Disparition du bureau + trojan

[Gate1431]

Bonjour à tous,

Je suis sur un PC portbale XP familial, et depuis peu, le bureau ne s'affiche plus, je n'ai que la photo du fond d'écran. J'accède aux appli via le Ctr-alt-suppr.
J'ai les messages d'erreurs suivants au démarrage de Windows:
"Pour protéger votre ordi, windows a fermé le prog: explorateur windows"

A noter que j'étais aussi infecté et quej'ai passé un SDFIX et un Malwarebytes' Anti-Malware qui m'a supprimé un paquet d'objets infectés...
Je ne suis nénamoins pas sur que l'ordi est complètement désinfecté, et le problème 'affichage du bureau est toujours pésent...

D'avance merci,

Hijackthis log dispo sur demande...

Merci,

[joedalton]

Je te propose un petit nettoyage de ta machine <<<ici>>>

Tu pourras nous poster ton rapport dans ton prochain message.

Si tu veut de l'aide pour l'utilitaire c'est <<<ici>>>

[Gate1431]

Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:00:57, on 27/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe
C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe
C:PROGRA~1GrisoftAVGFRE~1avgemc.exe
c:APPSPowercinemaKernelTVCLCapSvc.exe
c:APPSPowercinemaKernelCLML_NTServiceCLMLServer.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesFichiers communsUlead SystemsDVDULCDRSvr.exe
C:Program FilesSonicDigitalMedia LE v7MyDVD LEUSBDeviceService.exe
c:APPSPowercinemaKernelTVCLSched.exe
C:WINDOWSsystem32 askmgr.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesFichiers communsMicrosoft SharedWindows LiveWLLoginProxy.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://orange.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = file://C:APPSIEofflinefr.htm
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier3.1.807.1746swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:Program FilesEPSONEPSON Web-To-PageEPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:Program FilesEPSONEPSON Web-To-PageEPSON Web-To-Page.dll
O4 - HKLM..Run: [IMJPMIG8.1] "C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM..Run: [PHIME2002ASync] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNC
O4 - HKLM..Run: [PHIME2002A] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMEName
O4 - HKLM..Run: [SynTPLpr] C:Program FilesSynapticsSynTPSynTPLpr.exe
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM..Run: [SkyTel] SkyTel.EXE
O4 - HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0_04injusched.exe
O4 - HKLM..Run: [DetectorApp] C:Program FilesSonicDigitalMedia LE v7MyDVD LEDetectorApp.exe
O4 - HKLM..Run: [ISUSPM Startup] C:PROGRA~1FICHIE~1INSTAL~1UPDATE~1ISUSPM.exe -startup
O4 - HKLM..Run: [ISUSScheduler] "C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe" -start
O4 - HKLM..Run: [Ulead AutoDetector v2] C:Program FilesFichiers communsUlead SystemsAutoDetectormonitor.exe
O4 - HKLM..Run: [PCMService] "c:APPSPowercinemaPCMService.exe"
O4 - HKLM..Run: [LVCOMSX] C:WINDOWSsystem32LVCOMSX.EXE
O4 - HKLM..Run: [LogitechVideoRepair] C:Program FilesLogitechVideoISStart.exe
O4 - HKLM..Run: [LogitechVideoTray] C:Program FilesLogitechVideoLogiTray.exe
O4 - HKLM..Run: [AVG7_CC] C:PROGRA~1GrisoftAVGFRE~1avgcc.exe /STARTUP
O4 - HKLM..Run: [Adobe Photo Downloader] "C:Program FilesAdobePhotoshop Album Edition Découverte3.0Appsapdproxy.exe"
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [UserFaultCheck] %systemroot%system32dumprep 0 -u
O4 - HKLM..Run: [autochk] rundll32.exe C:WINDOWSsystem32autochk.dll,_IWMPEvents@16
O4 - HKLM..Run: [EmailChecker] C:APPSEmailCheckerech.exe
O4 - HKLM..RunOnce: [1] C:WINDOWSsystem32cmd.exe /c erase "C:DOCUME~1ADMINI~1LOCALS~1Tempacsuninstall.exe"
O4 - HKLM..RunOnce: [2] C:WINDOWSsystem32cmd.exe /c erase "C:DOCUME~1ADMINI~1LOCALS~1TempAcsUninstallRes.dll"
O4 - HKLM..RunOnce: [3] C:WINDOWSsystem32cmd.exe /c erase "C:DOCUME~1ADMINI~1LOCALS~1Tempshfolder.dll"
O4 - HKLM..RunOnce: [Malwarebytes' Anti-Malware] C:Program FilesMalwarebytes' Anti-Malwarembamgui.exe /install /silent
O4 - HKLM..RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:Program FilesMalwarebytes' Anti-Malwarembam.exe" /runcleanupscript
O4 - HKCU..Run: [SmpcSys] C:APPSSMPSmpSys.exe
O4 - HKCU..Run: [WOOKIT] C:PROGRA~1WanadooGestMaj.exe GestionnaireInternet.exe
O4 - HKCU..Run: [LogitechSoftwareUpdate] "C:Program FilesLogitechVideoManifestEngine.exe" boot
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKCU..Run: [updateMgr] "C:Program FilesAdobeAcrobat 7.0ReaderAdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU..Run: [EPSON Stylus DX7400 Series] C:WINDOWSSystem32spoolDRIVERSW32X863E_FATICDE.EXE /FU "C:WINDOWSTEMPE_SAF.tmp" /EF "HKCU"
O4 - HKCU..Run: [msnmsgr] "C:Program FilesWindows LiveMessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [rs32net] C:WINDOWSSystem32 s32net.exe
O4 - HKCU..Run: [autochk] rundll32.exe C:DOCUME~1NETWOR~1protect.dll,_IWMPEvents@16
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..Run: [AVG7_Run] C:PROGRA~1GrisoftAVGFRE~1avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:Program FilesNikonPictureProjectNkbMonitor.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_04in
pjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_04in
pjpi150_04.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:WINDOWSsystem32Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:APPSIEofflinefr.htm
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLMSystemCCSServicesTcpip..{1E4978EA-01B6-4EFD-8089-10AF86870ECC}: NameServer = 80.10.246.1 81.253.149.2
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVGFRE~1avgemc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:APPSPowercinemaKernelTVCLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:APPSPowercinemaKernelTVCLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:APPSPowercinemaKernelCLML_NTServiceCLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: Localisateur d'appels de procédure distante (RPC) RpcLocatorRasMan (RpcLocatorRasMan) - Unknown owner - C:WINDOWSsystem32activedsw.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:Program FilesFichiers communsUlead SystemsDVDULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:Program FilesSonicDigitalMedia LE v7MyDVD LEUSBDeviceService.exe

--
End of file - 10036 bytes

[r@in | b0w]

Bonjour.


1_ Via HiJackThis, tu supprimes les lignes:

O4 - HKLM..Run: [autochk] rundll32.exe C:WINDOWSsystem32autochk.dll,_IWMPEvents@16
O4 - HKLM..RunOnce: [1] C:WINDOWSsystem32cmd.exe /c erase "C:DOCUME~1ADMINI~1LOCALS~1Tempacsuninstall.exe"
O4 - HKLM..RunOnce: [2] C:WINDOWSsystem32cmd.exe /c erase "C:DOCUME~1ADMINI~1LOCALS~1TempAcsUninstallRes.dll"
O4 - HKLM..RunOnce: [3] C:WINDOWSsystem32cmd.exe /c erase "C:DOCUME~1ADMINI~1LOCALS~1Tempshfolder.dll"
O4 - HKCU..Run: [rs32net] C:WINDOWSSystem32 s32net.exe
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
Inconnu
O23 - Service: Localisateur d'appels de procédure distante (RPC) RpcLocatorRasMan (RpcLocatorRasMan) - Unknown owner - C:WINDOWSsystem32activedsw.exe.


2_ Tu désinstalles SDFix puis tu suis cette méthode:

Tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu verras ce message:

Code: Tout sélectionner

SDFix has been extracted to %systemdrive%SDFix
(Drive that contains the Windows directory - typically C:SDFix)

Open the SDFix folder in Safe Mode and double click the RunThis.bat file to start the fixtool
If RunThis.bat is started in Normal Mode, options to download and run Anti-Virus command line scanners are displayed

Catchme.exe Stealth Malware Detector by GMER is also included in the SDFix folder

Additional SDFix Instructions & screen shots can be found here - http://www.bleepingcomputer.com/forums/topic131299.html

Cela confirme l'installation de SDFix.

Tu pars alors en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends

Quand tu vois écrit:

Code: Tout sélectionner

The PC will now restart, SDFix will run again after reboot.

Press any key to continue...

Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.


3_ Tu fais un nouveau scan HiJackThis.


Ps: version d'Internet Explorer pas à jour, tu télécharges la version 7 ici.