win32/lineage.BBS

Bonjour à tous,

mon analyse E-trust m'a informé 2-3 fois que mon ordi est infecté par WIN32/LINEAGE.BBS.

Il ne le supprime pas pour autant

POURQUOI?
Comment m'en débarrasser définitivement??

Merci pr votre aide...

NOUMAIOS09

Lance un scan Nod32 (il faut utiliser Internet Explorer)

Coche toutes les cases à chaque fois ; une fois le scan achevé,
colle le rapport :

-> C:\Program Files\EsetOnlineScanner\log.txt <-- le rapport

PS : désactive ton antivirus le temps du scan.

---
Ensuite, ...

Fais un scan HijackThis et poste le rapport.

Kmisol,
je t'ai envoyé un mail AVEC LES RAPPORTS.

A bientôt

Noumaios09

bonjour

NOUMAIOS09, merci de ne pas poster les rapports en privé mais sur le forum

Tu veux dire un MP !?

Comme je suis au boulot , je n' ai pas accès aux MP !

---
Il serait bon que tu postes les rapports ici !

OK SORRY !!!
Je ne voulais pas encombrer le forum...
je refais les manip et je te les poste

Bonsoir Kmisol,

1ère étape : le scan d'ESET NOD32

C:\Documents and Settings\admin\Local Settings\Temp\NERO1002529\unit_app_75\Toolbar.exe Win32/Toolbar.AskSBar application cleaned by deleting - quarantined
C:\Program Files\AskTBar\bar\1.bin\A5POPSWT.DLL Win32/Toolbar.AskSBar application cleaned by deleting (after the next restart) - quarantined
C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL Win32/Toolbar.AskSBar application cleaned by deleting (after the next restart) - quarantined
C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL Win32/Toolbar.MyWebSearch application cleaned by deleting (after the next restart) - quarantined

2nd étape : HIJACK

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:48, on 10/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Fichiers communs\Doctor Web\Scanning Engine\dwengine.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [SpIDerAgent] "C:\Program Files\DrWeb\SpIDerAgent.exe"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [DrefIW] C:\WINDOWS\system32\SysDrefIWv2.exe
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DrefIW] C:\WINDOWS\system32\SysDrefIWv2.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_A54B7D6FB1DA63EA.dll/cmsidewiki.html
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Dr.Web ® Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Fichiers communs\Doctor Web\Scanning Engine\dwengine.exe
O23 - Service: Service Google Update (gupdate1c9f24ebde7b17e) (gupdate1c9f24ebde7b17e) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Unknown owner - C:\PROGRA~1\DrWeb\spidernt.exe (file missing)
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

--
End of file - 9361 bytes


Voilà...

NOUMAIOS09, le forum c'est pour ça donc continuez à poster les rapports que sur le forum et plus en privé

...

Merci pour les rapports .

Fais tout ce qui suite, dans l' ordre, stp ...

Ouvre le bloc-notes et fais un copier coller de ce qui est en gras,
ci-dessous (copie tout d'un trait) :

REGEDIT4

[Hkey_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DrefIW"=-
[Hkey_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DrefIW"=-


Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

L'icône de fix.reg doit ressembler à cela

---
(si ce n’ est déjà fait) Télécharge CCleaner …
("Download Latest Version", sur la droite) et laisse-toi guider.
A un moment, il te sera demandé de cocher :
"Ajouter la barre d' outils Yahoo". Refuse et …
Laisse-le s’ installer tel que …

Redémarre le PC en mode sans échec …
-> méthode F8 (ou F5/F11 sur certains PC) de préférence

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition.
--------------------------------------------

Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet «Affichage» et ...
coche --> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
Clique «Appliquer» et «OK».

Ferme toutes les fenêtres et applications.
Relance HijackThis et clique sur > Do a system scan only puis, coche
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
O4 - HKLM\..\Run: [DrefIW] C:\WINDOWS\system32\SysDrefIWv2.exe
O4 - HKCU\..\Run: [DrefIW] C:\WINDOWS\system32\SysDrefIWv2.exe

Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.

Ensuite, va dans > Démarrer > Poste de travail > C:\

et, en suivant le chemin, supprime (clic droit dessus > Supprimer)
le(s) programme(s)/ fichier(s) en gras, ci-dessous, si tu le(s) trouves.

C:\WINDOWS\system32\SysDrefIWv2.exe <-

Double clique sur fix2.reg qui se trouve sur le bureau :
=> tu dois obligatoirement avoir un message ...
"voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est le cas, clique sur "oui"

Remet les fichiers et dossiers cachés comme tu les as trouvés !

Lance CCleaner ...
Clique sur > Analyser > Nettoyer, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.

Redémarre le PC en mode normal ...

Télécharge, installe et mets à jour Malwarebytes Anti-malware ; puis, fais un scan complet et poste le rapport.

Si MalwareByte's a détecté des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection.

reBonsoir Kmisol ,

j'ai suivi à la lettre tes instructions (très bien exposées )

Sache qu'à l'étape :
Démarrer > Poste de travail > C:\

supprime (clic droit dessus > Supprimer)
le(s) programme(s)/ fichier(s) en gras, ci-dessous, si tu le(s) trouves.

C:\WINDOWS\system32\SysDrefIWv2.exe <-

je ne l'ai pas trouvé

tt le reste s'est bien déroulé mais Malware me présente le rapport suivant:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3142
Windows 5.1.2600 Service Pack 3

11/11/2009 00:39:17
rapport malware1

Type de recherche: Examen complet (C:\|)
Eléments examinés: 144094
Temps écoulé: 22 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcg-11cf-aax5-81cx5c625612} (Generic.Bot.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.

Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.

Que faire?

Relance un scan E-trust pour voir ce qu' il dit.

---
Ensuite, relance aussi un scan Nod32 et poste le rapport.

Hello,

Le scan Etrust ne révèle rien.
Le scan Nod32 annonce : aucune menace détectée

on s'en est débarrassé ? çA Y EST ?

...

...

Télécharge ToolsCleaner (par A.Rothstein et dj QUIOU) sur ton bureau.

1. Clique sur Recherche et laisse le scan agir ...
2. Clique sur Suppression pour finaliser.
-> Tu peux, si tu le souhaites, te servir des Options facultatives.
3. Clique sur Quitter pour obtenir le rapport.
4. Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

******
Puis, si tu estimes que ton problème est réglé, replaces-toi
sur ton 1er message et clique sur le bouton "éditer".
Une fois dans le message, inscris (copie/colle) en titre,
ce qui est cadré …


… et clique sur > Envoyer.

******
Quelques conseils ...
http://www.malekal.com/securiser_ordinateur.html
et aussi ...
http://www.malekal.com/securiser_internet_explorer.html

---
PS : supprime le fi.reg sur le bureau (si pas déjà fait).

Kmisol,

Je suis trop novice en info :paf:. C'est plutôt à toi de me dire, en fonction des rapports que je te poste, si tu estimes que mon pbm avec win 32 est réglé.

Le rapport de toolscleaner:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Documents and Settings\admin\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\admin\Mes documents\HJTInstall.exe: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\admin\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\admin\Mes documents\HJTInstall.exe: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

alors... mon ordi est clean ?

Petite question subsidiaire:
Puis-je effectuer les mêmes manip' pour mon ordi portable qui fonctionne sous vista et qui est aussi infecté ?
merci KMISOL

...

Si E-trust ne dit plus rien, c' est réglé.

... par le même virus ?

Si oui, n' aurais-tu pas utilisé une clé Usb pour des transferts ?

oui, c'est exactement ça...

En ce qui concerne les 2 prog MALEKAL que tu me conseilles, je les installe sur mon ordi en + de mon antivirus Etrust ?

...

De quels programmes veux-tu parler ?

Ces 02 là:

Quelques conseils ...
http://www.malekal.com/securiser_ordinateur.html
et aussi ...
http://www.malekal.com/securiser_internet_explorer.html

bonsoir,
je te poste le rapport d'ESET NOD32 de mon ordi portable.

C:\Program Files\DAEMON Tools\AdVantageSetup.exe Win32/Adware.WhenU.SaveNow application cleaned by deleting - quarantined


le rapport de Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:08, on 11/11/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKLM\..\Run: [VetAlert] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetMsg.exe
O4 - HKLM\..\RunServices: [CAISafe] C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
O4 - HKLM\..\RunOnce: [avp6_post_install] msiexec.exe /i"C:\ProgramData\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2009\French\kav.fr.msi"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: VET Message Service (VETMSGNT) - Unknown owner - C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe (file missing)

--
End of file - 6876 bytes

...

Ce ne sont pas des programmes, mais des liens !

Sauf erreur, je n' en ai pas demandé (de rapports) !

---
Pour commencer, fais cela :

Télécharge et installe UsbFix par Chiquitine29

(!) Branche tes sources de données externes au PC (clé USB, disque dur externe, etc ...) susceptibles d'avoir été infectées et ce, sans les ouvrir.

Sur le bureau, double clique sur le raccourci UsbFix.

Au menu principal, choisis l'option F pour français et valide par [Entrée].

Au second menu, choisis l'option 1 (recherche) et valide par [Entrée].

Laisse l' outil travailler ... jusqu' à l' apparition du rapport.

Poste le rapport UsbFix.txt.

Note : Le rapport UsbFix.txt est aussi conservé a la racine du disque
(C:\UsbFix.txt)

(CTRL+A pour tout selectionner, CTRL+C pour copier et CTRL+V pour coller)

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

OK On va terminer de nettoyer le PC. J'ouvrirai une autre discussion pour mon 2ND virus...
Je fais les manip' que tu m'as demandé.

############################## | UsbFix V6.050 |

User : admin (Administrateurs) # EMA-1E4946F7A48
Update on 09/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 22:09:02 | 11/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : eTrust EZ Antivirus 7.0.5.3 [ Enabled | Updated ]

C:\ -> Disque fixe local # 232,88 Go (110,37 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque fixe local # 465,64 Go (160,13 Go free) [DISC EXTRN] # FAT32
J:\ -> Disque amovible # 7,67 Go (5,73 Go free) [CLÉ EMMA] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1992
C:\WINDOWS\system32\csrss.exe 544
C:\WINDOWS\system32\winlogon.exe 1260
C:\WINDOWS\system32\services.exe 1392
C:\WINDOWS\system32\lsass.exe 1480
C:\WINDOWS\system32\svchost.exe 1068
C:\WINDOWS\system32\svchost.exe 1284
C:\WINDOWS\System32\svchost.exe 1712
C:\WINDOWS\system32\svchost.exe 200
C:\WINDOWS\system32\svchost.exe 616
C:\WINDOWS\system32\LEXBCES.EXE 1160
C:\WINDOWS\system32\LEXPPS.EXE 1300
C:\WINDOWS\system32\spoolsv.exe 1356
C:\WINDOWS\Explorer.EXE 176
C:\WINDOWS\system32\RUNDLL32.EXE 188
C:\WINDOWS\RTHDCPL.EXE 268
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe 300
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe 1924
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe 576
C:\Program Files\iTunes\iTunesHelper.exe 696
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe 796
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe 1296
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe 1416
C:\WINDOWS\system32\ctfmon.exe 1708
C:\Program Files\MSN Messenger\MsnMsgr.Exe 2028
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe 1920
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 368
C:\Program Files\Messenger\msmsgs.exe 632
C:\Program Files\Skype\Phone\Skype.exe 804
C:\Program Files\eMule\emule.exe 1128
C:\Program Files\Skype\Plugin Manager\skypePM.exe 1216
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 2196
C:\Program Files\Bonjour\mDNSResponder.exe 2236
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe 2340
C:\WINDOWS\system32\CTsvcCDA.EXE 2912
C:\Program Files\Fichiers communs\Doctor Web\Scanning Engine\dwengine.exe 3104
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe 4060
C:\WINDOWS\system32\nvsvc32.exe 3364
C:\WINDOWS\system32\svchost.exe 4056
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe 2988
C:\WINDOWS\system32\wscntfy.exe 3308
C:\Program Files\iPod\bin\iPodService.exe 2656
C:\WINDOWS\System32\alg.exe 2232
C:\WINDOWS\System32\svchost.exe 3756
C:\Program Files\Internet Explorer\iexplore.exe 2724
C:\WINDOWS\system32\wbem\wmiprvse.exe 880

################## | Fichiers # Dossiers infectieux |

I:\autorun.inf

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{d6d19f10-56a8-11de-956c-001c258b8b98}
Shell\AutoRun\command =I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\svchost.exe
Shell\open\command =I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\svchost.exe

HKCU\..\..\Explorer\MountPoints2\{fc491940-c9fe-11de-95f7-001c258b8b98}
Shell\AutoRun\command =I:\start.exe
Shell\iledefrance\command =I:\start.exe

################## | Suspect | http://www.virustotal.com |


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\admin\Local Settings\Temp\Rar$EX00.109\Keygen\KeyGen.exe"
23/12/2004 12:30 |Size 16832 |Crc32 e9716d3d |Md5 371305ab910fe2804e01a29ffd9ff340

"C:\Documents and Settings\admin\Local Settings\Temp\Rar$EX00.610\Keygen\KeyGen.exe"
23/12/2004 12:30 |Size 16832 |Crc32 e9716d3d |Md5 371305ab910fe2804e01a29ffd9ff340

"C:\Documents and Settings\admin\Local Settings\Temp\Rar$EX01.954\Keygen\KeyGen.exe"
23/12/2004 12:30 |Size 16832 |Crc32 e9716d3d |Md5 371305ab910fe2804e01a29ffd9ff340

"I:\WinRAR.v3.80.FR.Incl-Crack.[emule-island.com]\wrar380fr.exe"
01/10/2008 12:34 |Size 1299975 |Crc32 9bc724db |Md5 0a04e4dee15c9a417c5db4e5798f7063

"I:\WinRAR.v3.80.FR.Incl-Crack.[emule-island.com]\Crack\Patch.exe"
28/09/2007 02:23 |Size 121344 |Crc32 65a39694 |Md5 e16d8c82612d8790fe13c5836abd72c0


################## | ! Fin du rapport # UsbFix V6.050 ! |

...

Il n' est pas question d' ouvrir un autre sujet.

Simplement, je faisais part du fait que tu as posté des rapports
que je n' ai (pas encore) demandé.

Chaque chose en son temps

---
(!) Branche tes sources de données externes au PC (clé USB, disque dur externe, etc...) susceptibles d avoir été infectées et ce, sans les ouvrir.

Double-clique sur le raccourci UsbFix présent sur ton bureau.

Au menu principal, choisis l'option F pour français et tape sur [entrée].

Au second menu, choisis l'option 2 ( Suppression ) et tape sur [entrée].

Ton bureau disparaitra et le PC va redémarrer.

Au redémarrage, UsbFix scannera ton pc.

Laisse l' outil travailler ... jusqu' à l' apparition du rapport.

Poste le rapport.

• Note : Le rapport UsbFix.txt est aussi conservé a la racine du disque
(C:\UsbFix.txt)

(CTRL+A pour tout selectionner, CTRL+C pour copier et CTRL+V pour coller)

############################## | UsbFix V6.050 |

User : admin (Administrateurs) # EMA-1E4946F7A48
Update on 09/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 23:25:28 | 11/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : eTrust EZ Antivirus 7.0.5.3 [ Enabled | Updated ]

C:\ -> Disque fixe local # 232,88 Go (109,94 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque fixe local # 465,64 Go (160,13 Go free) [DISC EXTRN] # FAT32
J:\ -> Disque amovible # 7,67 Go (5,73 Go free) [CLÉ EMMA] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1992
C:\WINDOWS\system32\csrss.exe 544
C:\WINDOWS\system32\winlogon.exe 1260
C:\WINDOWS\system32\services.exe 1392
C:\WINDOWS\system32\lsass.exe 1480
C:\WINDOWS\system32\svchost.exe 1068
C:\WINDOWS\system32\svchost.exe 1284
C:\WINDOWS\System32\svchost.exe 1712
C:\WINDOWS\system32\svchost.exe 200
C:\WINDOWS\system32\svchost.exe 616
C:\WINDOWS\system32\LEXBCES.EXE 1160
C:\WINDOWS\system32\LEXPPS.EXE 1300
C:\WINDOWS\system32\spoolsv.exe 1356
C:\WINDOWS\Explorer.EXE 176
C:\WINDOWS\system32\RUNDLL32.EXE 188
C:\WINDOWS\RTHDCPL.EXE 268
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe 300
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe 1924
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe 576
C:\Program Files\iTunes\iTunesHelper.exe 696
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe 796
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe 1296
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe 1416
C:\WINDOWS\system32\ctfmon.exe 1708
C:\Program Files\MSN Messenger\MsnMsgr.Exe 2028
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe 1920
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 368
C:\Program Files\Messenger\msmsgs.exe 632
C:\Program Files\Skype\Phone\Skype.exe 804
C:\Program Files\eMule\emule.exe 1128
C:\Program Files\Skype\Plugin Manager\skypePM.exe 1216
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 2196
C:\Program Files\Bonjour\mDNSResponder.exe 2236
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe 2340
C:\WINDOWS\system32\CTsvcCDA.EXE 2912
C:\Program Files\Fichiers communs\Doctor Web\Scanning Engine\dwengine.exe 3104
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe 4060
C:\WINDOWS\system32\nvsvc32.exe 3364
C:\WINDOWS\system32\svchost.exe 4056
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe 2988
C:\WINDOWS\system32\wscntfy.exe 3308
C:\Program Files\iPod\bin\iPodService.exe 2656
C:\WINDOWS\System32\alg.exe 2232
C:\WINDOWS\System32\svchost.exe 3756
C:\Program Files\Internet Explorer\iexplore.exe 2604
C:\WINDOWS\system32\wbem\wmiprvse.exe 4032

################## | Fichiers # Dossiers infectieux |

Supprimé ! I:\autorun.inf

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{d6d19f10-56a8-11de-956c-001c258b8b98}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{fc491940-c9fe-11de-95f7-001c258b8b98}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[28/05/2009 15:57|--a------|0] C:\AUTOEXEC.BAT
[28/05/2009 15:52|---hs----|212] C:\boot.ini
[02/03/2006 13:00|-rahs----|4952] C:\Bootfont.bin
[03/11/2009 23:04|--a------|7562] C:\caavsetup.log
[14/08/2009 00:31|--a------|9357] C:\caisslog.txt
[28/05/2009 15:57|--a------|0] C:\CONFIG.SYS
[28/05/2009 15:57|-rahs----|0] C:\IO.SYS
[28/05/2009 15:57|-rahs----|0] C:\MSDOS.SYS
[02/03/2006 13:00|-rahs----|47564] C:\NTDETECT.COM
[28/05/2009 17:42|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[31/05/2009 10:28|--a------|168] C:\setupfax.log
[11/11/2009 16:13|--a------|1216] C:\TCleaner.txt
[11/11/2009 23:28|--a------|4251] C:\UsbFix.txt
[30/01/2009 00:00|---------|36352] C:\WGASetup.exe
[23/10/2005 02:13|--a------|1870] I:\Dreamer.nfo
[11/11/2005 16:35|--a------|10931] I:\F4CG.NFO
[01/10/2008 15:58|--a------|1374065] I:\WinRAR.v3.80.FR.Incl-Crack.[emule-island.com].zip
[28/10/2009 23:43|--a------|4229138] J:\eTrust.EZ.AntiVirus.v7.0.5.3.FR.Incl-Keygen.rar
[08/11/2009 15:43|--a------|296] J:\WMPInfo.xml
[18/06/2008 12:40|--a------|1587605] J:\centreUVS 032.jpg
[03/04/2008 15:09|--a------|3091468] J:\ame 125.JPG
[11/09/2009 23:38|--a------|38819902] J:\Kaspersky.Anti-Virus.2009.v8.0.0.456.FR.Incl-Key.[emule-island.com].rar

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# I:\autorun.inf -> Dossier créé par UsbFix.
# J:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | http://www.virustotal.com |


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\admin\Local Settings\Temp\Rar$EX00.109\Keygen\KeyGen.exe"
23/12/2004 12:30 |Size 16832 |Crc32 e9716d3d |Md5 371305ab910fe2804e01a29ffd9ff340

"C:\Documents and Settings\admin\Local Settings\Temp\Rar$EX00.610\Keygen\KeyGen.exe"
23/12/2004 12:30 |Size 16832 |Crc32 e9716d3d |Md5 371305ab910fe2804e01a29ffd9ff340

"C:\Documents and Settings\admin\Local Settings\Temp\Rar$EX01.954\Keygen\KeyGen.exe"
23/12/2004 12:30 |Size 16832 |Crc32 e9716d3d |Md5 371305ab910fe2804e01a29ffd9ff340

"I:\WinRAR.v3.80.FR.Incl-Crack.[emule-island.com]\wrar380fr.exe"
01/10/2008 12:34 |Size 1299975 |Crc32 9bc724db |Md5 0a04e4dee15c9a417c5db4e5798f7063

"I:\WinRAR.v3.80.FR.Incl-Crack.[emule-island.com]\Crack\Patch.exe"
28/09/2007 02:23 |Size 121344 |Crc32 65a39694 |Md5 e16d8c82612d8790fe13c5836abd72c0


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\admin\Bureau\UsbFix_Upload_Me_EMA-1E4946F7A48.zip : http://forum-aide-contre-virus.be/usbfix/choix_fichier.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.050 ! |

...


J' attire ton attention et autres joyeusetés :

http://forum.malekal.com/danger-des-cracks-t893.html

---
Relance USBFix et choisis l' option 3.

---
N' oublie pas ce qui est demandé ici :


... et ce, afin d' alimenter la base de données de UsbFix.

---
Rien sur le 2ème rapport HijackThis.

---
Que dit eTrust Internet Security Suite si tu relances un scan
(du portable) ?

Bonjour Kmisol,

Je te remercie infiniment pour le temps passé à m'aider à me débarrasser de mon virus sur le PC... Cette petite formation m'aura appris à mieux protéger, nettoyer... mon PC

En ce qui concerne le portable, si Hijack ne révèle rien comme tu me le dis, que faire de ce que Nod32 met en évidence?

rapport d'ESET NOD32

C:\Program Files\DAEMON Tools\AdVantageSetup.exe Win32/Adware.WhenU.SaveNow application cleaned by deleting - quarantined

A+

Apparemment, Nod32 a supprimé l' adware.WhenU.SaveNow !

---
Toujours sur le portable ...

Télécharge Toolbar S&D (Team IDN) sur ton Bureau.

Lance l'installation du programme en exécutant le fichier téléchargé.
Double-clique maintenant sur le raccourci de Toolbar-S&D.
Sélectionne la langue de ton choix puis, valide avec la touche Entrée.
Ensuite, choisis l'option 1 (Recherche).
Patiente jusqu'à la fin de la recherche.

Ferme le programme.

---
Relance Toolbar-S&D en double-cliquant sur le raccourci.
Fais le choix 2, puis valide en appuyant sur Entrée.

Ne ferme pas la fenêtre lors de la suppression !

Un rapport est généré. Poste-le dans ta prochaine réponse.

PS : si ton bureau ne réapparaît pas, appuie simultanément sur
Ctrl/Alt/Suppr pour ouvrir le Gestionnaire de tâches.
Rends-toi sur l’ onglet "Processus" ; clique en haut, à gauche sur
"Fichier" et choisis "Exécuter..."
Tape explorer, puis valide.

---
Ensuite, télécharge AD-Remover (de Cyrildu17 / C_XX) sur ton Bureau.
http://pagesperso-orange.fr/NosTools/ad_remover.html

Déconnecte-toi du net et ferme toutes applications en cours.

1. Double-clique sur le programme d'installation ; laisse-le
s’ installer par défaut (C:\Program files).

2. Double-clique sur l'icône AD-Remover située sur ton Bureau.
(Pour Vista : clique droit > "Exécuter en tant qu'administrateur")

3. Au menu principal, choisis l'option L.
L’ outil débute sa recherche … Laisse-le travailler !

Le scan achevé, une fenêtre va s’ afficher.
4. Poste (copie-colle) le rapport qui apparaît à la fin.

(Tu trouveras aussi le rapport sous C:\Ad-report(date).log)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note : "Process.exe", une composante de l'outil peut être
détecté par certains antivirus comme une infection ; donc, ne pas en tenir compte : il s'agit d'un faux positif.

Hello...
désolé pour le retard dans le postage des rapports

ToolbarS&D donne ceci :
-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6000 )
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz )
BIOS : Ver 1.00PARTTBL
USER : Emma ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1356 [VPS 091124-0] 4.8.1356 (Activated)
C:\ (Local Disk) - NTFS - Total:91 Go (Free:42 Go)
D:\ (Local Disk) - NTFS - Total:45 Go (Free:45 Go)
E:\ (CD or DVD)
G:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 24/11/2009|14:39 )

[ UAC => 1 ]

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="http://google.fr/"
"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.msn.com/"
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Local Page"="C:\\Windows\\System32\\blank.htm"


--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\Users\Emma\AppData\Local\Temp\Rar$EX00.524\Keygen
C:\Users\Emma\AppData\Local\Temp\Rar$EX00.524\Keygen\KeyGen.exe
C:\Users\Emma\AppData\Roaming\Microsoft\Windows\Recent\eTrust.EZ.AntiVirus.v7.0.5.3.FR.Incl-Keygen.lnk


[ UAC => 1 ]


1 - "C:\ToolBar SD\TB_1.txt" - 24/11/2009|14:28 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 24/11/2009|14:40 - Option : [2]

-----------\\ Fin du rapport a 14:40:09,45


Le rapport ADREMOVER:
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_D | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 22.11.2009 à 23:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 14:53:20, 24/11/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ Home Premium v6.0.6000
Nom du PC: PC-DE-EMMA | Utilisateur actuel: Emma
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
C:\Users\Emma\AppData\Roaming\MICROS~1\Windows\Cookies\Low\emma@rotator.adjuggler[2].txt
C:\Users\Emma\AppData\Roaming\MICROS~1\Windows\Cookies\Low\emma@rotator.adjuggler[3].txt
.
HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
HKLM\software\microsoft\shared tools\msconfig\startupreg\AdVantage Setup

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 8.0.6001.18828 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\Emma\AppData\Local\Temp\Rar$EX00.524\Keygen\KeyGen.exe
C:\Users\Emma\AppData\Local\VirtualStore\ProgramData\Symantec\LiveUpdate\Downloads\1209776195jtun_hbpatch07.x00.full.zip
.
===================================
.
2073 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
584 Fichier(s) - C:\Users\Emma\AppData\Local\Temp
11 Fichier(s) - C:\Windows\Temp
.
18 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
2 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 15:08:01 | 24/11/2009 - CLEAN[1]
.
============== E.O.F ==============
.

j'ai installé AVAST sur l'ordi, l'analyse n'a rien détectée.

Merci pour ton aide.