[Résolu]Virus Kavo Trojan-PSW.Win32.OnLineGames.rnp

par **dav79** » 03 Mar 2008, 21:21

Bonjour à tous,

Je viens d'être infecter par le virus kavo sur Windows, en cherchant sur Internet j'ai vu qu'il avait un programmae qui permettait de l'éradiquer, c'est kavo_killer.exe.

Voici mon problème j'ai deux pc, j'ai appliqué la procédure (démarer au mode sans échec, brancher ces périphériques usb...) pour supprimer ce virus sur mon premier pc, en démarant en mode sans échec pas de problème pour cer pc ou j'ai xp pro. Le virus apparmant a été supprimé.

Par contre, pour mon deuxième j'ai un problème car je n'arrive à démarer en mode sans échec sur xp pro sp2. En effet j'ai sur ce pc, un triple boot, qui est géré Grub : OpenSuse, Vista et XP, dans cette ordre là.

Au départ je choisi mon boot entre Opensue et Windows. Ensuite je choisie entre Vista et xp pro, le problème c'est quand je me positionne sur xp et que je fait F8 pour démarer en mode sans échec je ne peux pas. Pas d'option avancé sur xp par contre sur Vista pas de problème. Donc si j'exécute le programme sur xp au mode normal, je suppose que ça ne va pas supprimé le virus correctement, comment je peux faire pour démarer en mode sans échec sur xp pro?

Sachant que xp pro est en deuxième position après vista. Je croix que j'aurai du faire le contraire. Positionner XP en 1er pour éviter ce problème, je sais pas si c'est possible de modifier l'ordre de boot. Sans tout caser son système.

Merci de votre aide, d'avance

dav79

par **Marie** » 03 Mar 2008, 21:32

Bonjour et bienvenue sur le forum :sourire:

Je ne connais pas kavo_killer.exe et Google ne retourne pas beaucoup d'infos sur cet outil.

:arrow:

Génère un rapport HijackThis comme indiqué dans ce topic et poste le dans ta prochaine réponse.

par **dav79** » 03 Mar 2008, 22:28

Merci pour ta réponse rapide Marie,
Est qu'elle est possible de démarer en mode sans échec avec windows XP, quand on est en multiboot et que vista et en premier sur le boot ?

Voici le rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:44, on 03/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\ZoneLabs\vsmon.exe
I:\WINDOWS\Explorer.EXE
I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
I:\Program Files\Alwil Software\Avast4\ashServ.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\crypserv.exe
I:\WINDOWS\system32\inetsrv\inetinfo.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
I:\WINDOWS\system32\wscntfy.exe
I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
I:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
I:\Program Files\ZoomText 9.0\Zt.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\Internet Explorer\IEXPLORE.EXE
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AH IE BHO - {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - I:\Program Files\ZoomText 9.0\AHOI\ah_ie_bho.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "I:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] I:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] I:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kava] I:\WINDOWS\system32\kavo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - I:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - I:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3960 bytes

par **Marie** » 03 Mar 2008, 23:06

Ce virus se propage par l'intermédiaire de disques amovibles (Clés USB, lecteurs MP3, Disque dur externe ...).
Donc pour désinfecter il faut désinfecter, à la fois, ton PC mais aussi et surtout tous tes disques amovibles.

:arrow:

Branche sur ton PC (et mets sous tension, si nécessaire), tous les disques amovibles dont tu disposes.
Ne double-clique pas dessus pour les ouvrir. Le seul fait de double-cliquer sur un lecteur infecté réinstalle l'infection.

:arrow:

Désactive tous tes logiciels de sécurité le temps de télécharger et exécuter ComboFix. Ceci afin qu'ils ne gênent pas l'outil quand il travaille.

Télécharge ComboFix de sUBs sur ton bureau.
Consulte ce tuto détaillé sur l'utilisation de ComboFix. Il t'explique dans le détail ce que tu dois faire et ne pas faire durant le scan.
Ferme toutes les fenêtres de tous les programmes en cours d'exécution.
Double-clique sur ComboFix.exe pour le lancer.
A la question qu'il te pose, tape sur la touche 1 pour démarrer le scan.
Patiente le temps que ComboFix travaille sans l'interrompre et sans rien toucher. (Ne clique pas dans la fenêtre de ComboFix quand il est en train de s'exècuter: Ca pourrait planter Windows)
A la fin du scan, un rapport va être généré: C:\ComboFix.txt
Poste ce rapport dans ta prochaine réponse.

Est qu'elle est possible de démarer en mode sans échec avec windows XP, quand on est en multiboot et que vista et en premier sur le boot ?

Oui, c'est possible.

Va dans Panneau de configuration/système/onglet Avancé.
Sous la rubrique Démarrage et récupération, clique sur Paramètres.
Dans le champ Afficher les options de récupération pendant, combien as tu de secondes?
En cas, passe à 30 secondes comme dans la capture suivante:
Essaie ensuite le démarrage de XP en mode sans échec et dis moi si ça marche.

par **dav79** » 04 Mar 2008, 00:12

En fait j'ai essayé de faire la procédure pour faire un démarrage de récupération, mais je me suis aperçu par défaut que le paramètrage et le même que vous m'avez indiquer.

Par contre j'ai d'autre réponse sur un forum, l'autre solution est de faire un démarage en mode diagnostique, à paramants sans ressemble en mode sans echec. Pour cela j'ai un fait un msconfig, puis ensuite j'ai exécuter mon programme Killer_kavo.exe,

Voici le nouveau rapport, HijakThis, après l'exécution du programme killer-kavo.exe, il y a-t-il besoin d'effectuer la procédure avec comboFix?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:08:54, on 04/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\ZoneLabs\vsmon.exe
I:\WINDOWS\Explorer.EXE
I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
I:\Program Files\Alwil Software\Avast4\ashServ.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\crypserv.exe
I:\WINDOWS\system32\inetsrv\inetinfo.exe
I:\WINDOWS\system32\nvsvc32.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\wscntfy.exe
I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
I:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\ZoomText 9.0\Zt.exe
I:\Program Files\Internet Explorer\IEXPLORE.EXE
I:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AH IE BHO - {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - I:\Program Files\ZoomText 9.0\AHOI\ah_ie_bho.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "I:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [JMB36X IDE Setup] I:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [avast!] I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [36X Raid Configurer] I:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKCU\..\Run: [kava] I:\WINDOWS\system32\kavo.exe
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - I:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - I:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3960 bytes

par **dav79** » 04 Mar 2008, 03:50

Finallement, j'ai effectuer la procédrue ComboFix vraiment être sûr que tu va bien sur mon ordinateur, confirmer le rapport de log est bon, s'll vous plait.

Voici le rapport du log

ComboFix 08-03-04.1 - dbolard 2008-03-04 3:16:42.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1667 [GMT 1:00]
Endroit: I:\DONNEES\Nouveau logiciel\ComboFix (d'insecfection)\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

I:\WINDOWS\system32\Cache
I:\WINDOWS\system32\kavo0.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-04 to 2008-03-04 ))))))))))))))))))))))))))))))))))))
.

2008-03-04 03:03 . 2006-10-17 17:07 110,592 --a------ I:\WINDOWS\system32\Zosf.dll
2008-03-04 02:08 . 2008-03-04 02:37 <REP> d-------- I:\Program Files\totalcmd
2008-03-04 02:08 . 2008-03-04 02:38 854 --a------ I:\WINDOWS\wincmd.ini
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\UC.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\RAR.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\PKZIP.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\PKUNZIP.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\NOCLOSE.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\LHA.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\ARJ.PIF
2008-03-03 22:41 . 2008-03-03 22:41 <REP> d-------- I:\Program Files\MSXML 6.0
2008-03-03 22:23 . 2008-03-03 22:23 <REP> d-------- I:\Program Files\Trend Micro
2008-02-29 01:35 . 2008-02-29 01:35 <REP> d-------- I:\WINDOWS\IIS Temporary Compressed Files
2008-02-29 01:33 . 2004-08-05 13:00 2,134,528 --a--c--- I:\WINDOWS\system32\dllcache\smtpsnap.dll
2008-02-29 01:31 . 2008-02-29 01:31 <REP> d-------- I:\Documents and Settings\dbolard\Application Data\AdobeUM
2008-02-28 17:29 . 2008-02-29 01:25 <REP> d-------- I:\WINDOWS\SxsCaPendDel
2008-02-28 17:19 . 2007-02-28 17:02 2,182,400 -----c--- I:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-02-28 17:19 . 2007-02-28 17:02 2,138,112 -----c--- I:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-02-28 17:19 . 2007-02-28 17:02 2,059,648 -----c--- I:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-02-28 17:19 . 2007-02-28 17:02 2,017,792 -----c--- I:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-02-28 17:15 . 2006-05-05 10:41 453,120 -----c--- I:\WINDOWS\system32\dllcache\mrxsmb.sys
2008-02-28 17:12 . 2008-03-04 03:03 <REP> d--h----- I:\WINDOWS\$hf_mig$
2008-02-28 16:41 . 2008-02-28 16:41 <REP> d-------- I:\WINDOWS\system32\Logfiles
2008-02-28 16:41 . 2008-02-29 01:35 <REP> d-------- I:\Inetpub
2008-02-28 16:34 . 2008-02-29 01:30 <REP> d-------- I:\Program Files\Fichiers communs\Adobe
2008-02-28 16:32 . 2008-02-28 16:33 <REP> d-------- I:\Program Files\Google
2008-02-28 03:20 . 2008-02-28 03:20 <REP> d----c--- I:\WINDOWS\system32\DRVSTORE
2008-02-28 03:20 . 2007-08-27 11:12 2,777,088 --a------ I:\WINDOWS\system32\NETw4r32.dll
2008-02-28 03:20 . 2007-09-26 06:01 2,236,032 --a------ I:\WINDOWS\system32\drivers\NETw4x32.sys
2008-02-28 03:20 . 2007-08-27 11:12 745,472 --a------ I:\WINDOWS\system32\NETw4c32.dll
2008-02-27 13:16 . 2004-08-03 23:10 51,328 --a------ I:\WINDOWS\system32\drivers\msdv.sys
2008-02-27 13:16 . 2004-08-03 23:10 51,328 --a--c--- I:\WINDOWS\system32\dllcache\msdv.sys
2008-02-27 13:16 . 2004-08-03 23:10 48,128 --a------ I:\WINDOWS\system32\drivers\61883.sys
2008-02-27 13:16 . 2004-08-03 23:10 48,128 --a--c--- I:\WINDOWS\system32\dllcache\61883.sys
2008-02-27 13:16 . 2004-08-03 23:10 38,912 --a------ I:\WINDOWS\system32\drivers\avc.sys
2008-02-27 13:16 . 2004-08-03 23:10 38,912 --a--c--- I:\WINDOWS\system32\dllcache\avc.sys
2008-02-27 11:53 . 2008-02-29 12:54 <REP> d-------- I:\DONNEES
2008-02-27 11:43 . 2005-03-08 18:37 225,280 --------- I:\WINDOWS\MultiUninstall.exe
2008-02-27 11:41 . 2008-02-27 11:43 <REP> d-------- I:\Program Files\Larousse
2008-02-27 11:36 . 2003-06-19 01:31 17,920 --a------ I:\WINDOWS\system32\mdimon.dll
2008-02-27 11:35 . 2008-02-27 11:35 <REP> d-------- I:\WINDOWS\SHELLNEW
2008-02-27 02:46 . 2008-02-27 02:46 <REP> d-------- I:\Program Files\Smart Projects
2008-02-27 02:43 . 2008-02-27 02:43 <REP> d-------- I:\Program Files\Thales
2008-02-27 02:23 . 2008-02-28 00:47 <REP> d-------- I:\WINDOWS\JM
2008-02-27 02:23 . 2008-02-27 02:23 <REP> d-------- I:\JM
2008-02-27 02:23 . 2007-01-08 13:35 1,953,792 --a------ I:\WINDOWS\system32\JMRaidSetup.exe
2008-02-27 02:23 . 2007-01-08 12:39 139,264 --a------ I:\WINDOWS\system32\JMRaidAPI.dll
2008-02-27 02:23 . 2007-01-17 18:44 43,008 --a------ I:\WINDOWS\system32\drivers\jraid.sys
2008-02-27 02:23 . 2006-02-07 19:52 6,912 --a------ I:\WINDOWS\system32\drivers\JGOGO.sys
2008-02-27 02:15 . 2008-02-27 02:15 <REP> d-------- I:\Program Files\eduroamua
2008-02-27 01:57 . 2008-02-27 01:57 <REP> d-------- I:\Program Files\MSDN
2008-02-27 01:49 . 2008-02-27 01:54 <REP> d-------- I:\Program Files\Microsoft SQL Server
2008-02-27 01:49 . 2008-02-27 01:49 <REP> d-------- I:\Program Files\Microsoft Device Emulator
2008-02-27 01:48 . 2008-02-27 01:48 <REP> d-------- I:\Program Files\Microsoft SQL Server 2005 Mobile Edition
2008-02-27 01:44 . 2008-02-27 11:36 526 --a------ I:\WINDOWS\ODBC.INI
2008-02-27 01:42 . 2008-02-27 01:42 <REP> d-------- I:\WINDOWS\system32\3082
2008-02-27 01:42 . 2008-02-27 01:42 <REP> d-------- I:\Program Files\MSBuild
2008-02-27 01:36 . 2008-02-27 01:36 <REP> d-------- I:\WINDOWS\Symbols
2008-02-27 01:36 . 2008-02-27 01:51 <REP> d-------- I:\Program Files\Microsoft.NET
2008-02-27 01:36 . 2008-02-27 01:42 <REP> d-------- I:\Program Files\HTML Help Workshop
2008-02-27 01:36 . 2008-02-27 01:41 <REP> d-------- I:\Program Files\Fichiers communs\Merge Modules
2008-02-27 01:36 . 2008-02-27 01:37 <REP> d-------- I:\Program Files\Fichiers communs\Business Objects
2008-02-27 01:36 . 2008-02-27 01:36 <REP> d-------- I:\Program Files\CE Remote Tools
2008-02-27 01:36 . 2008-02-27 01:36 <REP> d-------- I:\Documents and Settings\All Users\Application Data\PreEmptive Solutions
2008-02-27 01:30 . 2008-02-27 01:42 <REP> d-------- I:\Program Files\Microsoft Visual Studio 8
2008-02-27 01:30 . 2008-02-27 02:02 <REP> d-------- I:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-02-26 18:38 . 2007-06-21 21:55 54,672 --a------ I:\WINDOWS\system32\vsutil_loc040c.dll
2008-02-26 18:38 . 2008-03-04 03:08 4,212 ---h----- I:\WINDOWS\system32\zllictbl.dat
2008-02-26 18:37 . 2008-02-26 18:37 <REP> d-------- I:\Program Files\Zone Labs
2008-02-26 18:35 . 2008-03-04 03:14 <REP> d-------- I:\WINDOWS\Internet Logs
2008-02-26 18:34 . 2008-02-26 18:34 <REP> d-------- I:\Program Files\Alwil Software
2008-02-26 18:34 . 2007-12-04 14:04 837,496 --a------ I:\WINDOWS\system32\aswBoot.exe
2008-02-26 18:34 . 2003-03-18 20:14 499,712 --a------ I:\WINDOWS\system32\MSVCP71.dll
2008-02-26 18:34 . 2004-01-09 10:13 380,928 --a------ I:\WINDOWS\system32\actskin4.ocx
2008-02-26 18:34 . 2007-12-04 13:54 95,608 --a------ I:\WINDOWS\system32\AvastSS.scr
2008-02-26 18:34 . 2007-12-04 15:55 94,544 --a------ I:\WINDOWS\system32\drivers\aswmon2.sys
2008-02-26 18:34 . 2007-12-04 15:56 93,264 --a------ I:\WINDOWS\system32\drivers\aswmon.sys
2008-02-26 18:34 . 2007-12-04 15:51 42,912 --a------ I:\WINDOWS\system32\drivers\aswTdi.sys
2008-02-26 18:34 . 2007-12-04 15:49 26,624 --a------ I:\WINDOWS\system32\drivers\aavmker4.sys
2008-02-26 18:34 . 2007-12-04 15:53 23,152 --a------ I:\WINDOWS\system32\drivers\aswRdr.sys
2008-02-26 15:38 . 2008-02-26 15:38 13,678 --a------ I:\WINDOWS\system32\wpa.bak
2008-02-26 15:35 . 2008-02-26 15:35 <REP> d--hs---- I:\AX NF ZZ
2008-02-26 15:32 . 2008-02-26 15:33 2,240 --a------ I:\WINDOWS\system32\esnecil.nlp
2008-02-26 15:32 . 2008-02-26 16:00 2,240 --a------ I:\WINDOWS\system32\esnecil.ind
2008-02-26 15:32 . 2008-02-26 15:33 4 --a------ I:\WINDOWS\vx86036.dat
2008-02-26 15:32 . 2008-02-26 15:32 4 --a------ I:\WINDOWS\CKSNNT.flg
2008-02-26 15:30 . 2008-02-26 15:30 <REP> d-------- I:\Program Files\VW
2008-02-26 15:30 . 2008-02-26 15:30 <REP> d-------- I:\Program Files\ViaVoiceTTS
2008-02-26 15:30 . 2007-05-22 22:35 5,466,368 --a------ I:\WINDOWS\system32\dcmc0d0.dll
2008-02-26 15:30 . 1999-06-18 22:49 165,888 --a------ I:\WINDOWS\Ckconfig.exe
2008-02-26 15:30 . 2004-04-15 23:07 73,728 --a------ I:\WINDOWS\system32\Crypserv.exe
2008-02-26 15:30 . 2004-07-30 01:35 31,654 --a------ I:\WINDOWS\system32\Ckldrv.sys
2008-02-26 15:30 . 1996-05-03 18:21 27,648 -ra------ I:\WINDOWS\Setup_ck.exe
2008-02-26 15:30 . 1996-05-03 16:36 18,432 --a------ I:\WINDOWS\Setup_ck.dll
2008-02-26 15:30 . 1995-07-04 19:33 11,776 --a------ I:\WINDOWS\Ckrfresh.exe
2008-02-26 15:30 . 2008-02-26 15:30 46 --a------ I:\WINDOWS\Crypkey.ini
2008-02-26 15:29 . 2008-03-04 03:07 <REP> d-------- I:\Program Files\ZoomText 9.0
2008-02-26 15:28 . 2008-02-26 15:28 <REP> d-------- I:\WINDOWS\Speech
2008-02-26 15:28 . 2008-02-27 11:41 <REP> d--h----- I:\Program Files\InstallShield Installation Information
2008-02-26 15:28 . 2005-11-10 16:09 1,060,864 --a------ I:\WINDOWS\system32\MFC71.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-28 15:14 888,885 ----a-w I:\WINDOWS\Internet Logs\tvDebug.zip
2008-02-22 22:25 --------- d-----w I:\Program Files\microsoft frontpage
2008-02-22 22:23 --------- d-----w I:\Program Files\Services en ligne
2007-12-07 01:07 663,552 ----a-w I:\WINDOWS\system32\wininet.dll
2007-12-04 18:41 550,912 ----a-w I:\WINDOWS\system32\oleaut32.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="I:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="I:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]
"nwiz"="nwiz.exe" [2007-05-22 22:35 1626112 I:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="I:\WINDOWS\system32\NvCpl.dll" [2007-05-22 22:35 8433664]
"JMB36X IDE Setup"="I:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 20:44 36864]
"avast!"="I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"36X Raid Configurer"="I:\WINDOWS\system32\JMRaidSetup.exe" [2007-01-08 13:35 1953792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="I:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

I:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 Ai2sXP;Ai2sXP;I:\WINDOWS\system32\drivers\Ai2sXP.sys [2006-10-17 16:32]
R2 SMTPSVC;Simple Mail Transfer Protocol (SMTP);I:\WINDOWS\system32\inetsrv\inetinfo.exe [2004-08-05 13:00]
S3 SQLWriter;Escritor VSS de SQL Server;"I:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2005-10-14 02:53]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;"i:\Program Files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c5a997fd-e195-11dc-a5c7-a3ca467c485c}]
\Shell\AutoRun\command - E:\tmf3w3g0.com
\Shell\explore\Command - E:\tmf3w3g0.com
\Shell\open\Command - E:\tmf3w3g0.com

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-04 03:19:53
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-03-04 3:20:20
ComboFix-quarantined-files.txt 2008-03-04 02:20:18
.
2008-03-04 02:03:23 --- E O F ---

Voilà merci, encore pour votre aide et votre disponibilité, tenez moi au courant si il y a encore des infections sur ma machine

dav79

par **Marie** » 04 Mar 2008, 09:09

Bonjour

Tu as bien fait de faire la procédure avec ComboFix.
Killer_kavo.exe n'est pas venu à bout de l'infection comme le prouve l'entrée O4 toujours présente dans ton log HijackThis:

O4 - HKCU\..\Run: [kava] I:\WINDOWS\system32\kavo.exe

ComboFix a supprimé le fichier mais il reste un petit nettoyage de registre à faire:

:arrow:

Tout d'abord, place ComboFix sur ton bureau. Pour cela fais un copier-coller de I:\DONNEES\Nouveau logiciel\ComboFix (d'insecfection)\ComboFix.exe sur ton bureau (Ne fais pas un envoyer vers ... Fais un copier-coller).

Ensuite désactive Avast pour qu'il ne gêne pas ComboFix quand il travaille.

:arrow:

Tous tes disques amovibles étant branchés sur le PC (et sous tension si nécessaire), ouvre le bloc-notes (Démarrer/Programmes/Accessoires/bloc-notes)

Sélectionne tout le texte dans le cadre ci-dessous et copie-colle le dans le bloc-notes.

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c5a997fd-e195-11dc-a5c7-a3ca467c485c}]
Sauvegarde ce fichier sous le nom de CFScript.txt sur ton bureau.
Fais un glisser/déposer de l'icone de ce fichier CFScript sur l'icone de ComboFix comme sur la capture:
Une fenêtre bleue va apparaître: A l'invite saisis 1 pour lancer le script.
Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: Poste son contenu dans ta prochaine réponse.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Tous tes disques amovibles branchés et sous tension, fais un scan antivirus en ligne chez Kaspersky.
Tu fais un scan complet du Poste de travail: tes disques amovibles doivent tous être scannés.
A la fin du scan, sauvegarde le rapport et poste le dans ta prochaine réponse.
Si besoin, consulte ce tuto pour lancer le scan.
Tu seras peut-être obligé de cliquer plusieurs fois sur J'accepte (à chaque fois que la page se présente) pour installer les contrôles ActiveX.
(Avast doit être désactivé le temps de l'installation des contrôles Active X).

On est presqu'au bout. :sourire:

par **dav79** » 05 Mar 2008, 02:29

Voici le nouveau rapport de CamboFix,

ComboFix 08-03-04.1 - dbolard 2008-03-04 20:44:32.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1636 [GMT 1:00]
Endroit: I:\Documents and Settings\dbolard\Bureau\ComboFix.exe
Command switches used :: I:\Documents and Settings\dbolard\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-04 to 2008-03-04 ))))))))))))))))))))))))))))))))))))
.

2008-03-04 16:59 . 2008-03-04 20:45 178,208 --ahs---- I:\WINDOWS\system32\drivers\fidbox.dat
2008-03-04 16:59 . 2008-03-04 19:05 2,228 --ahs---- I:\WINDOWS\system32\drivers\fidbox.idx
2008-03-04 16:55 . 2008-03-04 16:55 <REP> d-------- I:\Documents and Settings\All Users\Application Data\MailFrontier
2008-03-04 16:55 . 2007-12-13 19:27 54,672 --a------ I:\WINDOWS\system32\vsutil_loc040c.dll
2008-03-04 16:55 . 2007-12-13 19:27 42,384 --a------ I:\WINDOWS\zllsputility_loc040c.dll
2008-03-04 16:55 . 2007-12-13 19:27 21,904 --a------ I:\WINDOWS\system32\imsinstall_loc040c.dll
2008-03-04 16:55 . 2007-12-13 19:27 17,808 --a------ I:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-03-04 16:54 . 2008-03-04 16:54 <REP> d-------- I:\Program Files\Zone Labs
2008-03-04 03:03 . 2006-10-17 17:07 110,592 --a------ I:\WINDOWS\system32\Zosf.dll
2008-03-04 02:08 . 2008-03-04 02:37 <REP> d-------- I:\Program Files\totalcmd
2008-03-04 02:08 . 2008-03-04 02:38 854 --a------ I:\WINDOWS\wincmd.ini
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\UC.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\RAR.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\PKZIP.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\PKUNZIP.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\NOCLOSE.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\LHA.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\ARJ.PIF
2008-03-03 22:41 . 2008-03-03 22:41 <REP> d-------- I:\Program Files\MSXML 6.0
2008-03-03 22:23 . 2008-03-03 22:23 <REP> d-------- I:\Program Files\Trend Micro
2008-02-29 01:35 . 2008-02-29 01:35 <REP> d-------- I:\WINDOWS\IIS Temporary Compressed Files
2008-02-29 01:33 . 2004-08-05 13:00 2,134,528 --a--c--- I:\WINDOWS\system32\dllcache\smtpsnap.dll
2008-02-29 01:31 . 2008-02-29 01:31 <REP> d-------- I:\Documents and Settings\dbolard\Application Data\AdobeUM
2008-02-28 17:29 . 2008-02-29 01:25 <REP> d-------- I:\WINDOWS\SxsCaPendDel
2008-02-28 17:19 . 2007-02-28 17:02 2,182,400 -----c--- I:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-02-28 17:19 . 2007-02-28 17:02 2,138,112 -----c--- I:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-02-28 17:19 . 2007-02-28 17:02 2,059,648 -----c--- I:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-02-28 17:19 . 2007-02-28 17:02 2,017,792 -----c--- I:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-02-28 17:15 . 2006-05-05 10:41 453,120 -----c--- I:\WINDOWS\system32\dllcache\mrxsmb.sys
2008-02-28 17:12 . 2008-03-04 03:03 <REP> d--h----- I:\WINDOWS\$hf_mig$
2008-02-28 16:41 . 2008-02-28 16:41 <REP> d-------- I:\WINDOWS\system32\Logfiles
2008-02-28 16:41 . 2008-02-29 01:35 <REP> d-------- I:\Inetpub
2008-02-28 16:34 . 2008-02-29 01:30 <REP> d-------- I:\Program Files\Fichiers communs\Adobe
2008-02-28 16:32 . 2008-02-28 16:33 <REP> d-------- I:\Program Files\Google
2008-02-28 03:20 . 2008-02-28 03:20 <REP> d----c--- I:\WINDOWS\system32\DRVSTORE
2008-02-28 03:20 . 2007-08-27 11:12 2,777,088 --a------ I:\WINDOWS\system32\NETw4r32.dll
2008-02-28 03:20 . 2007-09-26 06:01 2,236,032 --a------ I:\WINDOWS\system32\drivers\NETw4x32.sys
2008-02-28 03:20 . 2007-08-27 11:12 745,472 --a------ I:\WINDOWS\system32\NETw4c32.dll
2008-02-27 13:16 . 2004-08-03 23:10 51,328 --a------ I:\WINDOWS\system32\drivers\msdv.sys
2008-02-27 13:16 . 2004-08-03 23:10 51,328 --a--c--- I:\WINDOWS\system32\dllcache\msdv.sys
2008-02-27 13:16 . 2004-08-03 23:10 48,128 --a------ I:\WINDOWS\system32\drivers\61883.sys
2008-02-27 13:16 . 2004-08-03 23:10 48,128 --a--c--- I:\WINDOWS\system32\dllcache\61883.sys
2008-02-27 13:16 . 2004-08-03 23:10 38,912 --a------ I:\WINDOWS\system32\drivers\avc.sys
2008-02-27 13:16 . 2004-08-03 23:10 38,912 --a--c--- I:\WINDOWS\system32\dllcache\avc.sys
2008-02-27 11:53 . 2008-03-04 03:25 <REP> d-------- I:\DONNEES
2008-02-27 11:43 . 2005-03-08 18:37 225,280 --------- I:\WINDOWS\MultiUninstall.exe
2008-02-27 11:41 . 2008-02-27 11:43 <REP> d-------- I:\Program Files\Larousse
2008-02-27 11:36 . 2003-06-19 01:31 17,920 --a------ I:\WINDOWS\system32\mdimon.dll
2008-02-27 11:35 . 2008-02-27 11:35 <REP> d-------- I:\WINDOWS\SHELLNEW
2008-02-27 02:46 . 2008-02-27 02:46 <REP> d-------- I:\Program Files\Smart Projects
2008-02-27 02:43 . 2008-02-27 02:43 <REP> d-------- I:\Program Files\Thales
2008-02-27 02:23 . 2008-02-28 00:47 <REP> d-------- I:\WINDOWS\JM
2008-02-27 02:23 . 2008-02-27 02:23 <REP> d-------- I:\JM
2008-02-27 02:23 . 2007-01-08 13:35 1,953,792 --a------ I:\WINDOWS\system32\JMRaidSetup.exe
2008-02-27 02:23 . 2007-01-08 12:39 139,264 --a------ I:\WINDOWS\system32\JMRaidAPI.dll
2008-02-27 02:23 . 2007-01-17 18:44 43,008 --a------ I:\WINDOWS\system32\drivers\jraid.sys
2008-02-27 02:23 . 2006-02-07 19:52 6,912 --a------ I:\WINDOWS\system32\drivers\JGOGO.sys
2008-02-27 02:15 . 2008-02-27 02:15 <REP> d-------- I:\Program Files\eduroamua
2008-02-27 01:57 . 2008-02-27 01:57 <REP> d-------- I:\Program Files\MSDN
2008-02-27 01:49 . 2008-02-27 01:54 <REP> d-------- I:\Program Files\Microsoft SQL Server
2008-02-27 01:49 . 2008-02-27 01:49 <REP> d-------- I:\Program Files\Microsoft Device Emulator
2008-02-27 01:48 . 2008-02-27 01:48 <REP> d-------- I:\Program Files\Microsoft SQL Server 2005 Mobile Edition
2008-02-27 01:44 . 2008-02-27 11:36 526 --a------ I:\WINDOWS\ODBC.INI
2008-02-27 01:42 . 2008-02-27 01:42 <REP> d-------- I:\WINDOWS\system32\3082
2008-02-27 01:42 . 2008-02-27 01:42 <REP> d-------- I:\Program Files\MSBuild
2008-02-27 01:36 . 2008-02-27 01:36 <REP> d-------- I:\WINDOWS\Symbols
2008-02-27 01:36 . 2008-02-27 01:51 <REP> d-------- I:\Program Files\Microsoft.NET
2008-02-27 01:36 . 2008-02-27 01:42 <REP> d-------- I:\Program Files\HTML Help Workshop
2008-02-27 01:36 . 2008-02-27 01:41 <REP> d-------- I:\Program Files\Fichiers communs\Merge Modules
2008-02-27 01:36 . 2008-02-27 01:37 <REP> d-------- I:\Program Files\Fichiers communs\Business Objects
2008-02-27 01:36 . 2008-02-27 01:36 <REP> d-------- I:\Program Files\CE Remote Tools
2008-02-27 01:36 . 2008-02-27 01:36 <REP> d-------- I:\Documents and Settings\All Users\Application Data\PreEmptive Solutions
2008-02-27 01:30 . 2008-02-27 01:42 <REP> d-------- I:\Program Files\Microsoft Visual Studio 8
2008-02-27 01:30 . 2008-02-27 02:02 <REP> d-------- I:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-02-26 18:38 . 2008-03-04 17:00 4,212 ---h----- I:\WINDOWS\system32\zllictbl.dat
2008-02-26 18:35 . 2008-03-04 20:34 <REP> d-------- I:\WINDOWS\Internet Logs
2008-02-26 18:34 . 2008-02-26 18:34 <REP> d-------- I:\Program Files\Alwil Software
2008-02-26 18:34 . 2007-12-04 14:04 837,496 --a------ I:\WINDOWS\system32\aswBoot.exe
2008-02-26 18:34 . 2003-03-18 20:14 499,712 --a------ I:\WINDOWS\system32\MSVCP71.dll
2008-02-26 18:34 . 2004-01-09 10:13 380,928 --a------ I:\WINDOWS\system32\actskin4.ocx
2008-02-26 18:34 . 2007-12-04 13:54 95,608 --a------ I:\WINDOWS\system32\AvastSS.scr
2008-02-26 18:34 . 2007-12-04 15:55 94,544 --a------ I:\WINDOWS\system32\drivers\aswmon2.sys
2008-02-26 18:34 . 2007-12-04 15:56 93,264 --a------ I:\WINDOWS\system32\drivers\aswmon.sys
2008-02-26 18:34 . 2007-12-04 15:51 42,912 --a------ I:\WINDOWS\system32\drivers\aswTdi.sys
2008-02-26 18:34 . 2007-12-04 15:49 26,624 --a------ I:\WINDOWS\system32\drivers\aavmker4.sys
2008-02-26 18:34 . 2007-12-04 15:53 23,152 --a------ I:\WINDOWS\system32\drivers\aswRdr.sys
2008-02-26 15:38 . 2008-02-26 15:38 13,678 --a------ I:\WINDOWS\system32\wpa.bak
2008-02-26 15:35 . 2008-02-26 15:35 <REP> d--hs---- I:\AX NF ZZ
2008-02-26 15:32 . 2008-02-26 15:33 2,240 --a------ I:\WINDOWS\system32\esnecil.nlp
2008-02-26 15:32 . 2008-02-26 16:00 2,240 --a------ I:\WINDOWS\system32\esnecil.ind
2008-02-26 15:32 . 2008-02-26 15:33 4 --a------ I:\WINDOWS\vx86036.dat
2008-02-26 15:32 . 2008-02-26 15:32 4 --a------ I:\WINDOWS\CKSNNT.flg
2008-02-26 15:30 . 2008-02-26 15:30 <REP> d-------- I:\Program Files\VW
2008-02-26 15:30 . 2008-02-26 15:30 <REP> d-------- I:\Program Files\ViaVoiceTTS
2008-02-26 15:30 . 2007-05-22 22:35 5,466,368 --a------ I:\WINDOWS\system32\dcmc0d0.dll
2008-02-26 15:30 . 1999-06-18 22:49 165,888 --a------ I:\WINDOWS\Ckconfig.exe
2008-02-26 15:30 . 2004-04-15 23:07 73,728 --a------ I:\WINDOWS\system32\Crypserv.exe
2008-02-26 15:30 . 2004-07-30 01:35 31,654 --a------ I:\WINDOWS\system32\Ckldrv.sys
2008-02-26 15:30 . 1996-05-03 18:21 27,648 -ra------ I:\WINDOWS\Setup_ck.exe
2008-02-26 15:30 . 1996-05-03 16:36 18,432 --a------ I:\WINDOWS\Setup_ck.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-22 22:25 --------- d-----w I:\Program Files\microsoft frontpage
2008-02-22 22:23 --------- d-----w I:\Program Files\Services en ligne
2007-12-13 18:27 75,248 ----a-w I:\WINDOWS\zllsputility.exe
2007-12-13 18:27 1,086,952 ----a-w I:\WINDOWS\system32\zpeng24.dll
2007-12-07 01:07 663,552 ----a-w I:\WINDOWS\system32\wininet.dll
2007-12-04 18:41 550,912 ----a-w I:\WINDOWS\system32\oleaut32.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="I:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2007-05-22 22:35 1626112 I:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="I:\WINDOWS\system32\NvCpl.dll" [2007-05-22 22:35 8433664]
"JMB36X IDE Setup"="I:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 20:44 36864]
"avast!"="I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"36X Raid Configurer"="I:\WINDOWS\system32\JMRaidSetup.exe" [2007-01-08 13:35 1953792]
"ZoneAlarm Client"="I:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="I:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

I:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 Ai2sXP;Ai2sXP;I:\WINDOWS\system32\drivers\Ai2sXP.sys [2006-10-17 16:32]
R2 SMTPSVC;Simple Mail Transfer Protocol (SMTP);I:\WINDOWS\system32\inetsrv\inetinfo.exe [2004-08-05 13:00]
S3 SQLWriter;Escritor VSS de SQL Server;"I:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2005-10-14 02:53]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;"i:\Program Files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-04 20:46:05
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-03-04 20:46:30
ComboFix-quarantined-files.txt 2008-03-04 19:46:27
ComboFix2.txt 2008-03-04 02:20:23
.
2008-03-04 02:03:23 --- E O F ---

Je croix qu'il y a encore un virus, et fichiers infectés, voilà j'attend votre conclusion d'expertise , pour continuer la procédure, par contre j'ai connexion très lente sur Internet, ça pris énormément de temps de télécharger cet antivirus

Voici le rapport avec Kapersky

KASPERSKY ON-LINE SCANNER REPORT
Wednesday, March 05, 2008 2:13:36 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 4/03/2008
Enregistrements dans la base antivirus Kaspersky : 548420

Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
C:\
D:\
E:\
I:\

Statistiques de l'analyse
Total d'objets analysés 142163
Nombre de virus trouvés 1
Nombre d'objets infectés 3 / 0
Nombre d'objets suspects 0
Durée de l'analyse 03:08:21

Nom de l'objet infecté Nom du virus Dernière action
C:\ProgramData\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Symantec\SRTSP\SrtETmp\4A7C12DD.TMP L'objet est verrouillé ignoré

C:\ProgramData\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Symantec\SRTSP\SrtETmp\4A7C12DD.TMP L'objet est verrouillé ignoré

C:\ProgramData\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Symantec\SRTSP\SrtETmp\4A7C12DD.TMP L'objet est verrouillé ignoré

C:\ProgramData\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Symantec\SRTSP\SrtETmp\4A7C12DD.TMP L'objet est verrouillé ignoré

C:\ProgramData\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Symantec\SRTSP\SrtETmp\4A7C12DD.TMP L'objet est verrouillé ignoré

C:\ProgramData\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Symantec\SRTSP\SrtETmp\4A7C12DD.TMP L'objet est verrouillé ignoré

C:\ProgramData\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Symantec\SRTSP\SrtETmp\4A7C12DD.TMP L'objet est verrouillé ignoré

C:\ProgramData\Application Data\Application Data\Application Data\Application Data\Application Data\Symantec\SRTSP\SrtETmp\4A7C12DD.TMP L'objet est verrouillé ignoré

C:\ProgramData\Application Data\Application Data\Application Data\Application Data\Symantec\SRTSP\SrtETmp\4A7C12DD.TMP L'objet est verrouillé ignoré

C:\ProgramData\Application Data\Application Data\Application Data\Symantec\SRTSP\SrtETmp\4A7C12DD.TMP L'objet est verrouillé ignoré

C:\ProgramData\Application Data\Application Data\Symantec\SRTSP\SrtETmp\4A7C12DD.TMP L'objet est verrouillé ignoré

C:\ProgramData\Application Data\Symantec\SRTSP\SrtETmp\4A7C12DD.TMP L'objet est verrouillé ignoré

C:\ProgramData\Symantec\SRTSP\SrtETmp\4A7C12DD.TMP L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{50E4FC67-BEEA-4C35-B531-660BCB7E70C5}\RP4\change.log L'objet est verrouillé ignoré

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl L'objet est verrouillé ignoré

E:\tmf3w3g0.com Infecté : Trojan-PSW.Win32.OnLineGames.rnp ignoré

I:\Documents and Settings\dbolard\Cookies\index.dat L'objet est verrouillé ignoré

I:\Documents and Settings\dbolard\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

I:\Documents and Settings\dbolard\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

I:\Documents and Settings\dbolard\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

I:\Documents and Settings\dbolard\Local Settings\Temp\~DF76BD.tmp L'objet est verrouillé ignoré

I:\Documents and Settings\dbolard\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

I:\Documents and Settings\dbolard\NTUSER.DAT L'objet est verrouillé ignoré

I:\Documents and Settings\dbolard\ntuser.dat.LOG L'objet est verrouillé ignoré

I:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

I:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

I:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

I:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

I:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

I:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

I:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

I:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré

I:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

I:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

I:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

I:\Documents and Settings\NetworkService\Local Settings\Temp\Perflib_Perfdata_2d4.dat L'objet est verrouillé ignoré

I:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

I:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

I:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

I:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

I:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

I:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

I:\Program Files\Larousse\Larousse Multilingue\Data\ESA_FRA\index.cat L'objet est verrouillé ignoré

I:\Program Files\Larousse\Larousse Multilingue\Data\FRA_ESA\index.cat L'objet est verrouillé ignoré

I:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data\master.mdf L'objet est verrouillé ignoré

I:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data\mastlog.ldf L'objet est verrouillé ignoré

I:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data\model.mdf L'objet est verrouillé ignoré

I:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data\modellog.ldf L'objet est verrouillé ignoré

I:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdbdata.mdf L'objet est verrouillé ignoré

I:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdblog.ldf L'objet est verrouillé ignoré

I:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data\tempdb.mdf L'objet est verrouillé ignoré

I:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data\templog.ldf L'objet est verrouillé ignoré

I:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\ERRORLOG L'objet est verrouillé ignoré

I:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\log_31.trc L'objet est verrouillé ignoré

I:\QooBox\Quarantine\I\WINDOWS\system32\kavo0.dll.vir Infecté : Trojan-PSW.Win32.OnLineGames.rnp ignoré

I:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

I:\System Volume Information\_restore{50E4FC67-BEEA-4C35-B531-660BCB7E70C5}\RP3\A0000199.dll Infecté : Trojan-PSW.Win32.OnLineGames.rnp ignoré

I:\System Volume Information\_restore{50E4FC67-BEEA-4C35-B531-660BCB7E70C5}\RP4\change.log L'objet est verrouillé ignoré

I:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

I:\WINDOWS\Internet Logs\DAVID-7ED59332C.ldb L'objet est verrouillé ignoré

I:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

I:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

I:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

I:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

I:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

I:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

I:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

I:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

I:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré

I:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré

I:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

I:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

I:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

I:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

I:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

I:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

I:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

I:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

I:\WINDOWS\Temp\Perflib_Perfdata_f8.dat L'objet est verrouillé ignoré

I:\WINDOWS\Temp\ZLT03fa4.TMP L'objet est verrouillé ignoré

I:\WINDOWS\Temp\ZLT06c87.TMP L'objet est verrouillé ignoré

I:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

I:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

I:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

Merci encore pour l'aide que vous m'avez apporté

par **Marie** » 05 Mar 2008, 09:26

Bonjour

Supprime le fichier E:\tmf3w3g0.com
Pas de double-clic sur E:. Tu fais clic droit sur E: puis Explorer, clic droit sur le fichier puis supprimer. Ensuite tu vides ta corbeille.

Je vais maintenant t'indiquer comment terminer la désinfection puis on essaiera de réparer les problèmes qui restent.

Pour terminer la désinfection,

:arrow:

Désinstalle HijackThis par Ajout/suppression de programmes.

:arrow:

Fais Démarrer/Exécuter copie-colle la commande suivante puis OK:

Code: Tout sélectionner: "%userprofile%\Bureau\combofix.exe" /u

Ca désinstallera ComboFix, Supprimera les points de restauration système (qui sont infectés) et remettra les options de sécurité de Windows par défaut.

:arrow:

Enfin, ce serait cool que tu déclares ton infection sur Malware Complaints. Qu'est ce que Malware Complaints
Pour faire entendre notre voix, nous devons être le plus nombreux possible à témoigner.

Voir les règles de Malware-Complaints : http://www.malwarecomplaints.info/viewtopic.php?t=5
Enregistre toi sur le forum à partir du bouton register en haut :
- Si tu as plus de 13 ans, choisis : I Agree to these terms and am over or exactly 13 years of age
- Si tu as moins de 13 ans, clique sur : I Agree to these terms and am under 13 years of age
Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, crée un message dans le sujet "Autres infections" conforme aux règles du forum (age, ville, département etc..) (Dans ton cas, il s'agit d'une infection Trojan-PSW.Win32.OnLineGames.rnp/Kavo)
Pour poster un message, clique sur le bouton "post reply" et saisis les informations.
NE PAS CREER UN NOUVEAU SUJET avec le bouton New Topic.

NB: Si tu as de la difficulté pour l'inscription sur Malware Complaints, tout est expliqué ICI

Conseils pour protéger ton ordinateur de façon optimale:

:arrow:

Remplace IE6 par IE7. IE7 est plus ergonomique qu'IE6 et surtout il est plus sécurisé (moins perméable aux virus/troyens).

Pour télécharger IE7, consulte IE7 pour tout le monde.

:arrow:

Ton antivirus est Avast.
Avast n'est pas sûr en ce moment. Il tarde à mettre à jour sa base virale et laisse passer beaucoup de choses. Résultats: Ton PC est plus vunérable aux nouvelles menaces.

Je pense que tu serais mieux protégé avec Antivir.

Antivir est un antivirus gratuit et léger dont les mises à jour sont quotidiennes et les nouvelles menaces sont rapidement intégrées dans sa base virale. (D'où la meilleure protection).
Son seul défaut: il est en anglais (ou en allemand). Mais tu l'installes et tu l'oublies (2 modifs à faire dans la configuration par défaut et après ça roule).

Si tu es d'accord pour changer, désinstalle Avast par Ajout/Suppression de programmes
Redémarre le PC pour achever la désinstallation
Télécharge Antivir et installe le.
Paramètre le comme indiqué sur cette page: Régler la configuration d'Antivir

PS: Quand un fichier infecté est détecté par Antivir, une fenêtre semblable à celle-ci s'ouvre:

Antivir te demande ce qu'il doit faire du fichier infecté.
Choisis Move to quarantine puis clique sur OK pour le mettre en quarantaine.

:arrow:

Une dernière chose mais qui a beaucoup d'importance:
Les logiciels de sécurité (antivirus, anti-troyens ...), même les meilleurs, ne sont pas efficaces à 100% contre les menaces actuelles. Pour protéger efficacement ton PC il faut que tu connaisses les pièges tendus sur le net et que tu apprennes à les éviter. Pour cela, je t'invite à lire ce document de la Lutte Antimalwares. (Au format PDF)
Il est très complet alors prends ton temps pour le lire et fais le circuler autour de toi.

Pour les problèmes restants:

:arrow:

Tout d'abord, il faut que tu t'assures que ta partition Vista sur PC2 n'est pas infectée par Kavo. Sinon, toutes tes partitions risquent d'être réinfectées.
Si tu n'en es pas absolument certain, dis le moi et je t'indiquerai comment utiliser ComboFix sur Vista.

De même il faut que tu sois certain que ton PC1 est bien désinfecté. Là encore, si tu n'es pas sûr, un petit log ComboFix sur PC1 pour vérification ne sera pas superflu.

:arrow:

Pour la lenteur de ta connexion, ne te base pas sur le scan Kaspersky.
Kaspersky n'utilise ta connexion que pour installer les contrôles ActiveX. Le scan est long, en général, surtout si tu as beaucoup de partitions.

Je te conseille de mesurer ton débit ADSL ou de tester la vitesse en utilisant ta connexion comme tu le fais habituellement pour pouvoir comparer.

:arrow:

Pour ton impossibilité de démarrer en mode sans échec sur PC2, c'est vraiment bizarre. :hum:

Mais tu ne peux pas rester sans mode sans échec. Il faut essayer de contourner le problème.
Comme c'est le loader de Vista qui s'occupe du lancement des systèmes d'exploitation, vérifie ceci:

Sous Vista, dans Panneau de configuration/Système, clique sur Paramètres système avancés puis, sous Démarrage et récupération , clique sur Paramètres.
Coche la case Afficher les options de récupération pendant et mets 30 secondes.
Pas certaine du tout que le problème vienne de là mais on peut essayer.
Teste ensuite le démarrage en mode sans échec sur ton XP.

Si ça ne marche toujours pas, on essaiera autre chose mais il faut que je retrouve l'astuce.

Voilà! J'ai fini mon roman fleuve. :wink:

par **dav79** » 09 Mar 2008, 18:25

Bonjour Marie,

Je te remercie vraiment pour ton analyse pertinante, désolé de répondre que maintenant mais cette semaine j'étais un peu débordé.

Le virus à bien été suprimé, il était bien dans la clé dans les fichiers caché ou les fichiers systèmes, ensuite j'ai d'installé HijackThis et ComboFix
Voici le log de combofix à tout hazard, mais à priorie il ne devrait pas avoir d'autre virus, mais je préfère que tu me confirme que la désinfection est totale :

ComboFix 08-03-04.1 - dbolard 2008-03-04 20:44:32.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1636 [G
Endroit: I:\Documents and Settings\dbolard\Bureau\ComboFix.exe
Command switches used :: I:\Documents and Settings\dbolard\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-04 to 2008-03-04 ))))))))))))))))))))))))))))))))))))
.

2008-03-04 16:59 . 2008-03-04 20:45 178,208 --ahs---- I:\WINDOWS\system32\drivers\fidbox.dat
2008-03-04 16:59 . 2008-03-04 19:05 2,228 --ahs---- I:\WINDOWS\system32\drivers\fidbox.idx
2008-03-04 16:55 . 2008-03-04 16:55 <REP> d-------- I:\Documents and Settings\All Users\Application Data\MailFrontier
2008-03-04 16:55 . 2007-12-13 19:27 54,672 --a------ I:\WINDOWS\system32\vsutil_loc040c.dll
2008-03-04 16:55 . 2007-12-13 19:27 42,384 --a------ I:\WINDOWS\zllsputility_loc040c.dll
2008-03-04 16:55 . 2007-12-13 19:27 21,904 --a------ I:\WINDOWS\system32\imsinstall_loc040c.dll
2008-03-04 16:55 . 2007-12-13 19:27 17,808 --a------ I:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-03-04 16:54 . 2008-03-04 16:54 <REP> d-------- I:\Program Files\Zone Labs
2008-03-04 03:03 . 2006-10-17 17:07 110,592 --a------ I:\WINDOWS\system32\Zosf.dll
2008-03-04 02:08 . 2008-03-04 02:37 <REP> d-------- I:\Program Files\totalcmd
2008-03-04 02:08 . 2008-03-04 02:38 854 --a------ I:\WINDOWS\wincmd.ini
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\UC.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\RAR.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\PKZIP.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\PKUNZIP.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\NOCLOSE.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\LHA.PIF
2008-03-04 02:08 . 2007-06-21 07:01 545 --a------ I:\WINDOWS\ARJ.PIF
2008-03-03 22:41 . 2008-03-03 22:41 <REP> d-------- I:\Program Files\MSXML 6.0
2008-03-03 22:23 . 2008-03-03 22:23 <REP> d-------- I:\Program Files\Trend Micro
2008-02-29 01:35 . 2008-02-29 01:35 <REP> d-------- I:\WINDOWS\IIS Temporary Compressed Files
2008-02-29 01:33 . 2004-08-05 13:00 2,134,528 --a--c--- I:\WINDOWS\system32\dllcache\smtpsnap.dll
2008-02-29 01:31 . 2008-02-29 01:31 <REP> d-------- I:\Documents and Settings\dbolard\Application Data\AdobeUM
2008-02-28 17:29 . 2008-02-29 01:25 <REP> d-------- I:\WINDOWS\SxsCaPendDel
2008-02-28 17:19 . 2007-02-28 17:02 2,182,400 -----c--- I:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-02-28 17:19 . 2007-02-28 17:02 2,138,112 -----c--- I:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-02-28 17:19 . 2007-02-28 17:02 2,059,648 -----c--- I:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-02-28 17:19 . 2007-02-28 17:02 2,017,792 -----c--- I:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-02-28 17:15 . 2006-05-05 10:41 453,120 -----c--- I:\WINDOWS\system32\dllcache\mrxsmb.sys
2008-02-28 17:12 . 2008-03-04 03:03 <REP> d--h----- I:\WINDOWS\$hf_mig$
2008-02-28 16:41 . 2008-02-28 16:41 <REP> d-------- I:\WINDOWS\system32\Logfiles
2008-02-28 16:41 . 2008-02-29 01:35 <REP> d-------- I:\Inetpub
2008-02-28 16:34 . 2008-02-29 01:30 <REP> d-------- I:\Program Files\Fichiers communs\Adobe
2008-02-28 16:32 . 2008-02-28 16:33 <REP> d-------- I:\Program Files\Google
2008-02-28 03:20 . 2008-02-28 03:20 <REP> d----c--- I:\WINDOWS\system32\DRVSTORE
2008-02-28 03:20 . 2007-08-27 11:12 2,777,088 --a------ I:\WINDOWS\system32\NETw4r32.dll
2008-02-28 03:20 . 2007-09-26 06:01 2,236,032 --a------ I:\WINDOWS\system32\drivers\NETw4x32.sys
2008-02-28 03:20 . 2007-08-27 11:12 745,472 --a------ I:\WINDOWS\system32\NETw4c32.dll
2008-02-27 13:16 . 2004-08-03 23:10 51,328 --a------ I:\WINDOWS\system32\drivers\msdv.sys
2008-02-27 13:16 . 2004-08-03 23:10 51,328 --a--c--- I:\WINDOWS\system32\dllcache\msdv.sys
2008-02-27 13:16 . 2004-08-03 23:10 48,128 --a------ I:\WINDOWS\system32\drivers\61883.sys
2008-02-27 13:16 . 2004-08-03 23:10 48,128 --a--c--- I:\WINDOWS\system32\dllcache\61883.sys
2008-02-27 13:16 . 2004-08-03 23:10 38,912 --a------ I:\WINDOWS\system32\drivers\avc.sys
2008-02-27 13:16 . 2004-08-03 23:10 38,912 --a--c--- I:\WINDOWS\system32\dllcache\avc.sys
2008-02-27 11:53 . 2008-03-04 03:25 <REP> d-------- I:\DONNEES
2008-02-27 11:43 . 2005-03-08 18:37 225,280 --------- I:\WINDOWS\MultiUninstall.exe
2008-02-27 11:41 . 2008-02-27 11:43 <REP> d-------- I:\Program Files\Larousse
2008-02-27 11:36 . 2003-06-19 01:31 17,920 --a------ I:\WINDOWS\system32\mdimon.dll
2008-02-27 11:35 . 2008-02-27 11:35 <REP> d-------- I:\WINDOWS\SHELLNEW
2008-02-27 02:46 . 2008-02-27 02:46 <REP> d-------- I:\Program Files\Smart Projects
2008-02-27 02:43 . 2008-02-27 02:43 <REP> d-------- I:\Program Files\Thales
2008-02-27 02:23 . 2008-02-28 00:47 <REP> d-------- I:\WINDOWS\JM
2008-02-27 02:23 . 2008-02-27 02:23 <REP> d-------- I:\JM
2008-02-27 02:23 . 2007-01-08 13:35 1,953,792 --a------ I:\WINDOWS\system32\JMRaidSetup.exe
2008-02-27 02:23 . 2007-01-08 12:39 139,264 --a------ I:\WINDOWS\system32\JMRaidAPI.dll
2008-02-27 02:23 . 2007-01-17 18:44 43,008 --a------ I:\WINDOWS\system32\drivers\jraid.sys
2008-02-27 02:23 . 2006-02-07 19:52 6,912 --a------ I:\WINDOWS\system32\drivers\JGOGO.sys
2008-02-27 02:15 . 2008-02-27 02:15 <REP> d-------- I:\Program Files\eduroamua
2008-02-27 01:57 . 2008-02-27 01:57 <REP> d-------- I:\Program Files\MSDN
2008-02-27 01:49 . 2008-02-27 01:54 <REP> d-------- I:\Program Files\Microsoft SQL Server
2008-02-27 01:49 . 2008-02-27 01:49 <REP> d-------- I:\Program Files\Microsoft Device Emulator
2008-02-27 01:48 . 2008-02-27 01:48 <REP> d-------- I:\Program Files\Microsoft SQL Server 2005 Mobile Edition
2008-02-27 01:44 . 2008-02-27 11:36 526 --a------ I:\WINDOWS\ODBC.INI
2008-02-27 01:42 . 2008-02-27 01:42 <REP> d-------- I:\WINDOWS\system32\3082
2008-02-27 01:42 . 2008-02-27 01:42 <REP> d-------- I:\Program Files\MSBuild
2008-02-27 01:36 . 2008-02-27 01:36 <REP> d-------- I:\WINDOWS\Symbols
2008-02-27 01:36 . 2008-02-27 01:51 <REP> d-------- I:\Program Files\Microsoft.NET
2008-02-27 01:36 . 2008-02-27 01:42 <REP> d-------- I:\Program Files\HTML Help Workshop
2008-02-27 01:36 . 2008-02-27 01:41 <REP> d-------- I:\Program Files\Fichiers communs\Merge Modules
2008-02-27 01:36 . 2008-02-27 01:37 <REP> d-------- I:\Program Files\Fichiers communs\Business Objects
2008-02-27 01:36 . 2008-02-27 01:36 <REP> d-------- I:\Program Files\CE Remote Tools
2008-02-27 01:36 . 2008-02-27 01:36 <REP> d-------- I:\Documents and Settings\All Users\Application Data\PreEmptive Solutions
2008-02-27 01:30 . 2008-02-27 01:42 <REP> d-------- I:\Program Files\Microsoft Visual Studio 8
2008-02-27 01:30 . 2008-02-27 02:02 <REP> d-------- I:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-02-26 18:38 . 2008-03-04 17:00 4,212 ---h----- I:\WINDOWS\system32\zllictbl.dat
2008-02-26 18:35 . 2008-03-04 20:34 <REP> d-------- I:\WINDOWS\Internet Logs
2008-02-26 18:34 . 2008-02-26 18:34 <REP> d-------- I:\Program Files\Alwil Software
2008-02-26 18:34 . 2007-12-04 14:04 837,496 --a------ I:\WINDOWS\system32\aswBoot.exe
2008-02-26 18:34 . 2003-03-18 20:14 499,712 --a------ I:\WINDOWS\system32\MSVCP71.dll
2008-02-26 18:34 . 2004-01-09 10:13 380,928 --a------ I:\WINDOWS\system32\actskin4.ocx
2008-02-26 18:34 . 2007-12-04 13:54 95,608 --a------ I:\WINDOWS\system32\AvastSS.scr
2008-02-26 18:34 . 2007-12-04 15:55 94,544 --a------ I:\WINDOWS\system32\drivers\aswmon2.sys
2008-02-26 18:34 . 2007-12-04 15:56 93,264 --a------ I:\WINDOWS\system32\drivers\aswmon.sys
2008-02-26 18:34 . 2007-12-04 15:51 42,912 --a------ I:\WINDOWS\system32\drivers\aswTdi.sys
2008-02-26 18:34 . 2007-12-04 15:49 26,624 --a------ I:\WINDOWS\system32\drivers\aavmker4.sys
2008-02-26 18:34 . 2007-12-04 15:53 23,152 --a------ I:\WINDOWS\system32\drivers\aswRdr.sys
2008-02-26 15:38 . 2008-02-26 15:38 13,678 --a------ I:\WINDOWS\system32\wpa.bak
2008-02-26 15:35 . 2008-02-26 15:35 <REP> d--hs---- I:\AX NF ZZ
2008-02-26 15:32 . 2008-02-26 15:33 2,240 --a------ I:\WINDOWS\system32\esnecil.nlp
2008-02-26 15:32 . 2008-02-26 16:00 2,240 --a------ I:\WINDOWS\system32\esnecil.ind
2008-02-26 15:32 . 2008-02-26 15:33 4 --a------ I:\WINDOWS\vx86036.dat
2008-02-26 15:32 . 2008-02-26 15:32 4 --a------ I:\WINDOWS\CKSNNT.flg
2008-02-26 15:30 . 2008-02-26 15:30 <REP> d-------- I:\Program Files\VW
2008-02-26 15:30 . 2008-02-26 15:30 <REP> d-------- I:\Program Files\ViaVoiceTTS
2008-02-26 15:30 . 2007-05-22 22:35 5,466,368 --a------ I:\WINDOWS\system32\dcmc0d0.dll
2008-02-26 15:30 . 1999-06-18 22:49 165,888 --a------ I:\WINDOWS\Ckconfig.exe
2008-02-26 15:30 . 2004-04-15 23:07 73,728 --a------ I:\WINDOWS\system32\Crypserv.exe
2008-02-26 15:30 . 2004-07-30 01:35 31,654 --a------ I:\WINDOWS\system32\Ckldrv.sys
2008-02-26 15:30 . 1996-05-03 18:21 27,648 -ra------ I:\WINDOWS\Setup_ck.exe
2008-02-26 15:30 . 1996-05-03 16:36 18,432 --a------ I:\WINDOWS\Setup_ck.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-22 22:25 --------- d-----w I:\Program Files\microsoft frontpage
2008-02-22 22:23 --------- d-----w I:\Program Files\Services en ligne
2007-12-13 18:27 75,248 ----a-w I:\WINDOWS\zllsputility.exe
2007-12-13 18:27 1,086,952 ----a-w I:\WINDOWS\system32\zpeng24.dll
2007-12-07 01:07 663,552 ----a-w I:\WINDOWS\system32\wininet.dll
2007-12-04 18:41 550,912 ----a-w I:\WINDOWS\system32\oleaut32.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="I:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2007-05-22 22:35 1626112 I:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="I:\WINDOWS\system32\NvCpl.dll" [2007-05-22 22:35 8433664]
"JMB36X IDE Setup"="I:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 20:44 36864]
"avast!"="I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"36X Raid Configurer"="I:\WINDOWS\system32\JMRaidSetup.exe" [2007-01-08 13:35 1953792]
"ZoneAlarm Client"="I:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="I:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

I:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 Ai2sXP;Ai2sXP;I:\WINDOWS\system32\drivers\Ai2sXP.sys [2006-10-17 16:32]
R2 SMTPSVC;Simple Mail Transfer Protocol (SMTP);I:\WINDOWS\system32\inetsrv\inetinfo.exe [2004-08-05 13:00]
S3 SQLWriter;Escritor VSS de SQL Server;"I:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2005-10-14 02:53]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;"i:\Program Files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-04 20:46:05
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-03-04 20:46:30
ComboFix-quarantined-files.txt 2008-03-04 19:46:27
ComboFix2.txt 2008-03-04 02:20:23
.
2008-03-04 02:03:23 --- E O F ---

Concernant le mode sans échec de XP Pro SP2, j'ai bien regardé dans les options de Vista, mais toutes les options de parmaètrage était déjà par défaut. Voici comment est mon boot au démarrage :

Windows vista (quand je me positionne dessus il me dit : Pour spécifier une option avancé, appuyer sur F8

Windows XP (la il me propose aucune option), j'ai bout appuyé sur F8, ça ne fait rien

Récuépération Vista : ( Pour spécifier une option avancé, appuyer sur F8)

Je sais pas si c'est lié avec Vista Boot pro, peu être il y a une option que je n'ai pas coché, je l'ai utilisé quand j'ai installé XP, le sytème ne détectait plus Vista, et donc en utilisant Vista Boot Pro, j'ai pu retrouver l'amorssage de vista. Donc la solution est peu être là, ce n'est pas moi l'expert, mais c'est toi Marie.

Je te remercie encore pour le document sur la sécurité, je vais le lire sérieusement, j'aimerai progresser dans ce domaine. Je n'est pas eu encore le temps de m'inscrire à Malware-Complaints, mais je vais essayé de le faire, si c'est pour aider la sécurité informatique, je le fait vonlontier.

Naturellement il faut que j'installe IE7, depuis le temps que je devais le faire, au départ je n'étais pas très convaincu avec tout ce que j'ententdait sur cette version. Mais maintenant c'est claire il est temps de passé IE7.
avec les nouvelles fonctionnalités qui renforce la sécurité.

Concernant Avast, je me suis aperçu que je ne l'avais pas bien configuré notamment pour les mises à jours, ça fait quelques temps que j'utilise Avast et jusqu'ici je n'ai pas eu de soucis, c'est juste qu'il devait être mal configuré, quand j'ai réinstallé, mon pc, et quand j'ai installé mon nouveau sytème. Avast est connu pour être un bon antivirus dans le monde du libre, que ce soiti Avast ou Antivir les deux sont performant. Par contre antivir et plus simplifié, il s'adresse pour des personnes qui ne si connaisse rien en informatique, non !. Et comme je suis dans l'informatique, mais plus dans la partie développement, j'aimerai progressé dans la sécurité. Avast est un logiciel, riche dans la configuration des paramètrages et très flexible. Mais si j'ai de nouveau soucis, j'essaierai antivir. Si non j'utilise ZoneAlarme comme Firewall...
C'est vrai que c'est dernier temps je faisait pratiquement, aucune analyse d'antivirus, avec le résident au temps réel, mais c'est une erreur, la preuve c'est que je me suis ramassé plein de virus sur mon pc.....
Je n'est pas pris les bonnes précautions et cela ne pardonne pas.

Maintenant concernant, mon système avec VISTA
Voici le log de HijackThis, est ce qu'il est nécessaire que je passe un coup de ComboFix, mais sur Vista, il faut procédé de la même façon ou il y a une procèdure spécifique.

Log HijackThis Vista

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:22:30, on 09/03/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\ZoomText 9.1\ZtUac.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://format.packardbell.com/cgi-bin/r ... ey=IESTART
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AH IE BHO - {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - C:\Program Files\ZoomText 9.1\AHOI\ah_ie_bho.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [MSPService] C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TP CfgWiz] "C:\Program Files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\SymCuw.exe" -G:{2D617065-1C52-4240-B5BC-C0AE12157777} -T:Config
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: ccEvtMgr - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: ccSetMgr - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\Windows\SYSTEM32\crypserv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: ZoomText Helper Service - Ai Squared - C:\Program Files\ZoomText 9.1\ZoomTextHelperService.exe

--
End of file - 7847 bytes

Et enfin, je souhaite vérifier mon autre pc portable Asus, car j'utilise beaucoup ma clé USB, tout à l'heure avec Avast j'ai trouvé 67 fichiers infectés, normallement ils sont supprimés, je les ai mis d'abord en quarantaine, puis j'ai tout supprimé. Normallement dans la zone quarantaine, il y a pas de risque qu'un virus infecte le système quand on le supprime. Est ce que c'est possible que lorsqu'on met un virus en quarantaine, il propage d'autres virus quand on le supprime ?

Voici le log HijackThis sur mon deuxième PC Asus

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:55, on 09/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\cusrvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Asus\Asus ChkMail\ChkMail.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Wireless LAN Utility\SiSCFG.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\Program Files\ZoomText 9.0\Zt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Larousse\Larousse Multilingue\Bin\Multilingual.exe
C:\PROGRA~1\Larousse\Shared\bin\hisrv3.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AH IE BHO - {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - C:\Program Files\ZoomText 9.0\AHOI\ah_ie_bho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS ChkMail.lnk = C:\Program Files\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {194C1532-B39B-4937-8BFA-1B97F50E32FE} (ProyectoEPS.EPSActiveXVirtualServer) - https://maktub.eps.ua.es/eps/aulavirtua ... Server.CAB
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 7037 bytes

J'espère que ça ne fait pas trop, mais au moins ma désinfection sera complète sur tout mes pc, sinon le virus kavo, risque d'apparaître de nouveau.

Bonne semaine et merci pour cette précieuse aide

dav79

par **Marie** » 12 Mar 2008, 14:49

Bonjour Dav :sourire:

Désolée pour le reatrd de réponse. :embarrassé:

Tous les rapports sont propres. Donc tes PC sont en bonne santé. :sourire:

Pour le mode sans échec de XP, je ne sais pas d'où ça peut venir.
Comme tu ne peux pas rester sans mode sans échec, on va essayer de contourner le problème en mettant le mode sans échec de XP dans ton Boot.ini.

Le fichier Boot.ini est un fichier vital pour XP. Donc il faut être très attentif lorsqu'on va le modifier et bien sûr créer une sauvegarde avant de le modifier.
Comme tu peux accéder à ta partition XP à partir de Vista, en cas de pépin on pourra toujours remonter la sauvegarde de Boot.ini.

:arrow:

Connecte toi sous ta session XP.

Affiche les fichiers cachés: Pour afficher les fichiers cachés de XP
Sauvegarde le fichier Boot.ini actuel qui se trouve à la racine de ta partition système. I:/Boot.ini
(Tu double-cliques sur I:, tu cliques droit sur le fichier Boot.ini et tu choisis Copier. Ensuite tu vas sur ton bureau, tu cliques droit sur un endroit vide et tu choisis Coller. Tu renommes le fichier Boot.ini que tu viens de mettre sur ton bureau en Boot.save.ini).
Ensuite, tu vas modifier le fichier Boot.ini qui est à la racine de I: en suivant cette astuce
C'est là qu'il ne faut pas se tromper et être très attentif.
Si tu as un doute, ou si il y a quelque chose que tu comprends mal, n'hésite pas à demander avant de modifier.
Une fois que le fichier I:/Boot.ini est modifié et sauvegardé, redémarre ton PC.
Le mode sans échec de XP devrait maintenant apparaitre dans le menu du choix du système d'exploitation à lancer.
Sélectionne le et dis moi si ça marche.

Est ce que c'est possible que lorsqu'on met un virus en quarantaine, il propage d'autres virus quand on le supprime ?

Non, lorsqu'on met un virus en quarantaine, il devient inoffensif et ne peut plus agir. :sourire:

Tiens moi au courant pour le mode sans échec. :wink:

par **dav79** » 19 Mar 2008, 19:30

Salut Marie :sourire:

Je suis content ça fonctionne bien, j'ai bien appliqué la procédure en modifiant le fichier boot.ini, par contre le boot.ini est sur vista, mais sur xp, il n'y a pas de boot.ini, il y a seulement bootbackup.ini, c'est tout Vista qui gère le boot.

Comme je ne trouvai pas le boot.ini, j'ai taper exécuter puis c, est il m'a trouvé le boot.ini c://boot.ini. J'ai modifié le fichier ini, à ça fonctionne, Nickel chrome.

Par contre quand j'arrive sur l'amorssage de Vista et de XP, il me propose pas, apuyer F8 pour spécifier des options avancées, c'est quand je clique sur Windows XP, que s'affiche une autre page avec seulement Démarage XP en normal, ou en mode sans échec. J'ai testé aussi de démarrer en mode sans échec et ça marche bien. Je pense que ce problème était lié à VistaBootPro, il avait sûrement une option à coché, mais dans le tutoriel que je suivi, il ne parlait pas de ce problème. L'ensentiel, c'est que ça fonctionne

Par contre je suis pas convaincu, concernant ta réponse que les virus sont inofensifs, lorsque'ils sont en zone quarantaine, car l'autre fois quand j'ai fait le ménage avec Avast, (67 virus). J'ai constaté quand j'ai éteint mon pc, la fermeture de Windows et beaucoup plus longue maintenant. Il y a plus la page bleu fermeture Windows, mais maitenant il y a un écran noire et Windows mais beaucoup plus de temps à se fermer.

Je me rappel que l'année dernière, j'avais un scénario un peu similaire, j'efface des virus avec Avast, est quand j'éteint mon pc, je m'aperçoit, qu'il est long à se fermer. C'est en bettant, au lieu de mettre entre 20 et 30 second, il met au moins deux à trois minutes pour s'éteindre.

Alors que, avant que je supprime ces virus, je n'avais pas ce problème, c'est assez étrange, non? Tu n'a jamais rencontré ce genre de problème ?

Bon voilà, désolé j'ai tardé pour la réponse, en tout cas, je tenais à te remercier pour toute l'aide que tu m'a apporté et la documentation que tu m'a fourni, ça m'a bien servi.

Bonne continuation dans le débogage et la désinfection des systèmes informatiques.

dav79