Problèmes au démarrage

Bonjour à tous pour commencer !

J'ai besoin d'un coup de main en informatique, activité dans laquelle je passe pas mal de temps, sans être réellement doué.
C'est pourquoi je me tourne vers le forum et que je demande votre aide.

J'ai découvert hier que ma soeur n'avait pas d'antivirus sur son ordinateur et qu'elle s'étonnait d'avoir souvent des messages d'alertes ou des plantages divers... J'ai donc téléchargé avast4 au plus vite et j'ai lancé un scan au redémarrage. Il a mis plus de 300 fichiers en quarantaine... C'est dire.

Mais au démarrage de mon ordinateur (windows xp), 4 fenêtres d'erreur s'ouvrent (voire parfois, elles font planter l'ordi au démarrage et tout bloque).
3 sont des alertes RUNDLL, indiquant que des fichiers sont introuvables system32/jegulufo, system32/gikosiha et system32/litikusi.
Le 4ème est un message d'alerte comme quoi windows ne trouve pas vmmdiag32.exe...

Pour quelqu'un d'aussi peu doué que moi, j'avoue que je ne sais pas trop quoi faire pour redonner un ordi correct à ma soeur, étant donné qu'avoir mis ses fichiers en quarantaine fait apparemment planter le démarrage. Je me retrouve avec des remarques du genre "je préférais mon ordi sans ton antivirus qu'un ordi qui ne démarre plus...".
Bref, j'ai besoin de vous,

Merci d'avance,

Nico

Salut Nico et bienvenue ;-)

Bizarre en 2009 et pas d'anti-virus, quand on sais qu'en moins de 4 minutes une machine se fait infecter sur le net...
Mais bon, tu as du boulot ...
Tu vois les avertissement des .dll manquants, c'est tout à fait normal, car cette machine n,est plus sous ton contrôle.
Il nous faudrait des rappaort préliminaires sur cette machine.
Alors dis-moi si tu es dispo ?
@+ Jal
PS: Il faudra tenir compte du décallage de 6 heures entre toi et moi , ou il est possible qu'un autre membre prenne le relève.

Disons que je suis dispo aujourd'hui oui ! Et je viens de réaliser le décalage horaire... Merci

Ok rebonjour,
Alors tu mentionnes que tu as installé Avast...
Celui-ci est mieux que rien mais trèes très dépassé par les nouvelles menaces du net malheureusement.

Dis-moi si tu as sous la main la machine infectée et si tu as la possibilité d'effectuer des opérations sur celle-ci.
Alors nous pourrons procéder ;-)

Disons que je suis sur la machine infectée, qui a enfin accepté de démarrer après un nouveau scan d'Avast, mais qui affiche toujours 2 messages d'erreur au démarrage.

Si besoin est je peux me connecter sur une autre machine.

Il te faut un rapport highjackthis ? Si oui je vais suivre le tutoriel que tu as mis en place et publié sur le forum (je t\'avoue n\'avoir jamais entendu ce nom avant, comme quoi, je suis vraiment novice de la chose...)

Oui très bien mais tu lis et observes alors c'est un bon bébut.
Oui suis bien le tuto Hjkts et postes-moi ici le rapport obtenu stp.

Voilà le rapport, obtenu en effectuant le tutoriel.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:53:13, on 23/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Scanner Virus Nico\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)
F2 - REG:system.ini: Shell=Explorer.exe vmmdiag32.exe
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: {1c4062ad-87db-5598-e904-be0d10d86763} - {36768d01-d0eb-409e-8955-bd78da2604c1} - C:\WINDOWS\system32\jqurmj.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: (no name) - {ada8defb-dc85-4857-869c-010f917a8e61} - C:\WINDOWS\system32\tubivabo.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AXIS TONS THE MP3] C:\Documents and Settings\All Users\Application Data\Readme Live Axis Tons\upload amen.exe
O4 - HKLM\..\Run: [CPM77defb7a] Rundll32.exe "c:\windows\system32\litikusi.dll",a
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [Winstp] C:\msupd01227546.exe
O4 - HKCU\..\Run: [Winsta] C:\msupd01175531.exe
O4 - HKCU\..\Run: [Winsto] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstn] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstm] C:\msupd01209140.exe
O4 - HKCU\..\Run: [Winstl] C:\msupd01209140.exe
O4 - HKCU\..\Run: [Winstk] C:\msupd01209140.exe
O4 - HKCU\..\Run: [Winstz] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winsty] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstj] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winsti] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winstx] c:\msupd01209140.exe
O4 - HKCU\..\Run: [Winstw] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winsth] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winstv] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winstg] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstu] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winstf] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winste] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstt] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winsts] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstd] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstc] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstr] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winstq] c:\msupd01175531.exe
O4 - HKCU\..\Run: [Winstb] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Bits Web] C:\DOCUME~1\AURLIE~1\APPLIC~1\USERBU~1\RULETRANSFIRST.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [kuyowovane] Rundll32.exe "C:\WINDOWS\system32\jegulufo.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [kuyowovane] Rundll32.exe "C:\WINDOWS\system32\jegulufo.dll",s (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://aureliecuvelier.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: windows\system32\puyekari.dll C:\WINDOWS\system32\razadupe.dll jqurmj.dll c:\windows\system32\litikusi.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\litikusi.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\litikusi.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
--
End of file - 10297 bytes

Je veux te mentionner que les infections que tu as sur cette machine sont assez 'sournoises' puis destructrices.
La majeure partie étant d'origine 'rootkits' ,puis des infections Vundo.
Donc '''Il est IMPORTANT''' que tu installes bien hjts sur le c;/, puis que tu le renommes comme mentionné sur le tuto en 'Mon scanner'.

Oupsss, messages croisés.
Donc ton installation n'est pas correcte.

Il faut obligatoirement l'appeller "Mon Scanner" ?
Et de quelle installation parles-tu ? Je l'ai téléchargé sur le bureau, puis exécuté comme indiqué, et je l'ai renommée "Scanner Virus Nico".

Ok ça va aller ainsi.
Tu as vraiment un multitude d'infections sur cette machine.
on va y aller une à la fois ;-)

1: Télécharges, installes , mets à jour, scan rapide et poste le rapprt de MBAM ici le lien : http://www.01net.com/outils/telecharger/windows/Securite/anti-spam/fiches/tele44096.html

Quand je veux le mettre à jour puis l'exécuter, MBAM me met un message d'erreur :
Erreur de chargement de la base de données. LIgne #57253. (0).

Pas normal je suppose

non en effet mais pas grave pour la MAJour. continues.
NB: Si il fonctionne pas on va faire autrement pour le scan

Donc MBAM ne veut pas s'ouvrir en fait. Il est bien installé mais à chaque fois que je le lance, il me met qu'une erreur de chargement existe, et rien ne s'ouvre.

Désolé.

Copies sur le blocnote la suite
Oui je m'y attendais car la machine est littéralement 'Zombie'.
Alors on va reprendre un peu de contrôle.
Il est important que tu suives exactement.
Si tu as pas ? Télécharges Ccleaner et décoches la barre Yahoo en installant puis dans les options Ccleaner, décoches la case des 48 heures, comme le tuto ici.
Nettoies en sans échec + registres Plusieurs fois : http://consultaide.e-monsite.com/rubrique,ccleaner-tuto-complet-images,272573.html

1: Tu dois démarrer en mode sans échec, ''Via la touiche F8 ''' au redémarrage et seulement de cette façon , sinon tu perds la machine.
Je te donne la suite .

Avec Hjkts, tu vas cocher ces lignes, étant en mode sans échec.
-----------------------------------------------------------
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)
F2 - REG:system.ini: Shell=Explorer.exe vmmdiag32.exe
O2
- BHO: Skype add-on (mastermind) -
{22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program
Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO:
{1c4062ad-87db-5598-e904-be0d10d86763} -
{36768d01-d0eb-409e-8955-bd78da2604c1} - C:\WINDOWS\system32\jqurmj.dll
(file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {ada8defb-dc85-4857-869c-010f917a8e61} - C:\WINDOWS\system32\tubivabo.dll (file missing)
O2
- BHO: Google Toolbar Notifier BHO -
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program
Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO:
Google Dictionary Compression sdch -
{C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google
Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3
- Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F}
- C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AXIS TONS THE MP3] C:\Documents and Settings\All Users\Application Data\Readme Live Axis Tons\upload amen.exe
O4 - HKLM\..\Run: [CPM77defb7a] Rundll32.exe "c:\windows\system32\litikusi.dll",a

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [Winstp] C:\msupd01227546.exe
O4 - HKCU\..\Run: [Winsta] C:\msupd01175531.exe
O4 - HKCU\..\Run: [Winsto] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstn] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstm] C:\msupd01209140.exe
O4 - HKCU\..\Run: [Winstl] C:\msupd01209140.exe
O4 - HKCU\..\Run: [Winstk] C:\msupd01209140.exe
O4 - HKCU\..\Run: [Winstz] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winsty] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstj] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winsti] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winstx] c:\msupd01209140.exe
O4 - HKCU\..\Run: [Winstw] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winsth] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winstv] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winstg] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstu] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winstf] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winste] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstt] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winsts] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstd] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstc] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Winstr] C:\msupd01157015.exe
O4 - HKCU\..\Run: [Winstq] c:\msupd01175531.exe
O4 - HKCU\..\Run: [Winstb] C:\361101032259662093.exe
O4 - HKCU\..\Run: [Bits Web] C:\DOCUME~1\AURLIE~1\APPLIC~1\USERBU~1\RULETRANSFIRST.exe

O4 - HKUS\S-1-5-19\..\Run: [kuyowovane] Rundll32.exe "C:\WINDOWS\system32\jegulufo.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [kuyowovane] Rundll32.exe "C:\WINDOWS\system32\jegulufo.dll",s (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html



O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9
- Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype -
{77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program
Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9
- Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network
Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://aureliecuvelier.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash


/swflash.cab

Coches environ 10 lignes è la fois, puis cliques sur FIXED CHECK après avoir coché une dixaine.
PSS: Entre les Fixed check passe Ccleaner et repasses à la fin encore.
Puis redémarres et remets-moi un log nouveau Hjkts, stp.


-------------------------------------------------------------------------

Ok, CC bien installé, et j'ai coché ou décoché ce que le tuto indiquait. Mais je peux lancer des analyses ou des nettoyages tout de suite ou bien il faut uniquement faire un nettoyage en mode sans échec ?

NB : je suis sur un autre PC là.

Ok tu dois tout faire en mode sans échec.
Alors tu redémarre l'infectée, puis au premier soufle de vie, F8,F8'F8,,,,
Et là tu procèdes comme le post ci-dessus.
Avec un nouveau log hjts, que tu me mettras ici stp, puis tentes de mettre à jour MBAM et le premier scan rapide et rapport. ( Au redémarrage normal de la machine bien-sûr pour MBAM )
Il restera des lignes indicatrices pour moi dans ton log, ainsi nous éliminerons avec les outils appropriés, par la suite

OK, je lance d'abord une analyse puis après un nettoyage ou immédiatement un nettoyage ?

Oui analyse avant si tu veut et tu me diras le nombre de poubelles en 'megs' que ccleaner a nettoyer et le nombre d'erreurs total.

1 136, 2 MB ont été supprimés (enfin pas encore).
Je lance le nettoyage.
Et je continuerai après à faire fixed check donc ? Mais il faut relancer un CC entre chaque dizaine de lignes ? Ca va prendre un temps fou, à moins que ça soit plus rapide ?

Enfin, je comprends pas le principe de sélectionner des lignes, nettoyer, sélectionner d'autres lignes, nettoyer, etc.

Mais un premier nettoyage est en cours.

Oui 1 gig de poubelle c plus long

Mais ça va accélérer ensuite t'inquiètes ;-)

Oui à ta question sur les lignes. Tu verras, tu peut cocher les lignes citées plus haut sur le post en mettant un crochet sur la case de la ligne en faisant avec HJkts ' Do a scan only'
Tu coches et tu verras le bouton Fix check que tu actionnes au bout des premières 10 lignes cochées. Ensuite un coup de ccleaner et registres quelques coups.
Tu continues ensuite pareil pour une autre dixaine et ainsi de suite .

Bon déjà au redémarage il n'y a plus de messages d'erreur
Je te fais un nouveau rapport HJTI et je te poste ça.

Et voilà :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:29:23, on 23/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Scanner Virus Nico\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [kuyowovane] Rundll32.exe "C:\WINDOWS\system32\jegulufo.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: windows\system32\puyekari.dll C:\WINDOWS\system32\razadupe.dll jqurmj.dll c:\windows\system32\litikusi.dll

O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\litikusi.dll (file missing)

O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\litikusi.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
--
End of file - 4186 bytes

Car tu vois le travail de Hjts fera en sorte qu'il empêchera de faire démarrer les trojans multiples sur la machine, ainsi que limiter le contrôle des keyloggers et rootkits puis backdoor qui se sont infiltrés et qui contrôlent tout sur la machine, d'ou ton impossibilité de démarrer MBAM.
La ligne 02 ini entre autre accorde plusieurs permission de contrôle aux malwares installés.
Hjkts se limetra a les stopper au démarrage, mais ne supprimera rien des malwares.
Donc ainsi nous aurons plus de lattitude pour utiliser des scanners qui seront plus efficaces et dont les malwares n'auront plus de contrôle.

Oui beau travail de toi et HKTS, alors on va commencer à voir plus clair.
MBAM devrait démarrer là.

ET voici le rapport MBAM :

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1888
Windows 5.1.2600 Service Pack 2
23/03/2009 17:40:32
mbam-log-2009-03-23 (17-40-20).txt
Type de recherche: Examen rapide
Eléments examinés: 69508
Temps écoulé: 4 minute(s), 27 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\diwevari.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fagonifa.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fugudipi.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\funeroga.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yeneriho.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\zesanido.dll (Trojan.Vundo) -> No action taken.

Postes en 2 ou 3 coups si il est incomplet.
Car je dois tout voir, puis une fois posté, appliques la suppression des objets cochés et Passe ccleaner + Registres encore et refais un scan de MBAM complet et sont rapport entier stp.

Faut-il supprimer la sélection des éléments de MBAM ?

Et merci à toi, on commence à voir la lumière du bout du tunnel

Et il n'est pas incomplet, je t'ai mis la totalité du rapport que j'ai enregistré en format texte.

Une fois que tu auras passé MBAM complet et rapport puis suppressions, tu vas installé ceci : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Suis bien le tuto ici: http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS: Oui, installes la console de récupération comme suggéré , c'est pas long à faire.
Tu me colleras le rapport Combofix ici.
-----------------------------------

Ensuite, télécharges Antivir sur le bureau : http://entraide.purforum.com/antivir-en-francais-ici-instructions-f21/antivir-en-francais-ici-t31.htm

Mais tu devras avant d'installer, désinstaller Avast avec cet outil: http://www.commentcamarche.net/telecharger/telechargement-34055246-utilitaire-de-desinstallation-de-avast
Ne redémarres pas pour rien, 'passes Ccleaner' Puis registres alors il effacera les traces de Avast.
----------------------------

Installes et configures Antivir comme mon tuto et fais un scan complet , puis postes-moi son rapport.

Après le passage de MBAM , cette ligne devrait sinon disparaitre, elle indiquera (File missing): O4 - HKUS\S-1-5-19\..\Run: [kuyowovane] Rundll32.exe "C:\WINDOWS\system32\jegulufo.dll",s (User 'SERVICE LOCAL')

Alors un log hjkts à la fin des étapes ci-haut mentionnées, nous permettra d'affiner le nettoyage , puis finalement désactiver la resto/Syst, à la toute fin, puis la réactiver quand je te dirai.
Car il est important de vider la resto qui contient plein de traces de trojans et ++++

Par la suite nous pourrons sécuriser convenablement cette machine et l'optimiser un peu ;-)

ok ok. Désolé, j'avais un long coup de fil.
Je me lance dans tout ça, même si je préfère te dire que dans 45 minutes j'ai une réunion, et donc que je ne pourrais pas reprendre les "manoeuvres" avant demain.

En tout cas, je te remercie beaucoup, et je suis encore avec toi pendant 3/4 d'heure

Cool alors pas grave , déconnectes cette machine de ton réseau durant la période d'inactivité.
Elle est mieux 'isolée'...
Je suis en train de t'écrire mes conseils simple de sécurité pour ta soeur ;-)

C'est sympa !

Là l'analyse MBAM tourne toujours, vu que j'ai lancé un scan complet, ça prend plus de temps. Je supprime les envahisseurs et je reposterai le rapport MBAM.

Demain, j'installe combofix et je te posterai le rapport Combofix. Puis je changerai l'antivirus et je suivrais à nouveau tes conseils si tu es là
Dans tous les cas, je n'agis plus que sur ton avis

Merci pour ta disponibilité et ton efficacité !
A demain.

Et voilà :


Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1888
Windows 5.1.2600 Service Pack 2
23/03/2009 18:52:54
mbam-log-2009-03-23 (18-52-54).txt
Type de recherche: Examen complet (A:\|C:\|D:\|E:\|Q:\|)
Eléments examinés: 117664
Temps écoulé: 37 minute(s), 11 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\fugudipi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\funeroga.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zesanido.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fagonifa.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

Oui alors bienvenue Nicholas.
Tu suis très bien et ceci est vraiment une grosse part dans le succès de ces types d'infections.
La seule chose qui me chicotte est que cette machine ainsi zombifié a servi à l'insu de ta soeur à infectée peut-être des milliers d'autres.
L'époque des virus (Tout courts) est bien révolue.
Les techniques de piratages se sont tellement affinées qu'il devrait être quasi-criminel que de na pas se protéger un minimum.
Car par une seule machine infectée, en 15 minutes il est possible comme on a vu il y a quelques mois, de contaminer en zombies 300.000 serveurs.
Ce sans compter que les détounements de DNS qui sont communs et quasi invisibles aux utilisateurs 'insoucients' servent à tirer de la bande passante détournée vers des pays mal gérés en matière de sécurité informatique , puis les connexions d'innocents 'mais imprudents' sont revendues à des réseaux de pédophilies!!!
Donc si ta soeur a des mots de passe, des identifiants qui ont été tappés sur le clavier de cette machine. alors elle a tout intérêt à les changer presto !
Car même si nous mettons la machine propre et sécure, le mal est déjè fait.

Je te donne la suite demain ;-)

Au sujet de Combofix, tu devras dédactiver l'anti-virus , car il y a des composantes dans celui-ci qui sont faussement identiés en comportements viraux.
Tu n'as qu"à suivre le tutoriel ;-)

Bonjour !
Voilà le rapport Comfix (à noter cependant que pendant la procédure, il ne m'a jamais demandé d'installer la console de récupération...).
J'ai redémarrer pare-feu et avast. J'attends ton avis pour poursuivre et le désinstaller pour installer antivir.



ComboFix 09-03-23.01 - Aurélie Cuvelier 2009-03-24 12:21:27.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.479.231 [GMT 1:00]
Lancé depuis: c:\documents and settings\Aurélie Cuvelier\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090323-0] *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\adabaviy.ini
c:\windows\system32\agowefuw.ini
c:\windows\system32\ahisokig.ini
c:\windows\system32\ahusokom.ini
c:\windows\system32\ajotoses.ini
c:\windows\system32\akutebil.ini
c:\windows\system32\amovudag.ini
c:\windows\system32\amovujes.ini
c:\windows\system32\asudidog.ini
c:\windows\system32\ebakawir.ini
c:\windows\system32\ejikegag.ini
c:\windows\system32\enemukav.ini
c:\windows\system32\erifesip.ini
c:\windows\system32\esaluzis.ini
c:\windows\system32\esudupip.ini
c:\windows\system32\esujofij.ini
c:\windows\system32\evatuyur.ini
c:\windows\system32\evepiyum.ini
c:\windows\system32\hufovora.dll
c:\windows\system32\ibewofuh.ini
c:\windows\system32\idegukep.ini
c:\windows\system32\igabamok.ini
c:\windows\system32\ijufijad.ini
c:\windows\system32\imawufeg.ini
c:\windows\system32\imidotay.ini
c:\windows\system32\iposamof.ini
c:\windows\system32\ipukoyew.ini
c:\windows\system32\iwoyodiz.ini
c:\windows\system32\izahadur.ini
c:\windows\system32\mafopiwo.dll
c:\windows\system32\nojepake.dll
c:\windows\system32\obitadoz.ini
c:\windows\system32\odapitep.ini
c:\windows\system32\odurupep.ini
c:\windows\system32\ogamebir.ini
c:\windows\system32\ogatoyor.ini
c:\windows\system32\ojunejey.ini
c:\windows\system32\okazalef.ini
c:\windows\system32\okinodef.ini
c:\windows\system32\olasavid.ini
c:\windows\system32\omapogoj.ini
c:\windows\system32\omihibuy.ini
c:\windows\system32\oripobih.ini
c:\windows\system32\osamonon.ini
c:\windows\system32\otenipev.ini
c:\windows\system32\oyavovab.ini
c:\windows\system32\pagapobo.dll
c:\windows\system32\udayoyad.ini
c:\windows\system32\uhiwosag.ini
c:\windows\system32\ujolehas.ini
c:\windows\system32\umulifag.ini
c:\windows\system32\uneferoy.ini
c:\windows\system32\upijeval.ini
c:\windows\system32\upujigil.ini
c:\windows\system32\urlmsnlink.dat
c:\windows\system32\usojeyol.ini
c:\windows\system32\uyekupiv.ini
c:\windows\system32\uyohazef.ini
c:\windows\system32\uzijodan.ini
c:\windows\system32\yeneriho.dll
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-24 au 2009-03-24 ))))))))))))))))))))))))))))))))))))
.
2009-03-23 17:33 . 2009-03-23 17:33 d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-23 17:33 . 2009-03-23 17:33 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-23 17:33 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-23 17:33 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-23 16:40 . 2009-03-23 16:40 d-------- c:\program files\CCleaner
2009-03-23 16:12 . 2009-03-23 16:12 d-------- c:\documents and settings\Aurélie Cuvelier\Application Data\Malwarebytes
2009-03-23 15:52 . 2009-03-23 15:52 d-------- c:\program files\Scanner Virus Nico
2009-03-23 11:33 . 2009-03-23 11:33 d-------- C:\NeverwinterNights
2009-03-22 21:53 . 2009-03-22 21:53 d-------- c:\program files\Alwil Software
2009-02-27 15:41 . 2009-02-28 22:57 54,156 --ah----- c:\windows\QTFont.qfn
2009-02-27 15:41 . 2009-02-27 15:41 1,409 --a------ c:\windows\QTFont.for
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-23 10:34 --------- d--h--w c:\program files\InstallShield Installation Information
2009-03-22 21:29 --------- d-----w c:\program files\Circle Developement
2009-03-22 21:02 --------- d-----w c:\documents and settings\Aurélie Cuvelier\Application Data\userburnooze
2009-03-22 21:00 --------- d-----w c:\documents and settings\All Users\Application Data\Readme Live Axis Tons
2009-03-22 20:59 --------- d-----w c:\documents and settings\All Users\Application Data\mapi license wait soft
2009-03-16 18:51 --------- d-----w c:\program files\Google
2009-02-25 10:50 --------- d-----w c:\program files\MSN Messenger
2009-02-25 10:50 --------- d-----w c:\program files\Messenger Plus! Live
2009-02-01 13:10 --------- d-----w c:\program files\userburnooze
2008-02-20 12:05 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
2004-03-11 12:27 40,960 ----a-w c:\program files\Uninstall_CDS.exe
2008-09-30 11:10 43,008 --sha-w c:\windows\system32\diwevari.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MessengerPlus3"="c:\program files\Messenger Plus! 3\MsgPlus.exe" [2006-04-28 190024]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-23 68856]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]
"Bits Web"="c:\docume~1\AURLIE~1\APPLIC~1\USERBU~1\RULETRANSFIRST.exe" [2009-02-01 593920]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mpegacm"= mpegacm.acm
"msacm.ulmp3acm"= ulmp3acm.acm
"msacm.dvacm"= c:\progra~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ cli
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\system32\\drivers\\CDANTSRV.EXE"=
"c:\\Program Files\\iTunes\\iTunesHelper.exe"=
"c:\\Program Files\\MSN Messenger\\usnsvc.exe"=
"c:\\Program Files\\QuickTime\\qttask.exe"=
"c:\\Program Files\\Adobe\\Reader 8.0\\Reader\\reader_sl.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Adobe\\Photoshop Album Edition Découverte\\3.0\\Apps\\apdproxy.exe"=
"c:\\Program Files\\Messenger Plus! 3\\MsgPlus.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-03-22 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-03-22 20560]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5c3e4a2b-b206-11dc-a7cc-000fea1f38fd}]
\Shell\Auto\command - cmd /C launch.bat
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d21f7fd2-6ce2-11db-a666-000fea1f38fd}]
\Shell\AutoRun\command - 1u0o8bnq.cmd
\Shell\explore\Command - 1u0o8bnq.cmd
\Shell\open\Command - 1u0o8bnq.cmd
.
Contenu du dossier 'Tâches planifiées'
2009-03-24 c:\windows\Tasks\A0389E61918B1A49.job
- c:\docume~1\aurlie~1\applic~1\userbu~1\Poke mail phone.exe [2009-02-01 14:13]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-PowerBar - (no file)
HKU-Default-Run-ALUAlert - c:\program files\Symantec\LiveUpdate\ALUNotify.exe

.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.wanadoo.fr
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-24 12:28:26
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-1014110040-147511243-283015261-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@SACL=
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\drivers\CDANTSRV.EXE
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-03-24 12:35:15 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-24 11:35:09
Avant-CF: 11 996 319 744 octets libres
Après-CF: 11,825,414,144 octets libres

Oui monsieur belle infection en effet !
J'ai un problême ce matin , je dois partir travailler à l'extérieur.
Donc Combofix a bien bossé !
Mais il restera des merdouilles à enlever.

Pour le moment passe à Antivir et les scans, puis il est possible qu'un autre helper te prenne en charge ici pour finaliser la désinfection.

Alors soit Loic, ou Kevin ou peut-être Adifeg ???
Mais je te met ici la finale même si pas fini .
je reviens dans 8 ou 9 heures.

-------------------------------------------------------------










Conseils de sécurité vitaux et
maintient d'une machine saine et performante.




1: Ne plus utiliser Internet Explorer
pour naviguer. Firefox seulement.




2: Sur Firefox, ajoutér WOT :





http://consultaide.e-monsite.com/rubrique,wot-web-of-trust-obligatoire,241893.html




Très important pour savoir ou ne pas
cliquer




3: Ajouter Noscript:, Dr.web Firefox,






http://consultaide.e-monsite.com/rubrique,extentions-firefox-que-des,243084.html




4: Ne pas télécharger de logiciels
piratés en P2P (Torrents) =Mortel!





http://entraide.purforum.com/virutvirtobsality-comment-en-venir-a-bout-f79/




5: Éviter les sites 3X




6; Toujours scanner les fichiers
téléchargés en les enregistrant et les copieant sur le bureau,
puis cliquant droite sur le fichier, le scanner avec l'anti-virus et
l'anti-malware avant de l'exécuter.




7: Toujours tout garder à jour
(Important) !




Filehippo updater checker :






http://www.filehippo.com/updatechecker/




8: S'abonner à Secuser.com, pour
recevoir avant tout le monde les infos vitales des dernières menaces
et les mise à jour primordiales.





http://www.secuser.com/index.htm




9: Avoir le dernier pack de Microsoft
ex: SP3 , car tu es au SP2.


http://www.zdnet.fr/telecharger/windows/fiche/telecharger/0,39033957,39311785s,00.htm





10: Toujours passer Ccleaner tous les soir, on vide les poubelles.




Optimisation de sécurité et
performance.




1: Désactiver les services inutiles ,
voire dngeureaux sous Windows XP ou Vista. :
http://speedweb1.free.fr/frames2.php?page=service3




http://speedweb1.free.fr/frames2.php?page=service4




2: Nettoyage constant des fichiers
temporaires (Ccleaner ).




Défragmentation une fois/mois avec le
plus laid mais le meilleur et open source en plus : JKDefrag





http://www.kessels.com/JkDefrag/JkDefrag-3.36.zip




Ceci est vraiment la base, mais très
efficace si suivi adéquatement.

----------------------------------------------------------------------

On se reparle Nico @+


Si un autre peut continuer SVP.
Merci jal

Je t'en prie, ça peut attendre

Par contre, impossible d'installer Antivir pour la simple raison que je n'arrive pas à désinstaller Avast.
Je télécharge comme tu me l'as dit aswclear, mais quand je veux le lancer, un message d'erreur apparaît :

The avast self protection module is enable. For this reason, the operation cannot be completed.
To complete the operation, either run this program from windows safe mode, or disable the avast self protection (via Settings : Troubleshooting page).

Malgré le peu de talents que j'ai en anglais, je crois comprendre qu'il faut désactiver l'antivirus. Mais quand je fais "désactiver la protection résidente" et que je relance aswclear, rien à faire, même message d'erreur.