virus ne0kS.exe, besoin d'aide[ Resolu]

Bonjour,

Quel est l'emplacement du fichier détecté ?

[#ff0000]Désactive tes protections résidentes (antivirus...) ![/#f]

Télécharge Combofix.exe ([#ff0000]]sUBs[/#f]) sur ton Bureau.

Double clique combofix.exe.

Tape sur la touche 1 (Yes) pour démarrer le scan.

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Le fichier est dans E:\WINDOWS\system32

Voici le message txt

ComboFix 07-12-21.4 - USER 2007-12-28 15:01:27.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.954 [GMT 0:00]
Running from: C:\Downloads\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-11-28 to 2007-12-28 ))))))))))))))))))))))))))))))))))))
.

2007-12-28 12:40 . 2007-12-28 12:40 <REP> d-------- E:\Program Files\Trend Micro
2007-12-28 12:25 . 2007-12-28 12:26 <REP> d-------- E:\Program Files\RegistrySmart
2007-12-28 12:25 . 2007-12-28 12:25 <REP> d-------- E:\Documents and Settings\USER\Application Data\RegistrySmart
2007-12-27 11:32 . 2007-12-27 11:32 371,394 --a------ E:\Temp\Tinko_rc_min1.DAT
2007-12-27 08:38 . 2007-12-27 08:38 984 --a------ E:\Temp\templeg2.DAT
2007-12-27 08:35 . 2007-12-27 08:35 1,035 --a------ E:\Temp\templeg1.DAT
2007-12-26 17:14 . 2007-12-26 17:14 391 --a------ E:\Temp\Tinko_drilling_accestemp.DAT
2007-12-26 16:41 . 2007-12-26 17:00 2,143 --a------ E:\Temp\Autogridkan.DAT
2007-12-24 08:42 . 2007-12-27 11:08 3,311,529 --a------ E:\Temp\tinko_ drillholes_log_1219071.DAT
2007-12-14 15:36 . 2007-12-19 15:03 1,644,257 --a------ E:\Temp\tinko_ drillholes_log1.DAT
2007-12-14 15:26 . 2007-12-27 11:15 481,588 --a------ E:\Temp\Tinko_rc_assay1.DAT
2007-12-12 11:09 . 2007-12-12 11:28 4,409,369 --a------ E:\Temp\dougoufinda_ drillholes_log1.DAT
2007-12-10 14:04 . 2007-12-14 12:30 <REP> d-------- E:\Temp\Retrocessions dec 07
2007-12-10 08:26 . 2007-12-10 12:15 <REP> d-------- E:\Temp\Datam
2007-12-08 11:28 . 2007-12-05 11:33 418,318 --ah----- E:\WINDOWS\system32\ne0kS.exe
2007-12-03 10:24 . 2007-12-03 10:32 <REP> d-------- E:\Temp\Doug datam
2007-11-30 17:26 . 2007-11-30 17:26 <REP> d-------- E:\Program Files\Windows Live Favorites
2007-11-29 14:48 . 2007-11-29 14:48 0 --a------ E:\Temp\dmstusub.dat
2007-11-29 14:42 . 2007-12-17 16:57 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Earthworks
2007-11-29 14:26 . 2007-12-28 14:35 <REP> d-------- E:\Program Files\Fichiers communs\Earthworks
2007-11-29 14:26 . 2007-12-28 14:34 2,248 --a------ E:\WINDOWS\Earthwks.ini
2007-11-28 08:00 . 2007-12-17 11:03 <REP> d-------- E:\Temp\andre

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-28 14:15 --------- d-----w E:\Program Files\GetRight
2007-12-28 13:59 --------- d-----w E:\Documents and Settings\USER\Application Data\OpenOffice.org2
2007-12-28 12:34 --------- d-----w E:\Documents and Settings\USER\Application Data\Skype
2007-12-28 12:33 --------- d-----w E:\Documents and Settings\USER\Application Data\AVG7
2007-12-12 14:12 --------- d-----w E:\Program Files\GlobalMapper8
2007-12-12 08:11 --------- d-----w E:\Documents and Settings\USER\Application Data\U3
2007-11-30 17:27 --------- d-----w E:\Program Files\Windows Live Toolbar
2007-11-29 14:25 155,995 ----a-w E:\WINDOWS\java\Packages\0I1F1NB7.ZIP
2007-11-24 11:53 278,528 ----a-w E:\WINDOWS\system32\livesnth.dll
2007-11-22 08:01 --------- d-----w E:\Program Files\Google
2007-11-20 18:16 13,411,824 ----a-w E:\Program Files\Google_Earth_BZXV.exe
2007-11-13 10:25 20,480 ----a-w E:\WINDOWS\system32\drivers\secdrv.sys
2007-11-10 13:25 --------- d-----w E:\Documents and Settings\USER\Application Data\The Complete Genealogy Reporter - FTB
2007-10-29 22:43 1,293,824 ----a-w E:\WINDOWS\system32\quartz.dll
2007-10-25 10:00 230,912 ----a-w E:\WINDOWS\system32\wmasf.dll
2007-09-15 11:41 3,844,113 ----a-w E:\Program Files\Georient32v92_zip.exe
2005-04-26 08:08 11,520,211 ----a-w E:\Program Files\setup38p.exe
2005-04-26 07:42 11,491,678 ----a-w E:\Program Files\setup38e.exe
2001-10-24 10:11 25,859 ----a-w E:\Program Files\ZAPGRAB.EXE
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2004-08-04 04:54]
"swg"="E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-04 08:09]
"Skype"="E:\Program Files\Skype\Phone\Skype.exe" [2007-02-09 16:00]
"MsnMsgr"="E:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="E:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"Acrobat Assistant 7.0"="E:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 20:52]
"Ulead AutoDetector"="E:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-11-19 13:03]
"Controleur de calendrier pour Ulead Photo Express"="E:\Program Files\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe" [2004-01-12 20:40]
"HP Software Update"="E:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11]
"IgfxTray"="E:\WINDOWS\system32\igfxtray.exe" [2005-04-05 14:22]
"HotKeysCmds"="E:\WINDOWS\system32\hkcmd.exe" [2005-04-05 14:19]
"Persistence"="E:\WINDOWS\system32\igfxpers.exe" [2005-04-05 14:23]
"TkBellExe"="E:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-03-01 12:58]
"AVG7_CC"="E:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-21 08:29]
"HPWS myPrintMileage Agent"="E:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe" [2004-10-31 05:47]
"System12"="E:\WINDOWS\system32\ne0kS.exe" [2007-12-05 11:33]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 04:54]
"AVG7_Run"="E:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-25 09:10]

E:\Documents and Settings\USER\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.0.lnk - E:\Program Files\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 18:42:22]

E:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
GetRight - Tray Icon.lnk - E:\Program Files\GetRight\getright.exe [2007-01-04 17:02:49]
HP Digital Imaging Monitor.lnk - E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26]
Lancement rapide d'Adobe Acrobat.lnk - E:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2006-10-04 17:01:28]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgwlntf]
avgwlntf.dll 2007-03-21 16:53 9216 E:\WINDOWS\system32\avgwlntf.dll

R1 hwinterface;hwinterface;E:\WINDOWS\system32\Drivers\hwinterface.sys [2006-11-14 16:17]
S3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);E:\WINDOWS\system32\DRIVERS\A3AB.sys [2004-09-03 04:01]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{49d7f6b3-b4f6-11db-81c2-001195cfa1e4}]
\Shell\AutoRun\command - RavMon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c847c9b-a6f7-11dc-8350-0016763fe66a}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{87d24e4c-5457-11db-810d-001195cfa1e4}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91457e43-71a7-11dc-82f1-0016763fe66a}]
\Shell\Auto\command - F:\bittorrent.exe e
\Shell\AutoRun\command - E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9cc666a8-3db3-11db-80d8-fcd4cc218347}]
\Shell\AutoRun\command - ie.exe
\Shell\explore\Command - ie.exe
\Shell\open\Command - ie.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3267698-836f-11db-8168-001195cfa1e4}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c57b3853-a538-11db-81a6-001195cfa1e4}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cbc6cd3a-973d-11dc-8336-0016763fe66a}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-12-28 12:34:11 E:\WINDOWS\Tasks\RegistrySmart Scheduled Scan.job"
- E:\Program Files\RegistrySmart\RegistrySmart.ex
- E:\Program Files\RegistrySmart
"2007-12-28 14:59:00 E:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- E:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-28 15:02:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-28 15:02:46
E:\ComboFix2.txt ... 2007-12-28 14:24
.
2007-12-22 13:31:20 --- E O F ---

On va s'en charger  

[#ff0000]Désactive tes protections résidentes (antivirus...) ![/#f]
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :



Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
[#ff0000]NOTE : S'il n'y a pas de rédémarrage, poste quand même les rapports demandés.[/#f]

Je viens de faire cette operation,
voici les textes dans les logs file


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:02:24, on 28/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
E:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
E:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
E:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
E:\PROGRA~1\Grisoft\AVG7\avgemc.exe
E:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\WINDOWS\system32\svchost.exe
E:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
E:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
E:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
E:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
E:\Program Files\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
E:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
E:\WINDOWS\system32\hkcmd.exe
E:\WINDOWS\system32\igfxpers.exe
E:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
E:\PROGRA~1\Grisoft\AVG7\avgcc.exe
E:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\Program Files\Skype\Phone\Skype.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\Program Files\GetRight\getright.exe
E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\OpenOffice.org 2.0\program\soffice.exe
E:\Program Files\Skype\Plugin Manager\SkypePM.exe
E:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\explorer.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - E:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - E:\Program Files\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "E:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector] E:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Controleur de calendrier pour Ulead Photo Express] E:\Program Files\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [HP Software Update] E:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [IgfxTray] E:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] E:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] E:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [HPWS myPrintMileage Agent] E:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "E:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] E:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = E:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = E:\Program Files\GetRight\getright.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://E:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Convertir en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://E:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Download with GetRight - E:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - E:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://E:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?d0d2acfdcb9b4ab1a6708193ebea0ec5
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://E:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?d0d2acfdcb9b4ab1a6708193ebea0ec5
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgwlntf - E:\WINDOWS\SYSTEM32\avgwlntf.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 10133 bytes


ComboFix 07-12-21.4 - USER 2007-12-28 15:59:59.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.963 [GMT 0:00]
Running from: C:\Downloads\ComboFix.exe
Command switches used :: C:\Downloads\CFScript.txt
* Created a new restore point

FILE
E:\Program Files\setup38e.exe
E:\Program Files\setup38p.exe
E:\WINDOWS\system32\ne0kS.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\Program Files\setup38e.exe
E:\Program Files\setup38p.exe
E:\WINDOWS\system32\ne0kS.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2007-11-28 to 2007-12-28 ))))))))))))))))))))))))))))))))))))
.

2007-12-28 12:40 . 2007-12-28 12:40 <REP> d-------- E:\Program Files\Trend Micro
2007-12-28 12:25 . 2007-12-28 12:26 <REP> d-------- E:\Program Files\RegistrySmart
2007-12-28 12:25 . 2007-12-28 12:25 <REP> d-------- E:\Documents and Settings\USER\Application Data\RegistrySmart
2007-12-27 11:32 . 2007-12-27 11:32 371,394 --a------ E:\Temp\Tinko_rc_min1.DAT
2007-12-27 08:38 . 2007-12-27 08:38 984 --a------ E:\Temp\templeg2.DAT
2007-12-27 08:35 . 2007-12-27 08:35 1,035 --a------ E:\Temp\templeg1.DAT
2007-12-26 17:14 . 2007-12-26 17:14 391 --a------ E:\Temp\Tinko_drilling_accestemp.DAT
2007-12-26 16:41 . 2007-12-26 17:00 2,143 --a------ E:\Temp\Autogridkan.DAT
2007-12-24 08:42 . 2007-12-27 11:08 3,311,529 --a------ E:\Temp\tinko_ drillholes_log_1219071.DAT
2007-12-14 15:36 . 2007-12-19 15:03 1,644,257 --a------ E:\Temp\tinko_ drillholes_log1.DAT
2007-12-14 15:26 . 2007-12-27 11:15 481,588 --a------ E:\Temp\Tinko_rc_assay1.DAT
2007-12-12 11:09 . 2007-12-12 11:28 4,409,369 --a------ E:\Temp\dougoufinda_ drillholes_log1.DAT
2007-12-10 14:04 . 2007-12-14 12:30 <REP> d-------- E:\Temp\Retrocessions dec 07
2007-12-10 08:26 . 2007-12-10 12:15 <REP> d-------- E:\Temp\Datam
2007-12-03 10:24 . 2007-12-03 10:32 <REP> d-------- E:\Temp\Doug datam
2007-11-30 17:26 . 2007-11-30 17:26 <REP> d-------- E:\Program Files\Windows Live Favorites
2007-11-29 14:48 . 2007-11-29 14:48 0 --a------ E:\Temp\dmstusub.dat
2007-11-29 14:42 . 2007-12-17 16:57 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Earthworks
2007-11-29 14:26 . 2007-12-28 14:35 <REP> d-------- E:\Program Files\Fichiers communs\Earthworks
2007-11-29 14:26 . 2007-12-28 14:34 2,248 --a------ E:\WINDOWS\Earthwks.ini
2007-11-28 08:00 . 2007-12-17 11:03 <REP> d-------- E:\Temp\andre

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-28 14:15 --------- d-----w E:\Program Files\GetRight
2007-12-28 13:59 --------- d-----w E:\Documents and Settings\USER\Application Data\OpenOffice.org2
2007-12-28 12:34 --------- d-----w E:\Documents and Settings\USER\Application Data\Skype
2007-12-28 12:33 --------- d-----w E:\Documents and Settings\USER\Application Data\AVG7
2007-12-12 14:12 --------- d-----w E:\Program Files\GlobalMapper8
2007-12-12 08:11 --------- d-----w E:\Documents and Settings\USER\Application Data\U3
2007-11-30 17:27 --------- d-----w E:\Program Files\Windows Live Toolbar
2007-11-29 14:25 155,995 ----a-w E:\WINDOWS\java\Packages\0I1F1NB7.ZIP
2007-11-24 11:53 278,528 ----a-w E:\WINDOWS\system32\livesnth.dll
2007-11-22 08:01 --------- d-----w E:\Program Files\Google
2007-11-20 18:16 13,411,824 ----a-w E:\Program Files\Google_Earth_BZXV.exe
2007-11-13 10:25 20,480 ----a-w E:\WINDOWS\system32\drivers\secdrv.sys
2007-11-10 13:25 --------- d-----w E:\Documents and Settings\USER\Application Data\The Complete Genealogy Reporter - FTB
2007-10-29 22:43 1,293,824 ----a-w E:\WINDOWS\system32\quartz.dll
2007-10-25 10:00 230,912 ----a-w E:\WINDOWS\system32\wmasf.dll
2007-09-15 11:41 3,844,113 ----a-w E:\Program Files\Georient32v92_zip.exe
2001-10-24 10:11 25,859 ----a-w E:\Program Files\ZAPGRAB.EXE
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2004-08-04 04:54]
"swg"="E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-04 08:09]
"Skype"="E:\Program Files\Skype\Phone\Skype.exe" [2007-02-09 16:00]
"MsnMsgr"="E:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="E:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"Acrobat Assistant 7.0"="E:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 20:52]
"Ulead AutoDetector"="E:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-11-19 13:03]
"Controleur de calendrier pour Ulead Photo Express"="E:\Program Files\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe" [2004-01-12 20:40]
"HP Software Update"="E:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11]
"IgfxTray"="E:\WINDOWS\system32\igfxtray.exe" [2005-04-05 14:22]
"HotKeysCmds"="E:\WINDOWS\system32\hkcmd.exe" [2005-04-05 14:19]
"Persistence"="E:\WINDOWS\system32\igfxpers.exe" [2005-04-05 14:23]
"TkBellExe"="E:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-03-01 12:58]
"AVG7_CC"="E:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-21 08:29]
"HPWS myPrintMileage Agent"="E:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe" [2004-10-31 05:47]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 04:54]
"AVG7_Run"="E:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-25 09:10]

E:\Documents and Settings\USER\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.0.lnk - E:\Program Files\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 18:42:22]

E:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
GetRight - Tray Icon.lnk - E:\Program Files\GetRight\getright.exe [2007-01-04 17:02:49]
HP Digital Imaging Monitor.lnk - E:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26]
Lancement rapide d'Adobe Acrobat.lnk - E:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2006-10-04 17:01:28]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgwlntf]
avgwlntf.dll 2007-03-21 16:53 9216 E:\WINDOWS\system32\avgwlntf.dll

R1 hwinterface;hwinterface;E:\WINDOWS\system32\Drivers\hwinterface.sys [2006-11-14 16:17]
S3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);E:\WINDOWS\system32\DRIVERS\A3AB.sys [2004-09-03 04:01]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91457e43-71a7-11dc-82f1-0016763fe66a}]
\Shell\Auto\command - F:\bittorrent.exe e
\Shell\AutoRun\command - E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9cc666a8-3db3-11db-80d8-fcd4cc218347}]
\Shell\AutoRun\command - ie.exe
\Shell\explore\Command - ie.exe
\Shell\open\Command - ie.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cbc6cd3a-973d-11dc-8336-0016763fe66a}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-12-28 12:34:11 E:\WINDOWS\Tasks\RegistrySmart Scheduled Scan.job"
- E:\Program Files\RegistrySmart\RegistrySmart.ex
- E:\Program Files\RegistrySmart
"2007-12-28 15:59:00 E:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- E:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-28 16:00:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-28 16:01:24
.
2007-12-22 13:31:20 --- E O F ---

Alors ?

Merci beaucoup Angeldark, le message de virus a disparu!

Que dois faire pour les clés USB que j'utilisais?

Et je l'ai transmis aussi à 2 amis dejà!

Quel est ce problème ?

Je m'inquiète pour les disques externes que j'ai eu a utilisé, je me demande s'ils vont pas me le remettre en les utilisant de nouveau!

Quand tu connectes une clé USB, son contenu s'ouvre automatiquement ?

Ok j'ai compris que je ne le risque plus
Merci beaucoup et je posterai les scans des autres pC contaminés dès demain

merci encore

On termine celui-ci  

Télécharge ToolsCleaner sur ton Bureau.

Clique sur Recherche et laisse le scan se terminer.

Clique sur Suppression pour finaliser.

Clique sur Quitter, pour que le rapport puisse se créer.

Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\)

Désactive puis réactive la restauration du système : Voir aide

Ajoute maintenant [Résolu] au titre. Pour cela :
* Clique, dans ton premier message, sur le bouton "Editer"
* Rajoute la mention [Résolu] au titre
* Clique ensuite sur "Valider votre message"

Lis le dossier dossier sur la prévention et la protection pour ne plus avoir ce genre de problème en cliquant sur l'image ci-dessous :

-->- Recherche:

E:\Qoobox: trouvé !
E:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
E:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
E:\Documents and Settings\USER\Bureau\HijackThis.lnk: trouvé !
E:\Documents and Settings\USER\Recent\HijackThis.lnk: trouvé !
E:\Program Files\Trend Micro\HijackThis: trouvé !
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression:

E:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
E:\Documents and Settings\USER\Bureau\HijackThis.lnk: supprimé !
E:\Documents and Settings\USER\Recent\HijackThis.lnk: supprimé !
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
E:\Qoobox: supprimé !
E:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
E:\Program Files\Trend Micro\HijackThis: supprimé !