\Bureau\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Exif Launcher S.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187888806093
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 7732 bytes

Invité

Salut,

bienvenue sur le forum.

Fait ceci car tu as pas la bonne version d'hijackthis.

===================POUR LES UTILISATEURS DE VISTA=========================
=>< Désactive le « contrôle des comptes utilisateurs = UAC »
(tu le réactiveras après ta désinfection): Ne pas oublier !!
Désactiver l'UAC est nécessaire pour pouvoir faire fonctionner certains programmes sous Vista.
- Vas dans Démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs
- Clique ensuite sur désactiver et valide
=><><Désactiver la restauration système sous vista

Peut tu téléchargé hijackthis

Mon PC est infecté! Icon11

enregistre la cible sous .... le bureau

Mon PC est infecté! Icon11

Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

Mon PC est infecté! Icon11

Clique sur Install ensuite sur I Accept

Clique sur Do a scan system and save log file

Mon PC est infecté! Icon11

Le bloc-notes s'ouvrira, fais un copier-coller* de tout son contenu ici dans ta prochaine réponse

==>un tuto pour t'aider au cas où tutorial

[*]NB:Comment faire un copier-coller:=>appuie sur ctrlA simultanément ensuite sur ctrlc puis sur le foum ctrlv

Note :

Avant tout emploi de logiciel, s’assurer que les protections de registres tel que le Tea Timer de spybot sont désactivées (notamment lors de l’emploi d’HijackThis)
Spybot =>mode avancé=> outils => résident
Décocher la case résident "tea timer"
Refermer Spybot.

@+

Bonjour Goldorak. Merci de me répondre.

Comme j'expliquais, ça semble impossible pour moi de télécharger quoi que ce soit d'utile. J'ai cliqué sur ton lien pour télécharger HJT et ce qui m'apparait c'est ça,comme pour le reste:

La connexion a échoué

Firefox ne peut établir de connexion avec le serveur à l'adresse www.trendsecure.com.

Bien que le site semble valide, le navigateur n'a pas pu établir de connexion.

* Le site est peut-être temporairement indisponible ? Réessayez plus tard.
* D'autres sites sont aussi inaccessibles ? Vérifiez la connexion au réseau de votre ordinateur.
* Votre ordinateur ou votre réseau est-il protégé par un pare-feu ou un proxy ? Des paramètres incorrects peuvent interférer avec la navigation sur le Web.
* Vous avez toujours des problèmes ? Consultez votre administrateur réseau ou votre fournisseur d'accès à Internet pour obtenir de l'aide.

Pourtant, aucun problème à accéder au tutoriel!

Par ailleurs, je suis sous XP Pro et non Vista, si ça fait une différence.

Invité

Re,

BOn pas grave:

Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :

/!\ Déconnectes toi et fermes toutes applications en cours

● Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
● Double clique sur l'icône Ad-removersituée sur ton bureau
● Au menu principal choisi l'option "A"
● Postes le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Pourquoi j'ai réussis à accéder à ce lien quand c'est impossible pour tout le reste? J'en ai aucune idée mais ça a fonctionné.

J'ai demandé à un ami de télécharger HJT et de me l'envoyer par mail. Je pourrais tenter la même chose si je suis incapable de télécharger d'autres logiciels utiles. Toutefois, ici il est 07h40 et je ne crois pas que ça sera possible avant quelques heures. Si tu envisages utiliser d'autres logiciels, peut-être serait-ce utile que j'ai tout de suite les liens pour savoir si je peux y accéder moi-même ou bien que je tente de les obtenir de la même manière.

Enfin, ça n'est qu'une suggestion. C'est à toi de voir.

Voici le rapport Ad-Remover:

F --------- Logfile of AD-Remover 1.0.3.7 by C_XX ---------

START at: 7:35:19 | 2008-11-22
ON: Microsoft Windows XP [version 5.1.2600] ( Windows XP )
Internet Explorer: 7.0.5730.11
OPTION: Scan
EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
USER: Marco | PC: XPPRO-SP2
BOOT MODE: Normal
DRIVE(S): A:\
~> Systemdrive: C:\

--------- [ PROCESSES ] ---------

\SystemRoot\System32\smss.exe [612]
\??\C:\WINDOWS\system32\csrss.exe [688]
\??\C:\WINDOWS\system32\winlogon.exe [720]
C:\WINDOWS\system32\services.exe [768]
C:\WINDOWS\system32\lsass.exe [780]
C:\WINDOWS\system32\Ati2evxx.exe [952]
C:\WINDOWS\system32\svchost.exe [984]
C:\WINDOWS\system32\svchost.exe [1068]
C:\WINDOWS\System32\svchost.exe [1116]
C:\WINDOWS\system32\svchost.exe [1208]
C:\WINDOWS\system32\svchost.exe [1240]
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [1272]
C:\WINDOWS\system32\Ati2evxx.exe [1332]
C:\WINDOWS\system32\spoolsv.exe [1488]
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe [1604]
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe [1632]
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe [1680]
C:\WINDOWS\system32\HPZipm12.exe [1776]
C:\WINDOWS\system32\svchost.exe [1824]
C:\WINDOWS\System32\alg.exe [228]
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe [2240]
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe [2260]
C:\WINDOWS\RTHDCPL.EXE [2284]
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [2304]
C:\WINDOWS\system32\ctfmon.exe [2312]
C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe [2332]
C:\Program Files\DAEMON Tools Lite\daemon.exe [2360]
C:\Program Files\FinePixViewerS\QuickDCF2.exe [2400]
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2416]
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe [2772]
C:\WINDOWS\explorer.exe [2888]

---------------------------- [~> 31]

+---------------------------------------------------------------------------+
+------------------------------- SERVICES FOUND
+---------------------------------------------------------------------------+

Found ! - "Boonty Games"

+---------------------------------------------------------------------------+
+------------------------------- REGISTRY ELEMENTS FOUND
+---------------------------------------------------------------------------+

"HKEY_LOCAL_MACHINE\Software\Boonty"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Boonty Games"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Boonty Games"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Boonty Games"

+---------------------------------------------------------------------------+
+------------------------------- FILES\FOLDERS FOUND
+---------------------------------------------------------------------------+

[2008-11-18 18:34|d--------] C:\Program Files\Fichiers communs\BOONTY Shared
[2008-11-18 18:34|d--------] C:\Documents and Settings\All Users\Application Data\BOONTY

+---------- Scanning prefs.js ... ( # Mozilla User Preferences )

...\ncgssj6p.default\prefs.js :

~~~~ Mozilla FireFox version 3.0.4 ~~~~

Start Page : "http://www.cyberpresse.ca/"

+----------+

+---------------------------------------------------------------------------+

+---------- Added scan ...

+-----[HKLM\...\Run]

NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
RemoteControl REG_SZ "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
NeroFilterCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe
AVG7_CC REG_SZ C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
RTHDCPL REG_SZ RTHDCPL.EXE
Alcmtr REG_SZ ALCMTR.EXE
HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

+-----[HKCU\...\Run]

CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
WeatherEye REG_SZ C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

+-----[HKLM\...\Internet Explorer\MAIN]

Start Page : hxxp://go.microsoft.com/fwlink/?LinkId=69157

+-----[HKCU\...\Internet Explorer\MAIN]

Start Page : hxxp://go.microsoft.com/fwlink/?LinkId=69157

+---------------------------------------------------------------------------+
+------------------------------- [ EOF - 96 lines ]
+---------------------------------------------------------------------------+

[ END at: 7:37:21 | 2008-11-22 ] - [ Time elapsed: 2 minutes, 1 seconds ]

Bon, j'ai réussis à obtenir HJT à jour par l'ami dont je te parlais.

Je n'ai plus aucune nouvelle depuis des heures. Que dois-je faire maintenant? S Goldorak ne peux continuer à m'aider,est-ce quelqu'un d'autre peuet prendre la suite svp?

Voici le repport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:56:47, on 2008-11-22
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\FinePixViewerS\QuickDCF2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HJT\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Exif Launcher S.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187888806093
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6224 bytes

Bonsoir Marco Wink

! Déconnectes toi et fermes toutes applications en cours !

Relances "Ad-remover" : au menu principal choisi l'option "B" .
Coche à l'écran de sélection :

Suppression Boonty/BoontyGames
Puis choisi "S" , le programme va travailler,
Postes le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

/!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides)

Je vois que tu as déjà Malwarebytes... As-tu déjà fais une analyse ??

Si oui, poste moi un rapport de suppression de fichiers stp

Merci Geoffrey.

Je fais ce que tu dis et je t'envoie le rapport le rapport.

Pour ce qui est de Malwarebytes, je te réfère à mon premier post. Je l'ai, oui, mais quand je clique dessus il s'ouvre (je peux le savoir en le repérant dans mes processus actifs) mais aucune image à l'écran. Comme si cette chose savait et m'empêche de l'utiliser (tout comme avec Spybot qui l'avait repéré en premier). J'ai eu beau renommer le fichier .exe (comme je l'ai fait pour d'autre programmes où ça a fini par fonctionner (HJT par exemple) mais rien n'y fait. Même chose que pour quand j'essaye d'utiliser un lien, la barre d'adresse ou bien Google. Je suis bloqué et je ne peux pas accéder ni télécharger. J'ai pu avoir HJT seulement en demandant à quelqu'un de le télécharger à ma place et de me le faire parvenir par courriel. Malwarebytes, j'avais réussis à le télécharger avant que cette chose ne prenne plus de contrôle sur ma connection internet. Mais je suis incapable de m'en servir!

ok... Fais la suppression avec AD-remover et ensuite fais ceci stp :

Télécharge et enregistre Combofix (de sUBs) sur ton bureau
(c est le numéro 5 en bas de la page) :
désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)

Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

ensuite envois le rapport stp

J'ai fait comme tu as dit et j'ai supprimé que Boonty/BoontyGames.

Mais il y avait aussi autre choses que Ad-remover me proposait de supprimer, comme:

- Eorezo
- Everest Poker
-Funweb Product/MyWay/MyWebsearch
-Messenger Skinner
-Sweetim

Voici le rapport:

F --------- Logfile of AD-Remover 1.0.3.7 by C_XX ---------

START at: 18:16:57 | 2008-11-22
ON: Microsoft Windows XP [version 5.1.2600] ( Windows XP )
Internet Explorer: 7.0.5730.11
OPTION: Clean

*** Limited to ***

Boonty/BoontyGames

******************

EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
USER: Marco | PC: XPPRO-SP2
BOOT MODE: Normal
DRIVE(S): A:\
~> Systemdrive: C:\

--------- [ PROCESSES ] ---------

\SystemRoot\System32\smss.exe [612]
\??\C:\WINDOWS\system32\csrss.exe [688]
\??\C:\WINDOWS\system32\winlogon.exe [720]
C:\WINDOWS\system32\services.exe [768]
C:\WINDOWS\system32\lsass.exe [780]
C:\WINDOWS\system32\Ati2evxx.exe [952]
C:\WINDOWS\system32\svchost.exe [984]
C:\WINDOWS\system32\svchost.exe [1068]
C:\WINDOWS\System32\svchost.exe [1116]
C:\WINDOWS\system32\svchost.exe [1208]
C:\WINDOWS\system32\svchost.exe [1240]
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [1272]
C:\WINDOWS\system32\Ati2evxx.exe [1332]
C:\WINDOWS\system32\spoolsv.exe [1488]
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe [1604]
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe [1632]
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe [1680]
C:\WINDOWS\system32\HPZipm12.exe [1776]
C:\WINDOWS\system32\svchost.exe [1824]
C:\WINDOWS\System32\alg.exe [228]
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe [2240]
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe [2260]
C:\WINDOWS\RTHDCPL.EXE [2284]
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [2304]
C:\WINDOWS\system32\ctfmon.exe [2312]
C:\Program Files\DAEMON Tools Lite\daemon.exe [2360]
C:\Program Files\FinePixViewerS\QuickDCF2.exe [2400]
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2416]
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe [2772]
C:\WINDOWS\explorer.exe [2888]
C:\WINDOWS\system32\msiexec.exe [456]

---------------------------- [~> 31]

(!) ---- IE start pages reset

+---------------------------------------------------------------------------+
+------------------------------- SERVICES DELETED
+---------------------------------------------------------------------------+

Deleted successfully ! - "Boonty Games"

+---------------------------------------------------------------------------+
+------------------------------- REGISTRY ELEMENTS DELETED
+---------------------------------------------------------------------------+

"HKEY_LOCAL_MACHINE\Software\Boonty"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Boonty Games"

+---------------------------------------------------------------------------+
+------------------------------- FILES\FOLDERS DELETED
+---------------------------------------------------------------------------+

[2008-11-18 18:34|d--------] C:\Program Files\Fichiers communs\BOONTY Shared
[2008-11-18 18:34|d--------] C:\Documents and Settings\All Users\Application Data\BOONTY

(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.

+---------- Added scan ...

+-----[HKLM\...\Run]

NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
RemoteControl REG_SZ "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
NeroFilterCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe
AVG7_CC REG_SZ C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
RTHDCPL REG_SZ RTHDCPL.EXE
Alcmtr REG_SZ ALCMTR.EXE
HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

+-----[HKCU\...\Run]

CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
WeatherEye REG_SZ C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

+-----[HKLM\...\Internet Explorer\MAIN]

Start Page : hxxp://fr.msn.com/

+-----[HKCU\...\Internet Explorer\MAIN]

Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+---------------------------------------------------------------------------+
+------------------------------- [ EOF - 86 lines ]
+---------------------------------------------------------------------------+

[ END at: 18:18:25 | 2008-11-22 ] - [ Time elapsed: 87.6 seconds ]

On dirait que cette chose sait très que je lui courre après et presque partout où elle doit me bloquer pour pas que j'y arrive...

Oui je sais mais tu n'avais que BootyGames à supprimer donc c'est pour ça que je t'ai demandé de celui là et pas les autres Wink

J'ai réessayé de lancer Malwarebytes et c'est toujours la même chose. Le curseur qui flique un temps et puis plus rien...

Je vérifie dans mes processus actifs et j'y vois bien mbam.exe mais rien à l'écran...

Quant à Combofix, impossible d'utiliser soit le liende téléchargement ou même celui du tutoriel. Toujours la même fenêtre qui s'ouvre avec le message suivant:

La connexion a échoué

Firefox ne peut établir de connexion avec le serveur à l'adresse download.bleepingcomputer.com.

Bien que le site semble valide, le navigateur n'a pas pu établir de connexion.

* Le site est peut-être temporairement indisponible ? Réessayez plus tard.
* D'autres sites sont aussi inaccessibles ? Vérifiez la connexion au réseau de votre ordinateur.
* Votre ordinateur ou votre réseau est-il protégé par un pare-feu ou un proxy ? Des paramètres incorrects peuvent interférer avec la navigation sur le Web.
* Vous avez toujours des problèmes ? Consultez votre administrateur réseau ou votre fournisseur d'accès à Internet pour obtenir de l'aide.

J'ai demandé à mon ami de télécharger Combofix et le tutoriel et de me faire parvenir le tout par courriel. Ça avait donctionné pour HJT alors j'espère que ça sera pareil pour Combofix. Vu les circonstances, est-ce que cet ami devrait seulement m'envoyer le fichier d'installation ou biende l'ouvrir sur son propre PC, mettre à jour et m'envoyer le tout ensuite? Je suis pas certain de pouvoir faire la mise à jour moi-même le cas échéant.

Après quelques minutes, mbam.exe disparait tout seul,de lui-même, de la liste de mes processus actifs...

J'attends pour Combofix. Y a-t-il autre chose d'utile à faire entretemps?

Et si je peux pas utiliser Combofix, comme pour Malwarebytes?

Devrais-je essayer de renommer le ficher .exe comme ça avait fonctionné pour HTJ?

Télécharge le à partir de cette adresse et renomme le C-fix

http://www.mediafire.com/?sharekey=424caed9c295f93dab1eab3e9fa335caa6e1b15c2cf8802a

Désactive ton antivirus avant de le lancer..

Poste le rapport ainsi qu un nouveau rapport hijackthis.

Je reviendrai demain pour continuer Wink

Bonne fin de soirée @+

Merci Geoffrey.

Il fait quoi, par curiosité, comme température à Liège en passant?

Ici, au Québec, c'est le début de la froidure...On en a pour 6 mois au moins et le pire est encore à venir...

Salut Geoffrey,

J'ai réussis, en demandant à des amis de télécharger pour moi et de m'envoyer ensuite via courriel, à obtenir tout ce qu'il me faut pour utiliser ComboFix et t'envoyer ensuite le rapport.

À demain.

J'ai tenté de t'envoyer le tout mais on me dit que c'est trop volumineux.

La 1ère fois j'ai posté les 2 rapports et on m'a dit que ça dépasse la limite. La 2e fois j'ai envoyé que la moitié de ComboFix seulement et ça a fait la même chose. Est-ce normal?

Ça sera donc en plusieurs morceaux.

Voici la première partie de ComboFix:

ComboFix 08-11-22.02 - Marco 2008-11-23 0:49:51.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1630 [GMT -5:00]
Commutateurs utilisés :: c:\documents and settings\Marco\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\TDSSoeqh.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV.SYS
-------\Legacy_TDSSSERV.SYS

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-23 au 2008-11-23 ))))))))))))))))))))))))))))))))))))
.

2008-11-22 18:21 . 2008-11-22 18:21 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-22 18:21 . 2008-11-22 18:21 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-22 18:21 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-22 18:21 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-22 15:52 . 2008-11-22 15:52 <REP> d-------- c:\program files\Trend Micro
2008-11-22 08:27 . 2008-11-22 08:27 <REP> d-------- c:\documents and settings\Marco\Application Data\Malwarebytes
2008-11-22 07:34 . 2008-11-22 18:18 <REP> d-------- c:\program files\Ad-remover
2008-11-22 04:41 . 2008-11-22 08:34 <REP> d-------- c:\program files\MWB
2008-11-22 04:22 . 2007-09-05 22:22 289,144 --a------ c:\windows\system32\VCCLSID.exe
2008-11-22 04:22 . 2008-10-01 13:51 87,552 --a------ c:\windows\system32\VACFix.exe
2008-11-22 04:22 . 2008-10-10 06:58 82,944 --a------ c:\windows\system32\o4Patch.exe
2008-11-22 04:22 . 2008-05-18 19:40 82,944 --a------ c:\windows\system32\IEDFix.exe
2008-11-22 04:22 . 2008-10-10 06:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe
2008-11-22 04:22 . 2008-08-18 10:19 82,432 --a------ c:\windows\system32\404Fix.exe
2008-11-22 04:22 . 2007-10-03 22:36 25,600 --a------ c:\windows\system32\WS2Fix.exe
2008-11-22 04:22 . 2008-11-22 06:45 2,132 --a------ c:\windows\system32\tmp.reg
2008-11-22 04:14 . 2006-04-27 17:49 288,417 --a------ c:\windows\system32\SrchSTS.exe
2008-11-22 04:14 . 2004-07-31 18:50 51,200 --a------ c:\windows\system32\dumphive.exe
2008-11-22 02:13 . 2008-11-22 02:17 <REP> d-------- c:\program files\RegCleaner
2008-11-22 02:09 . 2008-11-22 02:09 <REP> d-------- C:\VundoFix Backups
2008-11-22 02:08 . 2008-11-22 16:49 <REP> d-------- c:\program files\Navilog1
2008-11-21 21:34 . 2008-11-21 23:23 <REP> dr-h----- C:\$VAULT$.AVG
2008-11-21 21:34 . 2008-11-21 22:17 73,728 --a------ c:\windows\system32\TDSScfub.dll
2008-11-21 21:34 . 2008-11-21 22:17 60,416 --a------ c:\windows\system32\drivers\TDSSpaxt.sys
2008-11-21 21:34 . 2008-11-21 22:17 31,232 --a------ c:\windows\system32\TDSSriqp.dll
2008-11-21 21:34 . 2008-11-21 22:17 29,696 --a------ c:\windows\system32\TDSSnrsr.dll
2008-11-21 21:34 . 2008-11-22 03:05 2,351 --a------ c:\windows\system32\TDSSfpmp.dll
2008-11-21 21:34 . 2008-11-21 22:17 527 --a------ c:\windows\system32\TDSSosvd.dat
2008-11-21 21:25 . 2008-11-21 21:25 73,728 --a------ c:\windows\system32\TDSSxfum.dll
2008-11-21 21:25 . 2008-11-21 21:25 60,416 --a------ c:\windows\system32\drivers\TDSSpqlt.sys
2008-11-21 21:25 . 2008-11-21 21:25 35,840 --a------ c:\windows\system32\TDSSoiqt.dll
2008-11-21 21:25 . 2008-11-21 21:25 29,696 --a------ c:\windows\system32\TDSShrxr.dll
2008-11-21 21:25 . 2008-11-21 21:25 2,351 --a------ c:\windows\system32\TDSSlxwp.dll
2008-11-21 21:25 . 2008-11-21 21:25 527 --a------ c:\windows\system32\TDSSlrvd.dat
2008-11-21 13:18 . 2008-04-13 19:33 159,232 --a------ c:\windows\system32\ptpusd.dll
2008-11-21 13:18 . 2008-04-13 11:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2008-11-21 13:18 . 2008-04-13 11:45 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2008-11-21 13:18 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll
2008-11-20 01:25 . 2008-11-20 01:25 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
2008-11-20 00:12 . 2008-11-20 00:12 <REP> d-------- c:\program files\7-Zip
2008-11-19 23:48 . 2008-11-19 23:52 <REP> d-------- c:\documents and settings\All Users\Application Data\NCH Swift Sound
2008-11-19 22:23 . 2008-11-21 22:15 <REP> d-------- c:\program files\NCH Swift Sound
2008-11-19 21:39 . 2008-11-22 00:51 69 --a------ c:\windows\NeroDigital.ini
2008-11-18 19:43 . 2008-11-18 19:43 <REP> d-------- c:\program files\DAEMON Tools Lite
2008-11-18 19:41 . 2008-11-18 19:41 <REP> d-------- c:\documents and settings\Marco\Application Data\DAEMON Tools
2008-11-18 19:41 . 2008-11-18 19:41 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2008-11-17 18:38 . 2008-11-17 18:38 <REP> d-------- c:\documents and settings\Marco\Application Data\Participatory Culture Foundation
2008-11-17 18:12 . 2008-11-17 18:12 <REP> d-------- c:\program files\Participatory Culture Foundation
2008-11-17 18:12 . 2008-11-17 18:12 <REP> d-------- C:\OpenCandy
2008-11-17 16:01 . 2008-11-17 16:01 271,360 --a------ c:\windows\system32\drivers\atksgt.sys
2008-11-17 16:01 . 2008-11-17 16:01 18,048 --a------ c:\windows\system32\drivers\lirsgt.sys
2008-11-16 21:21 . 2008-11-18 20:00 <REP> d-------- c:\program files\Nobilis
2008-11-14 01:33 . 2008-11-14 01:33 <REP> d-------- c:\documents and settings\All Users\Application Data\HP Product Assistant
2008-11-13 00:15 . 2008-11-13 00:15 <REP> d-------- c:\documents and settings\Marco\Application Data\Leadertech
2008-11-12 22:32 . 2008-11-12 22:32 <REP> d-------- c:\program files\UbiSoft
2008-11-12 22:30 . 2008-11-12 22:30 0 --a------ c:\windows\PowerReg.dat
2008-11-12 22:26 . 2008-11-19 18:51 <REP> d-------- c:\program files\NovaLogic
2008-11-12 22:22 . 2008-11-12 22:22 <REP> d-------- c:\documents and settings\Marco\WINDOWS
2008-11-12 20:09 . 2008-11-12 20:09 <REP> d-------- c:\program files\MSXML 4.0
2008-11-12 20:08 . 2008-11-12 20:08 <REP> d-------- c:\windows\system32\color
2008-11-12 20:07 . 2008-11-12 20:07 <REP> d-------- c:\windows\system\color
2008-11-12 20:07 . 2000-06-29 09:00 36,864 --a------ c:\windows\system32\agusbsti.dll
2008-11-12 20:07 . 2001-03-08 15:22 32,768 --a------ c:\windows\system32\snape20.bin
2008-11-12 20:06 . 2008-11-12 20:06 <REP> d-------- c:\program files\Fichiers communs\Agfa
2008-11-12 20:06 . 2008-11-12 20:06 <REP> d-------- c:\program files\Agfa
2008-11-12 20:06 . 2001-09-06 15:55 90,112 --a------ c:\windows\system32\adomps.dll
2008-11-12 20:05 . 1998-11-13 13:16 308,224 --a------ c:\windows\IsUn040c.exe
2008-11-12 16:34 . 2008-11-12 16:34 <REP> d-------- c:\program files\FinePixViewerS
2008-11-12 16:34 . 2008-11-12 16:34 <REP> d-------- c:\documents and settings\Marco\Application Data\InstallShield
2008-11-12 16:34 . 2008-11-21 13:19 <REP> d-------- c:\documents and settings\Marco\Application Data\FUJIFILM
2008-11-12 16:32 . 2008-11-12 16:32 <REP> d-------- c:\documents and settings\All Users\Application Data\HP
2008-11-12 16:31 . 2008-11-12 16:31 <REP> d-------- c:\program files\Fichiers communs\Sonic Shared
2008-11-12 16:31 . 2008-11-12 16:31 <REP> d-------- c:\documents and settings\All Users\Application Data\Sonic
2008-11-12 16:29 . 2008-11-12 16:29 <REP> d-------- c:\program files\Hewlett-Packard
2008-11-12 16:29 . 2008-11-12 16:30 <REP> d-------- c:\program files\Fichiers communs\HP
2008-11-12 16:04 . 2006-04-05 04:17 77,824 -ra------ c:\windows\system32\HPZIDS01.dll
2008-11-12 16:04 . 2006-03-29 07:20 49,664 -ra------ c:\windows\system32\drivers\HPZid412.sys
2008-11-12 16:04 . 2006-03-22 21:10 38,400 --a------ c:\windows\system32\hpz3l463.dll
2008-11-12 16:04 . 2006-03-29 07:20 16,496 -ra------ c:\windows\system32\drivers\HPZipr12.sys
2008-11-12 16:01 . 1998-10-29 16:45 306,688 --a------ c:\windows\IsUninst.exe
2008-11-12 16:01 . 2005-03-15 01:33 278,584 --a------ c:\windows\system32\HPZidr12.dll
2008-11-12 16:01 . 2005-03-15 01:35 204,800 --a------ c:\windows\system32\HPZipr12.dll
2008-11-12 16:01 . 2005-03-09 01:25 94,208 --a------ c:\windows\system32\HPZipt12.dll
2008-11-12 16:01 . 2007-08-09 02:27 73,728 --a------ c:\windows\system32\HPZipm12.exe
2008-11-12 16:01 . 2005-03-15 03:09 65,536 --a------ c:\windows\system32\HPZinw12.exe
2008-11-12 16:01 . 2005-03-09 01:25 57,344 --a------ c:\windows\system32\HPZisn12.dll
2008-11-12 16:00 . 2008-11-14 01:33 <REP> d-------- c:\program files\HP
2008-11-12 16:00 . 2008-04-13 11:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-11-12 16:00 . 2008-04-13 11:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-11-12 15:59 . 2008-11-12 16:32 135,520 --a------ c:\windows\HPHins11.dat
2008-11-12 15:59 . 2006-04-25 04:41 13,767 --------- c:\windows\hphmdl11.dat
2008-11-12 15:57 . 2008-04-13 11:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2008-11-12 15:57 . 2008-04-13 11:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2008-11-12 15:38 . 2008-11-12 15:38 <REP> d-------- c:\program files\Snapshot Viewer
2008-11-12 15:38 . 2008-11-12 15:38 <REP> d-------- c:\documents and settings\All Users\Application Data\SBT
2008-11-12 15:16 . 2008-11-13 19:39 379 --a------ c:\windows\ODBC.INI
2008-11-12 15:14 . 2008-11-12 15:14 <REP> d-------- c:\windows\ShellNew
2008-11-12 15:13 . 2008-11-12 15:13 <REP> d-------- c:\windows\Twain32
2008-11-12 15:13 . 2008-11-12 15:13 <REP> d-------- c:\documents and settings\Marco\Application Data\Microsoft Web Folders
2008-11-12 15:00 . 2008-11-12 15:00 <REP> d-------- c:\program files\MétéoMédia
2008-11-12 14:53 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Marco\Voisinage réseau
2008-11-12 14:53 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Marco\Voisinage d'impression
2008-11-12 14:53 . 2007-08-22 22:54 <REP> d--h----- c:\documents and settings\Marco\Modèles
2008-11-12 14:53 . 2008-11-20 00:19 <REP> dr------- c:\documents and settings\Marco\Mes documents
2008-11-12 14:53 . 2008-11-12 15:37 <REP> dr------- c:\documents and settings\Marco\Menu Démarrer
2008-11-12 14:53 . 2008-11-19 23:52 <REP> dr------- c:\documents and settings\Marco\Favoris
2008-11-12 14:53 . 2008-11-22 20:45 <REP> d-------- c:\documents and settings\Marco\Bureau
2008-11-12 14:53 . 2008-11-21 21:27 <REP> d-------- c:\documents and settings\Marco\Application Data\AVG7
2008-11-12 14:53 . 2008-11-21 22:14 <REP> d-------- c:\documents and settings\Marco
2008-11-12 14:53 . 2008-11-12 14:53 <REP> d-------- c:\documents and settings\Camille\Application Data\AVG7
2008-11-12 14:52 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Camille\Voisinage réseau
2008-11-12 14:52 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Camille\Voisinage d'impression
2008-11-12 14:52 . 2007-08-22 22:54 <REP> d--h----- c:\documents and settings\Camille\Modèles
2008-11-12 14:52 . 2008-11-12 14:53 <REP> dr------- c:\documents and settings\Camille\Mes documents
2008-11-12 14:52 . 2007-08-22 18:50 <REP> dr------- c:\documents and settings\Camille\Menu Démarrer
2008-11-12 14:52 . 2008-11-12 14:53 <REP> dr------- c:\documents and settings\Camille\Favoris
2008-11-12 14:52 . 2008-11-12 15:30 <REP> d-------- c:\documents and settings\Camille\Bureau
2008-11-12 14:52 . 2008-11-12 14:52 <REP> d-------- c:\documents and settings\Camille
2008-11-12 14:47 . 2008-11-12 14:47 0 --a------ c:\windows\nsreg.dat
2008-11-12 10:27 . 2008-11-12 10:27 0 --a------ c:\windows\ativpsrm.bin
2008-11-12 09:56 . 2008-11-12 09:56 <REP> d-------- c:\program files\ATI Technologies
2008-11-12 09:56 . 2008-11-12 09:56 <REP> d-------- C:\ATI
2008-11-12 09:56 . 2008-09-23 21:05 593,920 --------- c:\windows\system32\ati2sgag.exe
2008-11-12 09:52 . 2008-11-12 09:52 <REP> d-------- c:\windows\ServicePackFiles
2008-11-12 09:51 . 2006-12-28 12:01 19,569 --a------ c:\windows\003183_.tmp

2e partie de ComboFix:

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-22 13:00 --------- d-----w c:\documents and settings\All Users\Application Data\avg7
2008-11-22 09:44 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-22 07:52 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-22 05:23 --------- d-----w c:\documents and settings\Administrateur\Application Data\AVG7
2008-11-20 06:26 --------- d-----w c:\program files\Lavasoft
2008-11-20 06:25 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-18 00:39 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-12 20:37 --------- d-----w c:\program files\microsoft frontpage
2008-11-12 14:27 --------- d-----w c:\program files\Realtek
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 19:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 19:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 19:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 19:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 19:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 19:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 19:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 19:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-09-30 21:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-24 03:09 3,331,072 ----a-w c:\windows\system32\drivers\ati2mtag.sys
2008-09-24 02:18 425,984 ----a-w c:\windows\system32\ATIDEMGX.dll
2008-09-24 02:17 311,296 ----a-w c:\windows\system32\ati2dvag.dll
2008-09-24 02:09 10,772,480 ----a-w c:\windows\system32\atioglxx.dll
2008-09-24 02:07 188,416 ----a-w c:\windows\system32\atipdlxx.dll
2008-09-24 02:06 43,520 ----a-w c:\windows\system32\ati2edxx.dll
2008-09-24 02:06 26,112 ----a-w c:\windows\system32\Ati2mdxx.exe
2008-09-24 02:06 143,360 ----a-w c:\windows\system32\Oemdspif.dll
2008-09-24 02:06 143,360 ----a-w c:\windows\system32\ati2evxx.dll
2008-09-24 02:04 581,632 ----a-w c:\windows\system32\ati2evxx.exe
2008-09-24 02:03 53,248 ----a-w c:\windows\system32\ATIDDC.DLL
2008-09-24 01:56 307,200 ----a-w c:\windows\system32\atiiiexx.dll
2008-09-24 01:54 4,008,864 ----a-w c:\windows\system32\ati3duag.dll
2008-09-24 01:38 2,399,744 ----a-w c:\windows\system32\ativvaxx.dll
2008-09-24 01:24 48,640 ----a-w c:\windows\system32\amdpcom32.dll
2008-09-24 01:20 380,928 ----a-w c:\windows\system32\atikvmag.dll
2008-09-24 01:19 39,424 ----a-w c:\windows\system32\atiadlxx.dll
2008-09-24 01:18 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll
2008-09-24 01:18 253,952 ----a-w c:\windows\system32\atiok3x2.dll
2008-09-24 01:18 17,408 ----a-w c:\windows\system32\atitvo32.dll
2008-09-24 01:12 573,440 ----a-w c:\windows\system32\ati2cqag.dll
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:15 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-26 08:11 826,368 ----a-w c:\windows\system32\wininet.dll
2005-04-01 02:17 40,960 ----a-w c:\program files\Uninstall_CDS.exe
2001-03-28 17:02 122,880 ----a-w c:\windows\inf\Agfa\message.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"WeatherEye"="c:\program files\MétéoMédia\MétéoÉclair\WeatherEye.exe" [2008-09-04 4501912]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-16 86016]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"AVG7_CC"="c:\progra~1\Grisoft\AVG7\avgcc.exe" [2008-11-12 590848]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"nwiz"="nwiz.exe" [2006-08-16 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
"AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2008-04-11 219136]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 73728]
Exif Launcher S.lnk - c:\program files\FinePixViewerS\QuickDCF2.exe [2008-11-12 303104]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Participatory Culture Foundation\\Miro\\xulrunner\\python\\Miro_Downloader.exe"=
"c:\\Program Files\\NovaLogic\\Delta Force Xtreme\\dfx.exe"=
"c:\\Documents and Settings\\Marco\\Mes documents\\Joint Operations Typhoon Rising\\Jointops.exe"=
"c:\\Documents and Settings\\Marco\\Bureau\\SMFF.exe"=

R0 nvgts;nvgts;c:\windows\system32\DRIVERS\nvgts.sys [2008-11-12 132096]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Marco\Application Data\Mozilla\Firefox\Profiles\ncgssj6p.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.cyberpresse.ca/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-23 00:51:17
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\TDSSserv.sys]
"imagepath"="\systemroot\system32\drivers\TDSSpaxt.sys"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\WgaLogon.dll
.
Heure de fin: 2008-11-23 0:51:49
ComboFix-quarantined-files.txt 2008-11-23 05:51:40

Avant-CF: 136,356,114,432 octets libres
Après-CF: 136,500,785,152 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /usepmtimer

267 --- E O F --- 2008-11-14 06:39:17

Et, finalement, HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:55:23, on 2008-11-23
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Exif Launcher S.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187888806093
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5058 bytes

Invité

Salut,

Toujours avec toutes les protections désactivées, fais ceci :

Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------

Driver::
-------\Service_TDSSSERV.SYS
-------\Legacy_TDSSSERV.SYS

------------------------------------------------------------------

- Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
- Quitte le Bloc Notes

· Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme =>> : Mon PC est infecté! Img-2258535my8h

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Aussitôt après, sans redémarrer ton ordinateur, fais ceci :

Télécharge et installe Malwarebytes' Anti-Malware

Salut Goldorak,

J'ai déjà Malwarebytes. Je l'ai utilisé avec Geoffrey.

Dis-moi quoi faire avec.

Je fais aussi ce qui précède et je te reviens.

Ce n'est pas Malwarebytes que j'ai utilisé avec Geoffrey mais ComboFix.

Désolé.

Oui, j'ai Malwarebytes.

Avant la cure de ComboFix, je le voyais s'ouvrir dans mes processus actifs mais rien à l'écran. Comme pour Spybot.

Depuis le dernier scan de ComboFix, mon pc se porte déjà beaucoup mieux. La vitesse de l'ordi et de la connexion internet se sont améliorés. En fait, presque normal.

Après avoir lancé ComboFix et m'être aperçu que je reprenais le dessus, j'ai lancé SpyBot (qui fonctionne normalement maintenant, comme Malwarebytes), Ad-Aware et Avg. J'ai capturé des choses qui s'appellent, tous des Trojan horse:

Agent.AHAH
AGENT.AKYE
BackDoor.Generic10.XPT
BHO.GGA

Je les ai en quarantaine dans AVG. Je fais quoi avec? Je les zappe définitivement? J'ai plus de détails sur ces choses si c'est utile.

Je reviens avec combofix.

Voici la 1ère partie du rapport Combofix:

ComboFix 08-11-22.02 - Marco 2008-11-23 3:16:14.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1575 [GMT -5:00]
Lancé depuis: c:\documents and settings\Marco\Bureau\C-fix.exe
Commutateurs utilisés :: c:\documents and settings\Marco\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-23 au 2008-11-23 ))))))))))))))))))))))))))))))))))))
.

2008-11-22 18:21 . 2008-11-22 18:21 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-22 18:21 . 2008-11-22 18:21 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-22 18:21 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-22 18:21 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-22 15:52 . 2008-11-22 15:52 <REP> d-------- c:\program files\Trend Micro
2008-11-22 08:27 . 2008-11-22 08:27 <REP> d-------- c:\documents and settings\Marco\Application Data\Malwarebytes
2008-11-22 07:34 . 2008-11-22 18:18 <REP> d-------- c:\program files\Ad-remover
2008-11-22 04:41 . 2008-11-22 08:34 <REP> d-------- c:\program files\MWB
2008-11-22 04:22 . 2007-09-05 22:22 289,144 --a------ c:\windows\system32\VCCLSID.exe
2008-11-22 04:22 . 2008-10-01 13:51 87,552 --a------ c:\windows\system32\VACFix.exe
2008-11-22 04:22 . 2008-10-10 06:58 82,944 --a------ c:\windows\system32\o4Patch.exe
2008-11-22 04:22 . 2008-05-18 19:40 82,944 --a------ c:\windows\system32\IEDFix.exe
2008-11-22 04:22 . 2008-10-10 06:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe
2008-11-22 04:22 . 2008-08-18 10:19 82,432 --a------ c:\windows\system32\404Fix.exe
2008-11-22 04:22 . 2007-10-03 22:36 25,600 --a------ c:\windows\system32\WS2Fix.exe
2008-11-22 04:22 . 2008-11-22 06:45 2,132 --a------ c:\windows\system32\tmp.reg
2008-11-22 04:14 . 2006-04-27 17:49 288,417 --a------ c:\windows\system32\SrchSTS.exe
2008-11-22 04:14 . 2004-07-31 18:50 51,200 --a------ c:\windows\system32\dumphive.exe
2008-11-22 02:13 . 2008-11-22 02:17 <REP> d-------- c:\program files\RegCleaner
2008-11-22 02:09 . 2008-11-22 02:09 <REP> d-------- C:\VundoFix Backups
2008-11-22 02:08 . 2008-11-22 16:49 <REP> d-------- c:\program files\Navilog1
2008-11-21 21:34 . 2008-11-23 02:06 <REP> dr-h----- C:\$VAULT$.AVG
2008-11-21 21:34 . 2008-11-21 22:17 73,728 --a------ c:\windows\system32\TDSScfub.dll
2008-11-21 21:34 . 2008-11-22 03:05 2,351 --a------ c:\windows\system32\TDSSfpmp.dll
2008-11-21 21:34 . 2008-11-21 22:17 527 --a------ c:\windows\system32\TDSSosvd.dat
2008-11-21 21:25 . 2008-11-21 21:25 73,728 --a------ c:\windows\system32\TDSSxfum.dll
2008-11-21 21:25 . 2008-11-21 21:25 2,351 --a------ c:\windows\system32\TDSSlxwp.dll
2008-11-21 21:25 . 2008-11-21 21:25 527 --a------ c:\windows\system32\TDSSlrvd.dat
2008-11-21 13:18 . 2008-04-13 19:33 159,232 --a------ c:\windows\system32\ptpusd.dll
2008-11-21 13:18 . 2008-04-13 11:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2008-11-21 13:18 . 2008-04-13 11:45 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2008-11-21 13:18 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll
2008-11-20 01:25 . 2008-11-20 01:25 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
2008-11-20 00:12 . 2008-11-20 00:12 <REP> d-------- c:\program files\7-Zip
2008-11-19 23:48 . 2008-11-19 23:52 <REP> d-------- c:\documents and settings\All Users\Application Data\NCH Swift Sound
2008-11-19 22:23 . 2008-11-21 22:15 <REP> d-------- c:\program files\NCH Swift Sound
2008-11-19 21:39 . 2008-11-22 00:51 69 --a------ c:\windows\NeroDigital.ini
2008-11-18 19:43 . 2008-11-18 19:43 <REP> d-------- c:\program files\DAEMON Tools Lite
2008-11-18 19:41 . 2008-11-18 19:41 <REP> d-------- c:\documents and settings\Marco\Application Data\DAEMON Tools
2008-11-18 19:41 . 2008-11-18 19:41 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2008-11-17 18:38 . 2008-11-17 18:38 <REP> d-------- c:\documents and settings\Marco\Application Data\Participatory Culture Foundation
2008-11-17 18:12 . 2008-11-17 18:12 <REP> d-------- c:\program files\Participatory Culture Foundation
2008-11-17 18:12 . 2008-11-17 18:12 <REP> d-------- C:\OpenCandy
2008-11-17 16:01 . 2008-11-17 16:01 271,360 --a------ c:\windows\system32\drivers\atksgt.sys
2008-11-17 16:01 . 2008-11-17 16:01 18,048 --a------ c:\windows\system32\drivers\lirsgt.sys
2008-11-16 21:21 . 2008-11-18 20:00 <REP> d-------- c:\program files\Nobilis
2008-11-14 01:33 . 2008-11-14 01:33 <REP> d-------- c:\documents and settings\All Users\Application Data\HP Product Assistant
2008-11-13 00:15 . 2008-11-13 00:15 <REP> d-------- c:\documents and settings\Marco\Application Data\Leadertech
2008-11-12 22:32 . 2008-11-12 22:32 <REP> d-------- c:\program files\UbiSoft
2008-11-12 22:30 . 2008-11-12 22:30 0 --a------ c:\windows\PowerReg.dat
2008-11-12 22:26 . 2008-11-19 18:51 <REP> d-------- c:\program files\NovaLogic
2008-11-12 22:22 . 2008-11-12 22:22 <REP> d-------- c:\documents and settings\Marco\WINDOWS
2008-11-12 20:09 . 2008-11-12 20:09 <REP> d-------- c:\program files\MSXML 4.0
2008-11-12 20:08 . 2008-11-12 20:08 <REP> d-------- c:\windows\system32\color
2008-11-12 20:07 . 2008-11-12 20:07 <REP> d-------- c:\windows\system\color
2008-11-12 20:07 . 2000-06-29 09:00 36,864 --a------ c:\windows\system32\agusbsti.dll
2008-11-12 20:07 . 2001-03-08 15:22 32,768 --a------ c:\windows\system32\snape20.bin
2008-11-12 20:06 . 2008-11-12 20:06 <REP> d-------- c:\program files\Fichiers communs\Agfa
2008-11-12 20:06 . 2008-11-12 20:06 <REP> d-------- c:\program files\Agfa
2008-11-12 20:06 . 2001-09-06 15:55 90,112 --a------ c:\windows\system32\adomps.dll
2008-11-12 20:05 . 1998-11-13 13:16 308,224 --a------ c:\windows\IsUn040c.exe
2008-11-12 16:34 . 2008-11-12 16:34 <REP> d-------- c:\program files\FinePixViewerS
2008-11-12 16:34 . 2008-11-12 16:34 <REP> d-------- c:\documents and settings\Marco\Application Data\InstallShield
2008-11-12 16:34 . 2008-11-21 13:19 <REP> d-------- c:\documents and settings\Marco\Application Data\FUJIFILM
2008-11-12 16:32 . 2008-11-12 16:32 <REP> d-------- c:\documents and settings\All Users\Application Data\HP
2008-11-12 16:31 . 2008-11-12 16:31 <REP> d-------- c:\program files\Fichiers communs\Sonic Shared
2008-11-12 16:31 . 2008-11-12 16:31 <REP> d-------- c:\documents and settings\All Users\Application Data\Sonic
2008-11-12 16:29 . 2008-11-12 16:29 <REP> d-------- c:\program files\Hewlett-Packard
2008-11-12 16:29 . 2008-11-12 16:30 <REP> d-------- c:\program files\Fichiers communs\HP
2008-11-12 16:04 . 2006-04-05 04:17 77,824 -ra------ c:\windows\system32\HPZIDS01.dll
2008-11-12 16:04 . 2006-03-29 07:20 49,664 -ra------ c:\windows\system32\drivers\HPZid412.sys
2008-11-12 16:04 . 2006-03-22 21:10 38,400 --a------ c:\windows\system32\hpz3l463.dll
2008-11-12 16:04 . 2006-03-29 07:20 16,496 -ra------ c:\windows\system32\drivers\HPZipr12.sys
2008-11-12 16:01 . 1998-10-29 16:45 306,688 --a------ c:\windows\IsUninst.exe
2008-11-12 16:01 . 2005-03-15 01:33 278,584 --a------ c:\windows\system32\HPZidr12.dll
2008-11-12 16:01 . 2005-03-15 01:35 204,800 --a------ c:\windows\system32\HPZipr12.dll
2008-11-12 16:01 . 2005-03-09 01:25 94,208 --a------ c:\windows\system32\HPZipt12.dll
2008-11-12 16:01 . 2007-08-09 02:27 73,728 --a------ c:\windows\system32\HPZipm12.exe
2008-11-12 16:01 . 2005-03-15 03:09 65,536 --a------ c:\windows\system32\HPZinw12.exe
2008-11-12 16:01 . 2005-03-09 01:25 57,344 --a------ c:\windows\system32\HPZisn12.dll
2008-11-12 16:00 . 2008-11-14 01:33 <REP> d-------- c:\program files\HP
2008-11-12 16:00 . 2008-04-13 11:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-11-12 16:00 . 2008-04-13 11:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-11-12 15:59 . 2008-11-12 16:32 135,520 --a------ c:\windows\HPHins11.dat
2008-11-12 15:59 . 2006-04-25 04:41 13,767 --------- c:\windows\hphmdl11.dat
2008-11-12 15:57 . 2008-04-13 11:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2008-11-12 15:57 . 2008-04-13 11:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2008-11-12 15:38 . 2008-11-12 15:38 <REP> d-------- c:\program files\Snapshot Viewer
2008-11-12 15:38 . 2008-11-12 15:38 <REP> d-------- c:\documents and settings\All Users\Application Data\SBT
2008-11-12 15:16 . 2008-11-13 19:39 379 --a------ c:\windows\ODBC.INI
2008-11-12 15:14 . 2008-11-12 15:14 <REP> d-------- c:\windows\ShellNew
2008-11-12 15:13 . 2008-11-12 15:13 <REP> d-------- c:\windows\Twain32
2008-11-12 15:13 . 2008-11-12 15:13 <REP> d-------- c:\documents and settings\Marco\Application Data\Microsoft Web Folders
2008-11-12 15:00 . 2008-11-12 15:00 <REP> d-------- c:\program files\MétéoMédia
2008-11-12 14:53 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Marco\Voisinage réseau
2008-11-12 14:53 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Marco\Voisinage d'impression
2008-11-12 14:53 . 2007-08-22 22:54 <REP> d--h----- c:\documents and settings\Marco\Modèles
2008-11-12 14:53 . 2008-11-20 00:19 <REP> dr------- c:\documents and settings\Marco\Mes documents
2008-11-12 14:53 . 2008-11-12 15:37 <REP> dr------- c:\documents and settings\Marco\Menu Démarrer
2008-11-12 14:53 . 2008-11-19 23:52 <REP> dr------- c:\documents and settings\Marco\Favoris
2008-11-12 14:53 . 2008-11-23 03:16 <REP> d-------- c:\documents and settings\Marco\Bureau
2008-11-12 14:53 . 2008-11-21 21:27 <REP> d-------- c:\documents and settings\Marco\Application Data\AVG7
2008-11-12 14:53 . 2008-11-23 01:42 <REP> d-------- c:\documents and settings\Marco
2008-11-12 14:53 . 2008-11-12 14:53 <REP> d-------- c:\documents and settings\Camille\Application Data\AVG7
2008-11-12 14:52 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Camille\Voisinage réseau
2008-11-12 14:52 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Camille\Voisinage d'impression
2008-11-12 14:52 . 2007-08-22 22:54 <REP> d--h----- c:\documents and settings\Camille\Modèles
2008-11-12 14:52 . 2008-11-12 14:53 <REP> dr------- c:\documents and settings\Camille\Mes documents
2008-11-12 14:52 . 2007-08-22 18:50 <REP> dr------- c:\documents and settings\Camille\Menu Démarrer
2008-11-12 14:52 . 2008-11-12 14:53 <REP> dr------- c:\documents and settings\Camille\Favoris
2008-11-12 14:52 . 2008-11-12 15:30 <REP> d-------- c:\documents and settings\Camille\Bureau
2008-11-12 14:52 . 2008-11-12 14:52 <REP> d-------- c:\documents and settings\Camille
2008-11-12 14:47 . 2008-11-12 14:47 0 --a------ c:\windows\nsreg.dat
2008-11-12 10:27 . 2008-11-12 10:27 0 --a------ c:\windows\ativpsrm.bin
2008-11-12 09:56 . 2008-11-12 09:56 <REP> d-------- c:\program files\ATI Technologies
2008-11-12 09:56 . 2008-11-12 09:56 <REP> d-------- C:\ATI
2008-11-12 09:56 . 2008-09-23 21:05 593,920 --------- c:\windows\system32\ati2sgag.exe
2008-11-12 09:52 . 2008-11-12 09:52 <REP> d-------- c:\windows\ServicePackFiles
2008-11-12 09:51 . 2006-12-28 12:01 19,569 --a------ c:\windows\003183_.tmp
2008-11-12 09:35 . 2008-01-29 12:37 950,272 -ra------ c:\windows\system32\drivers\nvnrm.sys
2008-11-12 09:35 . 2008-03-06 17:23 442,368 --a------ c:\windows\system32\nvunrm.exe
2008-11-12 09:35 . 2008-02-19 18:13 199,168 -ra------ c:\windows\system32\fdco1.dll
2008-11-12 09:35 . 2008-01-29 12:37 54,016 -ra------ c:\windows\system32\drivers\NVENETFD.sys
2008-11-12 09:35 . 2008-01-29 12:13 35,840 -ra------ c:\windows\system32\nvconrm.dll
2008-11-12 09:35 . 2008-01-29 12:37 22,016 -ra------ c:\windows\system32\drivers\nvnetbus.sys

.

Et la suite:

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-23 07:15 --------- d-----w c:\documents and settings\All Users\Application Data\avg7
2008-11-23 06:19 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-22 09:44 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-22 05:23 --------- d-----w c:\documents and settings\Administrateur\Application Data\AVG7
2008-11-20 06:26 --------- d-----w c:\program files\Lavasoft
2008-11-20 06:25 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-18 00:39 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-12 20:37 --------- d-----w c:\program files\microsoft frontpage
2008-11-12 14:27 --------- d-----w c:\program files\Realtek
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 19:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 19:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 19:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 19:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 19:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 19:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 19:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 19:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-09-30 21:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-24 03:09 3,331,072 ----a-w c:\windows\system32\drivers\ati2mtag.sys
2008-09-24 02:18 425,984 ----a-w c:\windows\system32\ATIDEMGX.dll
2008-09-24 02:17 311,296 ----a-w c:\windows\system32\ati2dvag.dll
2008-09-24 02:09 10,772,480 ----a-w c:\windows\system32\atioglxx.dll
2008-09-24 02:07 188,416 ----a-w c:\windows\system32\atipdlxx.dll
2008-09-24 02:06 43,520 ----a-w c:\windows\system32\ati2edxx.dll
2008-09-24 02:06 26,112 ----a-w c:\windows\system32\Ati2mdxx.exe
2008-09-24 02:06 143,360 ----a-w c:\windows\system32\Oemdspif.dll
2008-09-24 02:06 143,360 ----a-w c:\windows\system32\ati2evxx.dll
2008-09-24 02:04 581,632 ----a-w c:\windows\system32\ati2evxx.exe
2008-09-24 02:03 53,248 ----a-w c:\windows\system32\ATIDDC.DLL
2008-09-24 01:56 307,200 ----a-w c:\windows\system32\atiiiexx.dll
2008-09-24 01:54 4,008,864 ----a-w c:\windows\system32\ati3duag.dll
2008-09-24 01:38 2,399,744 ----a-w c:\windows\system32\ativvaxx.dll
2008-09-24 01:24 48,640 ----a-w c:\windows\system32\amdpcom32.dll
2008-09-24 01:20 380,928 ----a-w c:\windows\system32\atikvmag.dll
2008-09-24 01:19 39,424 ----a-w c:\windows\system32\atiadlxx.dll
2008-09-24 01:18 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll
2008-09-24 01:18 253,952 ----a-w c:\windows\system32\atiok3x2.dll
2008-09-24 01:18 17,408 ----a-w c:\windows\system32\atitvo32.dll
2008-09-24 01:12 573,440 ----a-w c:\windows\system32\ati2cqag.dll
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:15 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-26 08:11 826,368 ----a-w c:\windows\system32\wininet.dll
2005-04-01 02:17 40,960 ----a-w c:\program files\Uninstall_CDS.exe
2001-03-28 17:02 122,880 ----a-w c:\windows\inf\Agfa\message.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"WeatherEye"="c:\program files\MétéoMédia\MétéoÉclair\WeatherEye.exe" [2008-09-04 4501912]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-16 86016]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"AVG7_CC"="c:\progra~1\Grisoft\AVG7\avgcc.exe" [2008-11-12 590848]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"nwiz"="nwiz.exe" [2006-08-16 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
"AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2008-04-11 219136]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 73728]
Exif Launcher S.lnk - c:\program files\FinePixViewerS\QuickDCF2.exe [2008-11-12 303104]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Participatory Culture Foundation\\Miro\\xulrunner\\python\\Miro_Downloader.exe"=
"c:\\Program Files\\NovaLogic\\Delta Force Xtreme\\dfx.exe"=
"c:\\Documents and Settings\\Marco\\Mes documents\\Joint Operations Typhoon Rising\\Jointops.exe"=
"c:\\Documents and Settings\\Marco\\Bureau\\SMFF.exe"=

R0 nvgts;nvgts;c:\windows\system32\DRIVERS\nvgts.sys [2008-11-12 132096]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-23 03:17:26
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\WgaLogon.dll
.
Heure de fin: 2008-11-23 3:17:58
ComboFix-quarantined-files.txt 2008-11-23 08:17:47
ComboFix2.txt 2008-11-23 05:51:50

Avant-CF: 136 492 793 856 octets libres
Après-CF: 136,480,268,288 octets libres

245 --- E O F --- 2008-11-14 06:39:17

Invité

Re,

Fait un nouvelle hijackthis et lance un scan malwarebyte en mode sans échec.

merci.

@+

Les 2 en mode sans échec ou seulement Malwarebyte?

J'ai jamais utilisé Malwarebite.

J'imagine que c'Est le scan complet que je lance?

Alors, Voici le rapport HJT, en mode normal:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:57:16, on 2008-11-23
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\FinePixViewerS\QuickDCF2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Exif Launcher S.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187888806093
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5416 bytes