J'ai visiblement reçu la visite de Bagle -Résolu :-)

[Falkra]

Super.

 

On fait un nettoyage de fond (ça racle les résidus).

 

• Ouvre le bloc notes. Copie colle ceci dedans :
  

File::

C:\WINDOWS\system32\aciijsfi.dll

 

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a0069c0-8eb8-11db-8678-0012f0292d97}]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsService]

 

Driver::

DirectCicr

 

• Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
   
  
• Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  

• Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

Après ce rapport ajoute un nouveau HijackThis stp.

 

Note qu'Avast ne t'a protégé de rien de tout ça. Dramatique.

On va s'occuper aussi de ça.

[JohnDeuf]

Oui, je commence à comprendre qu'Avast c'est une grosse d...

 

J'ai rétabli le wiFi (erreur 1068) avec le patch pour redémarrer le service mais je perds la connexion après 1/4 environ. C'est peut être des reste de virus on verra ça à la fin quand tout sera réglé...

 

Résultats des dernières manip :

 

=========================================

COMBOFIX

=========================================

 

ComboFix 08-06-15.4 - Nobru 2008-06-17 10:47:40.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.198 [GMT 2:00]

Endroit: C:\Documents and Settings\Nobru\Bureau\Combo-Fix.exe

Command switches used :: C:\Documents and Settings\Nobru\Bureau\CFScript

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\WINDOWS\system32\aciijsfi.dll

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_DIRECTCICR

-------\Service_DirectCicr

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-17 to 2008-06-17 ))))))))))))))))))))))))))))))))))))

.

 

2008-06-16 11:15 . 2008-06-16 11:15 <REP> d-------- C:\Documents and Settings\Nobru\Application Data\Malwarebytes

2008-06-16 11:14 . 2008-06-16 11:15 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-06-16 11:14 . 2008-06-16 11:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-06-16 11:14 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-06-16 11:14 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-06-16 10:29 . 2008-06-16 10:31 <REP> d-------- C:\Program Files\Opera

2008-06-15 18:36 . 2008-06-15 18:36 <REP> d-------- C:\_OTMoveIt

2008-06-14 21:59 . 2008-06-14 21:59 <REP> d-------- C:\Program Files\AVG Anti-Rootkit Free

2008-06-14 20:11 . 2008-06-14 20:11 <REP> d-------- C:\Program Files\SpywareBlaster

2008-05-31 18:25 . 2008-06-10 13:02 <REP> d-------- C:\Program Files\Password Spectator

2008-05-29 12:23 . 2008-05-29 12:24 322,794 --a------ C:\Temp\attachments_2008_05_29.zip

2008-05-22 22:44 . 2008-05-22 22:44 <REP> d-------- C:\Documents and Settings\Nobru\Application Data\G‚n‚atique2007

2008-05-22 22:22 . 2008-05-22 22:22 <REP> d-------- C:\Program Files\Tracker Software

2008-05-22 22:22 . 2006-01-30 09:32 5,632 --a------ C:\WINDOWS\system32\pxc25pm.dll

2008-05-22 22:20 . 2008-05-31 13:48 <REP> d-------- C:\Program Files\Geneatique2007

2008-05-22 22:20 . 2003-03-19 07:04 127,488 --a------ C:\WINDOWS\system32\bcbsmp60.bpl

2008-05-22 21:35 . 2008-05-22 21:39 <REP> d-------- C:\Documents and Settings\Nobru\Application Data\BSD Concept

2008-05-22 21:34 . 2008-05-31 11:47 <REP> d-------- C:\Program Files\Heredis 10

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-16 20:45 --------- d-----w C:\Program Files\Avast4

2008-06-10 20:41 108,156,960 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat

2008-06-10 20:41 1,098,488 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx

2008-06-10 20:27 --------- d-----w C:\Program Files\nbpro

2008-06-10 10:52 --------- d-----w C:\Program Files\eDonkey2000

2008-05-31 16:48 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP

2008-05-31 16:03 --------- d-----w C:\Program Files\WinWSD - WebSite Downloader

2008-05-22 20:44 --------- d-----w C:\Documents and Settings\Nobru\Application Data\Généatique2007

2008-04-27 10:56 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2008-04-27 10:56 --------- d-----w C:\Documents and Settings\JulietteDeLaNeuvilet\Application Data\My Games

2008-04-27 10:48 --------- d-----w C:\Documents and Settings\JulietteDeLaNeuvilet\Application Data\InstallShield Installation Information

2008-04-27 10:48 --------- d-----w C:\Documents and Settings\JulietteDeLaNeuvilet\Application Data\Firaxis Games

2008-04-26 20:19 --------- d-----w C:\Program Files\pese_courrier

2008-04-18 12:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-04-17 19:42 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-04-17 19:38 691,545 ----a-w C:\WINDOWS\unins000.exe

2008-04-17 19:32 --------- d-----w C:\Program Files\Ad-Aware SE Professional

2008-04-17 18:56 --------- d-----w C:\Program Files\Hijackthis 1.99

2008-04-17 18:49 --------- d-----w C:\Program Files\Google

2008-04-17 18:21 --------- d-----w C:\Program Files\WMR11

2008-04-17 17:57 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-17 17:54 --------- d-----w C:\Program Files\Pinnacle

2008-04-17 17:26 --------- d-----w C:\Documents and Settings\Nobru\Application Data\DNA

2007-10-26 16:53 86,640 ----a-w C:\Documents and Settings\Nobru\Application Data\GDIPFONTCACHEV1.DAT

2006-05-29 14:40 7,296,000 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll

2005-08-23 19:58 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin

2005-12-07 20:13 80 --sh--r C:\WINDOWS\system32\05C037E2A1.dll

2007-10-19 19:32 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012007101920071020\index.dat

.

 

------- Sigcheck -------

 

2004-08-19 16:09 578048 61c8c283ad063bb697ae61a155c64a5a C:\WINDOWS\ServicePackFiles\i386\user32.dll

2007-03-08 17:37 578560 753354f594809a9b96f73999b435a533 C:\WINDOWS\system32\user32.dll

2007-03-08 17:37 578560 753354f594809a9b96f73999b435a533 C:\WINDOWS\system32\dllcache\user32.dll

 

2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\TCPIP.SYS

2007-11-16 02:21 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\system32\dllcache\TCPIP.SYS

2007-11-16 02:21 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\system32\drivers\TCPIP.SYS

 

2004-08-19 16:10 506368 123eea158f74d0f67a51dcdf065d1091 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe

2004-08-14 01:07 506880 1d5b0b4d441f8543b0e899adadb83356 C:\WINDOWS\system32\winlogon.exe

 

2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe

2004-08-19 16:04 2058880 f252fae094c54572ece38a039f2103c4 C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe

2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\system32\ntkrnlpa.exe

2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

 

2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe

2004-08-19 16:04 2183040 7d38ce4398e6aa6339b4644feadcc0d8 C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe

2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\system32\ntoskrnl.exe

2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\system32\dllcache\ntoskrnl.exe

.

((((((((((((((((((((((((((((( snapshot@2008-06-16_22.51.49.82 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-06-16 20:46:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-06-17 08:52:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat

- 2008-06-16 20:46:24 224,300 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin

+ 2008-06-17 08:53:00 224,300 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin

- 2008-06-16 20:48:46 81,930 ----a-w C:\WINDOWS\system32\perfc009.dat

+ 2008-06-17 07:42:40 81,930 ----a-w C:\WINDOWS\system32\perfc009.dat

- 2008-06-16 20:48:47 105,992 ----a-w C:\WINDOWS\system32\perfc00C.dat

+ 2008-06-17 07:42:40 105,992 ----a-w C:\WINDOWS\system32\perfc00C.dat

- 2008-06-16 20:48:47 452,928 ----a-w C:\WINDOWS\system32\perfh009.dat

+ 2008-06-17 07:42:40 452,928 ----a-w C:\WINDOWS\system32\perfh009.dat

- 2008-06-16 20:48:47 548,056 ----a-w C:\WINDOWS\system32\perfh00C.dat

+ 2008-06-17 07:42:40 548,056 ----a-w C:\WINDOWS\system32\perfh00C.dat

+ 2008-06-17 08:52:45 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_160.dat

+ 2008-06-17 08:53:00 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_790.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-11-23 09:56 5406720]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-09-23 14:19 286720]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoLogOff"= 0 (0x0)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MSACM.CEGSM"= mobilev.acm

"vidc.xvid"= xvid.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

--a------ 2004-10-13 09:00 57344 C:\WINDOWS\ALCMTR.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]

C:\WINDOWS\system32\LVCOMSX.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3587:TCP"= 3587:TCP:Groupement homologue Windows

"3540:UDP"= 3540:UDP:Protocole PNRP (Peer Name Resolution Protocol)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

R3 SPI;Sony Programmable I/O Control Device;C:\WINDOWS\system32\DRIVERS\SonyPI.sys [2002-08-20 04:59]

S3 p2pgasvc;Authentification de groupe réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-19 16:10]

S3 p2pimsvc;Gestionnaire d'identité réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-19 16:10]

S3 p2psvc;Réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-19 16:10]

S3 PNRPSvc;Protocole de résolution de noms d'homologues;C:\WINDOWS\system32\svchost.exe [2004-08-19 16:10]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-01-23 07:21:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

"2008-06-16 18:00:08 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"

- C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe

"2008-06-17 08:55:02 C:\WINDOWS\Tasks\Symantec NetDetect.job"

- C:\Program Files\Symantec\LiveUpdate\NDetect.exe

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-17 10:54:30

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\DirectCicr]

"ImagePath"="c:\windows\system32\directx.exe"

.

Temps d'accomplissement: 2008-06-17 10:58:34

ComboFix-quarantined-files.txt 2008-06-17 08:58:30

ComboFix2.txt 2008-06-16 20:52:41

 

Pre-Run: 4,638,220,288 octets libres

Post-Run: 4,582,735,872 octets libres

 

173 --- E O F --- 2007-11-15 10:21:38

 

 

 

=========================================

HIJACKTHIS

=========================================

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:00:03, on 17/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\WINDOWS\system32\imapi.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Documents and Settings\Nobru\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lefigaro.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.1.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe

O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 3942 bytes

[Falkra]

Le rapport est clean.

 

 

Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore.

C:\QooBox

A faire en premier, parce qu'après on va scanner le disque, et il contient ce qu'il a effacé.

 

 

Ensuite vire Avast et remplace-le par Antivir, tout aussi gratuit mais bien plus réactif depuis un moment, Antivir surclasse avast.

 

Tu peux le faire par le panneau de configuration / ajout-suppression de programmes.

Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel :

http://www.avast.com/fre/avast-uninstall-utility.html

 

Pour Antivir voici un lien de téléchargement direct :

http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe

 

Si tu as besoin de tutos, je fournis.

Pour Spybot, n'utilise pas teaTimer (il n'est pas actif, mais ne l'active pas). Tu peux le garder comme solution de rechange, mais il n'est plus très vaillant.

 

Je te recommande plutôt AVG-AS, ou même (si si) windows Defender si tu veux un module qui scanne à l''arrière plan, sinon il y a Ewido Micro Scanner qui utilise la base de données d'AVG, qui est très bien.

Attention à l'empilement, un seul résident sur chaque domaine à la fois.

 

Commençons par le plus simple, désinstalle avast, installe antivir, mets-le à jour et fais un scan complet de la machine. Si des éléments sont trouvés, mets en quarantaine (quarantine), on peut à la première détection automatiser cette opération via une case à cocher, pour que les éléments suivants aillent aussi en quarantaine, ça permet de ne pas avoir à surveiller tout le temps, le scan peut être long.

[JohnDeuf]

Salut,

Encore merci pour ton aide et toute les infos. On voit le bout du tunnel !

Voila j'ai désinstallé COMBOFIX et Avast.

J'ai installé Antivir qui a visiblement viré les derniers problèmes (il en a trouvé encore !) qui restaient

J'ai installé AVG AS, mis à jour. Il a trouvé que des cookies traceurs (supprimés)

Et pour le firewall, j'ai Zonealarm, c'est bien ça ?

 

Le seul problème qui reste est que je perds la connexion internet (Wifi et ethernet) après quelques minutes, je dois rebooter à chaque fois et ça reviens. Alors que tout est ok sur mon autre ordi, les 2 étant derrière la freebox en rooteur...

 

 

 

Voici le log ANTIVIRUS

 

Avira AntiVir Personal

Report file date: 17 июня 2008 г. 11:44

 

Scanning for 1338787 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Boot mode: Normally booted

Username: SYSTEM

Computer name: MON_BEL_ORDI

 

Version information:

BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00

AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56

AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37

LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23

LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34

ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58

ANTIVIR2.VDF : 7.0.4.195 2546176 Bytes 14/06/2008 09:41:43

ANTIVIR3.VDF : 7.0.4.207 97280 Bytes 17/06/2008 09:41:44

Engineversion : 8.1.0.55

AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21

AESCRIPT.DLL : 8.1.0.40 266618 Bytes 17/06/2008 09:41:55

AESCN.DLL : 8.1.0.21 119156 Bytes 17/06/2008 09:41:54

AERDL.DLL : 8.1.0.20 418165 Bytes 17/06/2008 09:41:54

AEPACK.DLL : 8.1.1.5 364918 Bytes 17/06/2008 09:41:52

AEOFFICE.DLL : 8.1.0.18 192890 Bytes 17/06/2008 09:41:51

AEHEUR.DLL : 8.1.0.30 1253750 Bytes 17/06/2008 09:41:50

AEHELP.DLL : 8.1.0.15 115063 Bytes 17/06/2008 09:41:48

AEGEN.DLL : 8.1.0.28 307572 Bytes 17/06/2008 09:41:47

AEEMU.DLL : 8.1.0.6 430451 Bytes 17/06/2008 09:41:46

AECORE.DLL : 8.1.0.31 168310 Bytes 17/06/2008 09:41:45

AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53

AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47

AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23

AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10

RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25

RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:, D:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: 17 июня 2008 г. 11:44

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'wscntfy.exe' - '1' Module(s) have been scanned

Scan process 'searchindexer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'snmp.exe' - '1' Module(s) have been scanned

Scan process 'tcpsvcs.exe' - '1' Module(s) have been scanned

Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned

Scan process 'imapi.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'inetinfo.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

30 processes with 30 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

Master boot sector HD1

[iNFO] No virus was found!

[WARNING] Le périphérique n'est pas prêt.

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

Boot sector 'D:\'

[iNFO] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '20' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <Programmes>

C:\A426.tmp

[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen

[NOTE] The file was moved to '488987aa.qua'!

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\488987aa.qua

[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen

[NOTE] The file was moved to '488f87b3.qua'!

C:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

Begin scan in 'D:\' <D>

 

 

End of the scan: 17 июня 2008 г. 12:36

Used time: 52:40 min

 

The scan has been done completely.

 

7253 Scanning directories

369752 Files were scanned

2 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

2 files were moved to quarantine

0 files were renamed

3 Files cannot be scanned

369750 Files not concerned

8754 Archives were scanned

4 Warnings

2 Notes

[Falkra]

Bien !

 

As-tu encore des symptômes anormaux ?

[JohnDeuf]

Salut Falkra,

Non tout fonctionne à merveille maintenant. Je dirai même que l'ordinateur est beaucoup plus rapide qu'avant l'infection par le virus. Il a retrouvé sa vélocité du début

Je te remercie encore infiniment pour ton aide, sans toi j'y serais jamais arrivé. J'avais déjà passé 2 jours a essayer d'enlever ce truc...

[Falkra]

Super !

 

Tu peux désinstaller les outils utilisés. Pour ComboFix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore.

C:\QooBox

 

Les autres, soit par ajout/suppression de programmes, soit en effaçant leur dossier.

 

Voici un peu de lecture, une compilation de conseils de prévention pour éviter une réinfection et sécuriser la machine.

 

Avast ne t'a pas protégé (du tout) tu peux le désinstaller et le remplacer par Antivir (free-av.com), tout aussi gratuit mais bien plus réactif depuis un moment, Antivir surclasse avast.

Tu peux le faire par le panneau de configuration / ajout-suppression de programmes.

Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel :

http://www.avast.com/fre/avast-uninstall-utility.html

 

Pour Antivir voici un lien de téléchargement direct :

http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

[JohnDeuf]

Merci beacoup pour ton aide, c'est super que des gens comme toi existent !

[Falkra]

De rien, ça fait plaisir, et on évite le reformatage, pfiou, le système revient de loin.