Forums Zebulon.fr: J'ai visiblement reçu la visite de Bagle -Résolu :-) - Forums Zebulon.fr

Super.

On fait un nettoyage de fond (ça racle les résidus).

• Ouvre le bloc notes. Copie colle ceci dedans :

Citation

• Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
  
  
• Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

• Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Après ce rapport ajoute un nouveau HijackThis stp.

Note qu'Avast ne t'a protégé de rien de tout ça. Dramatique.
On va s'occuper aussi de ça.

Oui, je commence à comprendre qu'Avast c'est une grosse d...

J'ai rétabli le wiFi (erreur 1068) avec le patch pour redémarrer le service mais je perds la connexion après 1/4 environ. C'est peut être des reste de virus on verra ça à la fin quand tout sera réglé...

Résultats des dernières manip :

=========================================
COMBOFIX
=========================================

ComboFix 08-06-15.4 - Nobru 2008-06-17 10:47:40.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.198 [GMT 2:00]
Endroit: C:\Documents and Settings\Nobru\Bureau\Combo-Fix.exe
Command switches used :: C:\Documents and Settings\Nobru\Bureau\CFScript
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
C:\WINDOWS\system32\aciijsfi.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DIRECTCICR
-------\Service_DirectCicr


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-17 to 2008-06-17 ))))))))))))))))))))))))))))))))))))
.

2008-06-16 11:15 . 2008-06-16 11:15 <REP> d-------- C:\Documents and Settings\Nobru\Application Data\Malwarebytes
2008-06-16 11:14 . 2008-06-16 11:15 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-16 11:14 . 2008-06-16 11:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-16 11:14 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-16 11:14 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-16 10:29 . 2008-06-16 10:31 <REP> d-------- C:\Program Files\Opera
2008-06-15 18:36 . 2008-06-15 18:36 <REP> d-------- C:\_OTMoveIt
2008-06-14 21:59 . 2008-06-14 21:59 <REP> d-------- C:\Program Files\AVG Anti-Rootkit Free
2008-06-14 20:11 . 2008-06-14 20:11 <REP> d-------- C:\Program Files\SpywareBlaster
2008-05-31 18:25 . 2008-06-10 13:02 <REP> d-------- C:\Program Files\Password Spectator
2008-05-29 12:23 . 2008-05-29 12:24 322,794 --a------ C:\Temp\attachments_2008_05_29.zip
2008-05-22 22:44 . 2008-05-22 22:44 <REP> d-------- C:\Documents and Settings\Nobru\Application Data\G‚n‚atique2007
2008-05-22 22:22 . 2008-05-22 22:22 <REP> d-------- C:\Program Files\Tracker Software
2008-05-22 22:22 . 2006-01-30 09:32 5,632 --a------ C:\WINDOWS\system32\pxc25pm.dll
2008-05-22 22:20 . 2008-05-31 13:48 <REP> d-------- C:\Program Files\Geneatique2007
2008-05-22 22:20 . 2003-03-19 07:04 127,488 --a------ C:\WINDOWS\system32\bcbsmp60.bpl
2008-05-22 21:35 . 2008-05-22 21:39 <REP> d-------- C:\Documents and Settings\Nobru\Application Data\BSD Concept
2008-05-22 21:34 . 2008-05-31 11:47 <REP> d-------- C:\Program Files\Heredis 10

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-16 20:45 --------- d-----w C:\Program Files\Avast4
2008-06-10 20:41 108,156,960 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-10 20:41 1,098,488 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-10 20:27 --------- d-----w C:\Program Files\nbpro
2008-06-10 10:52 --------- d-----w C:\Program Files\eDonkey2000
2008-05-31 16:48 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-05-31 16:03 --------- d-----w C:\Program Files\WinWSD - WebSite Downloader
2008-05-22 20:44 --------- d-----w C:\Documents and Settings\Nobru\Application Data\Généatique2007
2008-04-27 10:56 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-04-27 10:56 --------- d-----w C:\Documents and Settings\JulietteDeLaNeuvilet\Application Data\My Games
2008-04-27 10:48 --------- d-----w C:\Documents and Settings\JulietteDeLaNeuvilet\Application Data\InstallShield Installation Information
2008-04-27 10:48 --------- d-----w C:\Documents and Settings\JulietteDeLaNeuvilet\Application Data\Firaxis Games
2008-04-26 20:19 --------- d-----w C:\Program Files\pese_courrier
2008-04-18 12:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-17 19:42 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-04-17 19:38 691,545 ----a-w C:\WINDOWS\unins000.exe
2008-04-17 19:32 --------- d-----w C:\Program Files\Ad-Aware SE Professional
2008-04-17 18:56 --------- d-----w C:\Program Files\Hijackthis 1.99
2008-04-17 18:49 --------- d-----w C:\Program Files\Google
2008-04-17 18:21 --------- d-----w C:\Program Files\WMR11
2008-04-17 17:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-17 17:54 --------- d-----w C:\Program Files\Pinnacle
2008-04-17 17:26 --------- d-----w C:\Documents and Settings\Nobru\Application Data\DNA
2007-10-26 16:53 86,640 ----a-w C:\Documents and Settings\Nobru\Application Data\GDIPFONTCACHEV1.DAT
2006-05-29 14:40 7,296,000 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll
2005-08-23 19:58 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
2005-12-07 20:13 80 --sh--r C:\WINDOWS\system32\05C037E2A1.dll
2007-10-19 19:32 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012007101920071020\index.dat
.

------- Sigcheck -------

2004-08-19 16:09 578048 61c8c283ad063bb697ae61a155c64a5a C:\WINDOWS\ServicePackFiles\i386\user32.dll
2007-03-08 17:37 578560 753354f594809a9b96f73999b435a533 C:\WINDOWS\system32\user32.dll
2007-03-08 17:37 578560 753354f594809a9b96f73999b435a533 C:\WINDOWS\system32\dllcache\user32.dll

2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\TCPIP.SYS
2007-11-16 02:21 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\system32\dllcache\TCPIP.SYS
2007-11-16 02:21 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\system32\drivers\TCPIP.SYS

2004-08-19 16:10 506368 123eea158f74d0f67a51dcdf065d1091 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2004-08-14 01:07 506880 1d5b0b4d441f8543b0e899adadb83356 C:\WINDOWS\system32\winlogon.exe

2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2004-08-19 16:04 2058880 f252fae094c54572ece38a039f2103c4 C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\system32\ntkrnlpa.exe
2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2004-08-19 16:04 2183040 7d38ce4398e6aa6339b4644feadcc0d8 C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe
2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\system32\ntoskrnl.exe
2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\system32\dllcache\ntoskrnl.exe
.
((((((((((((((((((((((((((((( snapshot@2008-06-16_22.51.49.82 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-16 20:46:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-17 08:52:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-16 20:46:24 224,300 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2008-06-17 08:53:00 224,300 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin
- 2008-06-16 20:48:46 81,930 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-17 07:42:40 81,930 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-16 20:48:47 105,992 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-06-17 07:42:40 105,992 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2008-06-16 20:48:47 452,928 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-17 07:42:40 452,928 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-06-16 20:48:47 548,056 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-06-17 07:42:40 548,056 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-06-17 08:52:45 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_160.dat
+ 2008-06-17 08:53:00 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_790.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-11-23 09:56 5406720]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-09-23 14:19 286720]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
"vidc.xvid"= xvid.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2004-10-13 09:00 57344 C:\WINDOWS\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Groupement homologue Windows
"3540:UDP"= 3540:UDP:Protocole PNRP (Peer Name Resolution Protocol)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 SPI;Sony Programmable I/O Control Device;C:\WINDOWS\system32\DRIVERS\SonyPI.sys [2002-08-20 04:59]
S3 p2pgasvc;Authentification de groupe réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-19 16:10]
S3 p2pimsvc;Gestionnaire d'identité réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-19 16:10]
S3 p2psvc;Réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-19 16:10]
S3 PNRPSvc;Protocole de résolution de noms d'homologues;C:\WINDOWS\system32\svchost.exe [2004-08-19 16:10]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-23 07:21:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-06-16 18:00:08 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
- C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe
"2008-06-17 08:55:02 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-17 10:54:30
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\DirectCicr]
"ImagePath"="c:\windows\system32\directx.exe"
.
Temps d'accomplissement: 2008-06-17 10:58:34
ComboFix-quarantined-files.txt 2008-06-17 08:58:30
ComboFix2.txt 2008-06-16 20:52:41

Pre-Run: 4,638,220,288 octets libres
Post-Run: 4,582,735,872 octets libres

173 --- E O F --- 2007-11-15 10:21:38



=========================================
HIJACKTHIS
=========================================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:00:03, on 17/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Documents and Settings\Nobru\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lefigaro.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.1.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3942 bytes

Le rapport est clean.


Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer.
Après cela, efface ce dossier s'il existe encore.
C:\QooBox
A faire en premier, parce qu'après on va scanner le disque, et il contient ce qu'il a effacé.


Ensuite vire Avast et remplace-le par Antivir, tout aussi gratuit mais bien plus réactif depuis un moment, Antivir surclasse avast.

Tu peux le faire par le panneau de configuration / ajout-suppression de programmes.
Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel :
http://www.avast.com...ll-utility.html

Pour Antivir voici un lien de téléchargement direct :
http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe

Si tu as besoin de tutos, je fournis.
Pour Spybot, n'utilise pas teaTimer (il n'est pas actif, mais ne l'active pas). Tu peux le garder comme solution de rechange, mais il n'est plus très vaillant.

Je te recommande plutôt AVG-AS, ou même (si si) windows Defender si tu veux un module qui scanne à l''arrière plan, sinon il y a Ewido Micro Scanner qui utilise la base de données d'AVG, qui est très bien.
Attention à l'empilement, un seul résident sur chaque domaine à la fois.

Commençons par le plus simple, désinstalle avast, installe antivir, mets-le à jour et fais un scan complet de la machine. Si des éléments sont trouvés, mets en quarantaine (quarantine), on peut à la première détection automatiser cette opération via une case à cocher, pour que les éléments suivants aillent aussi en quarantaine, ça permet de ne pas avoir à surveiller tout le temps, le scan peut être long.

Salut,
Encore merci pour ton aide et toute les infos. On voit le bout du tunnel !
Voila j'ai désinstallé COMBOFIX et Avast.
J'ai installé Antivir qui a visiblement viré les derniers problèmes (il en a trouvé encore !) qui restaient
J'ai installé AVG AS, mis à jour. Il a trouvé que des cookies traceurs (supprimés)
Et pour le firewall, j'ai Zonealarm, c'est bien ça ?

Le seul problème qui reste est que je perds la connexion internet (Wifi et ethernet) après quelques minutes, je dois rebooter à chaque fois et ça reviens. Alors que tout est ok sur mon autre ordi, les 2 étant derrière la freebox en rooteur...



Voici le log ANTIVIRUS

Avira AntiVir Personal
Report file date: 17 июня 2008 г. 11:44

Scanning for 1338787 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: MON_BEL_ORDI

Version information:
BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56
AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37
LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23
LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58
ANTIVIR2.VDF : 7.0.4.195 2546176 Bytes 14/06/2008 09:41:43
ANTIVIR3.VDF : 7.0.4.207 97280 Bytes 17/06/2008 09:41:44
Engineversion : 8.1.0.55
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AESCRIPT.DLL : 8.1.0.40 266618 Bytes 17/06/2008 09:41:55
AESCN.DLL : 8.1.0.21 119156 Bytes 17/06/2008 09:41:54
AERDL.DLL : 8.1.0.20 418165 Bytes 17/06/2008 09:41:54
AEPACK.DLL : 8.1.1.5 364918 Bytes 17/06/2008 09:41:52
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 17/06/2008 09:41:51
AEHEUR.DLL : 8.1.0.30 1253750 Bytes 17/06/2008 09:41:50
AEHELP.DLL : 8.1.0.15 115063 Bytes 17/06/2008 09:41:48
AEGEN.DLL : 8.1.0.28 307572 Bytes 17/06/2008 09:41:47
AEEMU.DLL : 8.1.0.6 430451 Bytes 17/06/2008 09:41:46
AECORE.DLL : 8.1.0.31 168310 Bytes 17/06/2008 09:41:45
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53
AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47
AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: 17 июня 2008 г. 11:44

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'searchindexer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'snmp.exe' - '1' Module(s) have been scanned
Scan process 'tcpsvcs.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'imapi.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'inetinfo.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
30 processes with 30 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '20' files ).


Starting the file scan:

Begin scan in 'C:\' <Programmes>
C:\A426.tmp
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[NOTE] The file was moved to '488987aa.qua'!
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\488987aa.qua
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[NOTE] The file was moved to '488f87b3.qua'!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <D>


End of the scan: 17 июня 2008 г. 12:36
Used time: 52:40 min

The scan has been done completely.

7253 Scanning directories
369752 Files were scanned
2 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
2 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
369750 Files not concerned
8754 Archives were scanned
4 Warnings
2 Notes

Bien !

As-tu encore des symptômes anormaux ?

Salut Falkra,
Non tout fonctionne à merveille maintenant. Je dirai même que l'ordinateur est beaucoup plus rapide qu'avant l'infection par le virus. Il a retrouvé sa vélocité du début
Je te remercie encore infiniment pour ton aide, sans toi j'y serais jamais arrivé. J'avais déjà passé 2 jours a essayer d'enlever ce truc...

Super !

Tu peux désinstaller les outils utilisés. Pour ComboFix : entre combofix /u dans la boite exécuter du menu démarrer.
Après cela, efface ce dossier s'il existe encore.
C:\QooBox

Les autres, soit par ajout/suppression de programmes, soit en effaçant leur dossier.

Voici un peu de lecture, une compilation de conseils de prévention pour éviter une réinfection et sécuriser la machine.

Avast ne t'a pas protégé (du tout) tu peux le désinstaller et le remplacer par Antivir (free-av.com), tout aussi gratuit mais bien plus réactif depuis un moment, Antivir surclasse avast.
Tu peux le faire par le panneau de configuration / ajout-suppression de programmes.
Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel :
http://www.avast.com...ll-utility.html

Pour Antivir voici un lien de téléchargement direct :
http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Merci beacoup pour ton aide, c'est super que des gens comme toi existent !

De rien, ça fait plaisir, et on évite le reformatage, pfiou, le système revient de loin.