Dropper.Gen

bonjour, j'ai ce malware sur PC. Comment m'en débarraser please ?

Bonjours, télécharge FindyKill.exe sur le bureau.
Exécute l' opérations 1, un rapport apparaitra. Copie-colle le rapport stp.

merci beaucoup Marvin_R
ça prend du temps, c'est normal ?

pendant que ça démarre, j'en profite pour dire que j'ai hacktool.tpez-a aussi...

toujours pas démarré, le petit chat se prélasse...

bon c'est réglé, ça scanne

Si c'est trop long, redémarre en mode sans echec et lance le scan lorsque tu y sera.

bonjour

âmefeu, au lieu de faire des tas de messages en si peu de temps ce qui s'appelle du flood alors utilisez la fonction édition de message quand vous avez quelque chose de plus à rajouter au message précédent ""

et la prochaine fois pas de double sujet

pardon pour le flood et le double sujet

voici le rapport demandé :


############################## | FindyKill V5.016 |

# User : Rachel (Administrateurs) # XPSP2-A3E706199
# Update on 26/10/2009 by Chiquitine29
# Start at: 13:40:51 | 31/10/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 39,06 Go (8,31 Go free) [systeme] # NTFS
# D:\ # Disque fixe local # 109,98 Go (34,39 Go free) [données] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque CD-ROM
# H:\ # Disque fixe local # 596,02 Go (250,48 Go free) [Elements] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\mslsrv32.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\f7a6a8.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System\msinfo.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe

################## | C: |

Présent ! H:\autorun.inf

################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Rachel\Application Data |

################## | Autres detections ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )


################## | Cracks / Keygens / Serials |

"C:\Program Files\Keygen\keygen.exe"
13/09/2005 10:16 |Size 55296 |Crc32 567e703a |Md5 3bd08acd4079d75290eb1fb0c34ff700

"C:\Program Files\Macromedia\Dreamweaver 8\crackdream_mx.exe"
06/07/2002 18:05 |Size 565248 |Crc32 2508af8a |Md5 ec9d624607849df02abea915be8c8a53

"H:\programmes\photoshop alain\CRACK\keygen.exe"
18/05/2002 12:49 |Size 47431 |Crc32 4c3b18ff |Md5 a5dab91418cec1a5d517bdc9495e9e45


################## | ! Fin du rapport # FindyKill V5.016 ! |

Lance l'opération n°2 stp, le pc redémarrera, un rapport à la fin s'affichera, copie-colle le stp.

hello,
avira a détecté worm/ircBot.50

sinon,
voici le rapport :



############################## | FindyKill V5.016 |

# User : Rachel (Administrateurs) # XPSP2-A3E706199
# Update on 26/10/2009 by Chiquitine29
# Start at: 15:25:50 | 31/10/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 39,06 Go (8,34 Go free) [systeme] # NTFS
# D:\ # Disque fixe local # 109,98 Go (34,39 Go free) [données] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Rachel\Application Data |

################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Supprimé ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Supprimé ! [HKLM\software\microsoft\security center] "FirewallOverride"
Supprimé ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |


################## | Cracks / Keygens / Serials |

"C:\Program Files\Keygen\keygen.exe"
13/09/2005 10:16 |Size 55296 |Crc32 567e703a |Md5 3bd08acd4079d75290eb1fb0c34ff700

"C:\Program Files\Macromedia\Dreamweaver 8\crackdream_mx.exe"
06/07/2002 18:05 |Size 565248 |Crc32 2508af8a |Md5 ec9d624607849df02abea915be8c8a53


################## | ! Fin du rapport # FindyKill V5.016 ! |

Telecharge SDFix.exe sur ton bureau. Redémarre en mode sans échec sur ta session.
Double clique sur l'icone, appuie ensuite sur la touche "y" puis "entrée".
Le pc redémarrera tout seul, à la fin un rapport s'affichera, copie-colle le stp.

SDFix has been extracted to %systemdrive%\SDFix\
(Drive that contains the Windows directory - typically C:\SDFix)

Open the SDFix folder in Safe Mode and double click the RunThis.bat file to start the fixtool
If RunThis.bat is started in Normal Mode, options to download and run Anti-Virus command line scanners are displayed

Catchme.exe Stealth Malware Detector by GMER is also included in the SDFix folder

Additional SDFix Instructions & screen shots can be found here - http://www.bleepingcomputer.com/forums/topic131299.html





SDFix a été extrait dans %systemdrive%\SDFix\
(Le disque qui contient le répertoire Windows - typiquement C:\SDFix)

Ouvrez le dossier SDFix en mode sans échec et double cliquez sur le fichier RunThis.bat pour démarrer l'outil.
Si RunThis.bat est lancé en mode normal, les options pour télécharger et lancer les scanners Antivirus en ligne de commande seront affichées

Catchme.exe Stealth Malware Detector de GMER est également inclus dans le dossier SDFix

Instructions supplémentaires pour SDFix & captures d'écran peuvent être trouvées ici - http://www.bleepingcomputer.com/forums/topic131299.html






SDFix wurde nach %systemdrive%\SDFix\ entpackt
(Das ist das laufwerk welches den Windows Ordner enthält - normalerweise c:\SDFix)

Öffe den SDFix Ordner im Abgesicherten Modus und doppelklicke zum starten die RunThis.bat Datei
Sollte die RunThis.bat im normalen Modus gestartet werden, wird einem die Möglichkeiten geboten Antivirenscanner für die Kommandozeile
(Dosbox) downzuloaden.

Das Programm Catchme Malware Detector von Gmer ist auch im SDFix Ordner enthalten.

Zusätzliche SDFix Anleitungen und Screen Shots können hier nach geschaut werden: http://www.bleepingcomputer.com/forums/topic131299.html

Il faut que tu redémarre ton pc en mode sans echec (f8 avant l'écran du boot) pour que le logiciel fonctionne.

Re-fais stp l'opération comme indiqué dans mon post ci dessus.

j'ai demandé deux fois le mode ss échec, mais les deux fois windows ouvre une session normale
sorry

Dans "C:\Program Files\", supprime le dossier Keygen stp qui est une infection.

Dans "C:\Program Files\Macromedia\Dreamweaver 8", supprime également crackdream_mx.exe qui est aussi un virus.

Telecharge malwarebyte's, effectue un scan complet de ton pc, un rapport apparaitra. Copie-colle le stp.

bonjour !
je suis désolée mais j'ai fait deux fois le scan avec ton programme et à chaque fois ça bugge au moment où j'essaie d'enregistrer le rapport...
je vais en faire un troisième et copier par écrit pour te le transmettre.
ça va prendre 1h 15
à tout à l'heure

24 emplacements trouvés :


generic bot H-registry key-HKEYLOCALMACHINE/software/microsoft...
trojan agent-file-C/programmefiles/mozilla firefox/componants/savecomp...
trojan dropper-file-C/doc and settings/Philémon/local settings/temp
adware searchSpider-file-C/doc and settings/Philémon/local settings/temp
trojan agent-file-C/doc and settings/Philémon/local settings/temp
trojan agent-file-C/doc and settings/Philémon/local settings/temp
adware play PM3z- folder-C/prog files/best shoppingtips program
adware play PM3z- file-C/prog files/best shoppingtips program/uninstall.exe
adware play PM3z-folder-C/prog files/playMP3z
adware play PM3z-file-C/prog files/playMP3z/uninstall.exe
adware play PM3z-file-C/prog files/playMP3z/playMP3z.exe
adware WhenU-folder-C/prog files/save
adware WhenU-file-C/prog files/save/saveuninstall.exe
adware miror-file-C/doc &settings/philémon/appli data/save...
adware playMP3z-folder-C/doc &settings/philémon/menu démarrer/...
adware playMP3z-file-C/doc &settings/philémon/menu démarrer/...
trojan donbot-file-C/windows/system32/mvcrt2.dll
trojan.downloader-file-C/windows/mslsrv32.exe
trojan.downloader-memory process-C/windows/mslsrv32.exe
trojan.downloader-registry value-HKEYLOCALMACHINE/software/microsoft...
trojan.downloader-registry value-HKEYLOCALMACHINE/software/microsoft...
malware.trace-registry value-HKEYLOCALMACHINE/software/microsoft..
adware play MP3z-registry key - HKEYLOCALMACHINE/software/microsoft..
backdoor.bot-registry key - HKEYLOCALMACHINE/system/currentcontrol set...
hijack.help-registry data-HKEYLOCALMACHINE/system/currentcontrol set...

bonjour

âmefeu, merci de poster correctement le rapport de malwarebytes antimalware

==>> le tuto

cher totoftotof bonjour,

pardon je n'avais pas compris qu'il fallait demander le nettoyage.
Mais même en faisant cela, le programme ne répond plus et le système n'est plus réactif...
je fais les suppressions directement aux endroits que j'ai écrits ds le précédent post ?

Bonjours, redémarre en mode sans echec (f8 avant l'écran du boot), puis lance le scan. Tu devrais réussir à faire un copier-coller du rapport sans que le programme plante.

suivez le tuto de malwarebytes antimalware pour faire l'analyse complète et poster le rapport sur le forum

oui faites le en mode sans échec et non ne touchez pas au post précédent mais postez le rapport avant (No action taken) et après nettoyage (Quarantined and deleted successfully) dans votre prochain message

j'ai déjà essayé de mettre en mode ss échec mais ça ne marche pas
j'ai supprimé tous les dossiers indiqués dans le post précédent
je ne parviens pas à supprimer les clés car je n'ai pas leur valeur en entier
il faut maintenant donc trouver une autre solution

==>> à lire : redémarrer en mode sans échec pourquoi et comment

==>> et à nouveau le tuto pour malwarebytes antimalware

merci j'ai déjà lu
tu n'as pas autre chose à me proposer, le mode ss échec ne vaut pas s'activer, je suis redirigée vers une session normale
pour malwarebytes antimalware, pas moyen de même faire un copier coller non plus

Au démarrage, as tu le choix entres plusieurs mode de démarrage ? Y a t-il "mode sans echec" ? Si oui as tu sélectionner ce mode ?

Si le mode sans échec ne fonctionne réellement pas insère ton cd windows dans ton lecteur, redémarre ton pc en démarrant sur le cd. Répare ta copie windows avec le cd.

oui j'ai essayé le mode

comment réparer avec le cd windows ?

Marvin_R,



cela ne donne rien si l'ordi est encore infecté, le mode sans échec sera de nouveau désactivé

âmefeu,

faites le scan complet en Mode normal pour Malwarebytes Antimalware

postez le rapport de Malwarebytes Antimalware, il peut être retrouvé sous l'onglet Rapports/logs du logiciel

quand le rapport apparaît dans le bloc-notes, allez dans Edition, puis Sélectionner tout, le texte est alors sélectionné, retournez dans Edition toujours en laissant le texte sélectionné, et cliquez sur Copier

dans votre prochaine réponse, faites un clic droit et Coller

fermez le bloc-notes

merci mais j'y avais déjà pensé, il n'y a pas de rapport enregistré

j'ai supprimé tous les fichiers et clés de registre indiquées par malwarebytes antimalware

la connexion rame (d'où ma lenteur à vous répondre), les applications ne s'ouvrent pas

j'ai régulièrement un message d'erreur : l'instruction0*7d55cb1f emploie l'adresse 0*00000009. La mémoire ne peut être "read".

une autre personne partage ma connexion via cable ethernet et a du mal à surfer

pourtant la connexion est correcte au niveau de la reception des paquets

voilà tout ce que je peux vous dire

j'oubliais, il y a juste un fichier que je n'ai pas supprimé car je ne l'ai pas trouvé dans C:/windows/mslsrv32.exe

Telecharge Hijackthis, scan ton pc stp. A la fin un rapport apparaitra, copie-colle le stp.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:41, on 01/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\b3d485.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Rachel\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=%(...)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe_ID0ENQBO] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\b3d485.exe
O4 - HKLM\..\Run: [mx76SJBAbE1Qpw] C:\WINDOWS\Sf3TJ.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Gmax FLV Encoder] C:\Program Files\Gmax\FLV Encoder\flvencoder.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" -autorun
O4 - HKCU\..\Run: [pldELx9gvdHT9M82] C:\WINDOWS\Sf3TJ.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [XPPro4.0] %systemroot%\REG\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [XPPro4.0] %systemroot%\REG\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [pldELx9gvdHT9M82] C:\WINDOWS\Sf3TJ.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [XPPro4.0] %systemroot%\REG\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [pldELx9gvdHT9M82] C:\WINDOWS\Sf3TJ.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [XPPro4.0] %systemroot%\REG\run.cmd (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service Google Update (gupdate1ca00ba8975c316) (gupdate1ca00ba8975c316) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Domain Services (msit) - Unknown owner - C:\WINDOWS\system32\msio.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: spkrmon - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe

--
End of file - 9365 bytes

Ouvre Hijackthis, coche les lignes ci dessous puis clique sur "fix checked":
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\b3d485.exe
O4 - HKLM\..\Run: [mx76SJBAbE1Qpw] C:\WINDOWS\Sf3TJ.exe
O4 - HKCU\..\Run: [pldELx9gvdHT9M82] C:\WINDOWS\Sf3TJ.exe
O4 - HKUS\S-1-5-18\..\Run: [pldELx9gvdHT9M82] C:\WINDOWS\Sf3TJ.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [pldELx9gvdHT9M82] C:\WINDOWS\Sf3TJ.exe (User 'Default user')
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: Domain Services (msit) - Unknown owner - C:\WINDOWS\system32\msio.exe (file missing)

ça devrait aller mieux après.

Retente une analyse avec malwarebyte's stp.

bonjour
j'ai fait ce que tu m'as dit avec hijackthis.
j'ai toujours les mêmes problèmes : message d'erreur mémoire, difficulté d'accès eu net, applications qui ne s'ouvrent pas

avec Malwarebytes antimalware, toujours pas de rapport éditable. Je trouve trois infections :
- trojan donbot sur C/windows/system32/mvcrt2.dll : je peux effacer ce fichier mais il réapparaît.
- trojan dowloader sur C:windows/mslsrv.exe. Là je ne trouve pas le fichier.
- hijackhelp sur HKCU/software/microsoft/windows/current version/policies/explorer/noSMHELP. Là non plus je ne vois pas cette clé dans le registre.

oups j'ai parlé trop vite : pour la clé c'est bon je viens de la supprimer, et mvcrt2.dll n'est pas réapparu alors qu'il a été détecté par malwarebytes antimalware
et les appli s'ouvrent...

cependant avira détecte encore dropper.gen
j'ai aussi ce message d'erreur :
l'exception logicielle inconnue (0-c0000409) s'est produite dans l'application à l'emplacement 0*6feea3c0



1 heure plus tard....
j'ai refait un scan avec Malwarebytes antimalware. Cette fois-ci le suppression a fonctionné et le rapport a été édité. Le voici :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 2

02/11/2009 15:28:22
mbam-log-2009-11-02 (15-28-22).txt

Type de recherche: Examen complet (D:\|)
Eléments examinés: 155547
Temps écoulé: 37 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\msvcrt2.dll (Trojan.Donbot) -> Quarantined and deleted successfully.
C:\WINDOWS\mslsrv32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.


Avira détecte encore dropper.gen et il y a tjrs ce message d'erreur sur la mémoire à ceci près que le message indique maintenant qu'elle ne peut pas être "written" (au lieu de read).
Y a-t-il autre chose à faire ?

1h plus tard...j'ai quand même des difficultés à travailler, les applis buggent
help please