Grave Problèmes !

Pour info : j'ai déjà posté cette question il y a 2 mois je pense : "Internet Explorer S'ouvre Tout Seul" j'ai cru que le problème était résolu, mais après quelques jour ca a recommencé bien comme avant.
mais je n'ai rien fait jusque là !!

Bonjour,

Je n'ai pas pu regarder le fichier .doc puisque je n'ai pas encore réinstallé Word.

--> Relance MBAM, va dans Quarantaine et supprime tout.

--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau :
http://images.malwareremoval.com/random/RSIT.exe

--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

--> Clique sur Continue à l'écran Disclaimer.

--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\Rsit.

Bonjour wiwi77,
J'ai transformé le fichier .doc en image afin que tu puisse le visualiser.
Merci pour ton aide.

Je suis en train d'installer Word de toute façon

Pardon :
http://cjoint.com/?ciwvt5Sbv0

J'ai vu les images.

Tu peux faire la procédure avec RSIT ?

Voici les Rapports :
Info : http://cjoint.com/?ciwECyU50K
Log : http://cjoint.com/?ciwGpFiGfB

Effectivement, c'est la fête.

Je te poste une procédure d'ici 5 minutes.

Commence par désinstaller Vuze Toolbar.

1/

--> Lance ce fichier : C:\Documents and Settings\Administrateur\Bureau\Administrateur.exe

--> Choisis Do a system scan only.

--> Coche les cases qui sont devant les lignes suivantes :

Citation :

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\init.exe O4 - HKLM\..\Run: [19838] C:\tpywb.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - AppInit_DLLs: app_dll.dll

--> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

--> Ferme HijackThis.


2/

--> Télécharge OTM (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTM.exe

--> Double-clique sur OTM.exe afin de le lancer.

--> Copie (Ctrl+C) le texte suivant ci-dessous (Sans le mot Citation) :

Citation :

:processes explorer.exe :services ASKService ASKUpgrade :reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=- [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\Documents and Settings\Administrateur\Local Settings\Temp\init.exe"=- :files C:\tpywb.exe c:\lsass.exe C:\WINDOWS\system32\driversx.exe C:\nkorf.exe C:\xksbjacq.exe C:\Program Files\AskBarDis C:\WINDOWS\tasks\At1.job C:\WINDOWS\tasks\At10.job C:\WINDOWS\tasks\At11.job C:\WINDOWS\tasks\At12.job C:\WINDOWS\tasks\At13.job C:\WINDOWS\tasks\At14.job C:\WINDOWS\tasks\At15.job C:\WINDOWS\tasks\At16.job C:\WINDOWS\tasks\At17.job C:\WINDOWS\tasks\At18.job C:\WINDOWS\tasks\At19.job C:\WINDOWS\tasks\At2.job C:\WINDOWS\tasks\At20.job C:\WINDOWS\tasks\At21.job C:\WINDOWS\tasks\At22.job C:\WINDOWS\tasks\At23.job C:\WINDOWS\tasks\At24.job C:\WINDOWS\tasks\At25.job C:\WINDOWS\tasks\At26.job C:\WINDOWS\tasks\At27.job C:\WINDOWS\tasks\At28.job C:\WINDOWS\tasks\At29.job C:\WINDOWS\tasks\At3.job C:\WINDOWS\tasks\At30.job C:\WINDOWS\tasks\At31.job C:\WINDOWS\tasks\At32.job C:\WINDOWS\tasks\At33.job C:\WINDOWS\tasks\At34.job C:\WINDOWS\tasks\At35.job C:\WINDOWS\tasks\At36.job C:\WINDOWS\tasks\At37.job C:\WINDOWS\tasks\At38.job C:\WINDOWS\tasks\At39.job C:\WINDOWS\tasks\At4.job C:\WINDOWS\tasks\At40.job C:\WINDOWS\tasks\At41.job C:\WINDOWS\tasks\At42.job C:\WINDOWS\tasks\At43.job C:\WINDOWS\tasks\At44.job C:\WINDOWS\tasks\At45.job C:\WINDOWS\tasks\At46.job C:\WINDOWS\tasks\At47.job C:\WINDOWS\tasks\At48.job C:\WINDOWS\tasks\At5.job C:\WINDOWS\tasks\At6.job C:\WINDOWS\tasks\At7.job C:\WINDOWS\tasks\At8.job C:\WINDOWS\tasks\At9.job :commands [emptytemp] [reboot]

--> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

--> Clique maintenant sur le bouton MoveIt! puis ferme OTM.

--> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

--> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

j'ai désinstaller Vuze ToolBar, et aussi Emule et Lime Wire
par prudence car je ne les utilise pas de toute façon!

Juste pour info par rapport à la citation : O4 - HKLM\..\Run: [19838] C:\tpywb.exe

j'ai trouvé plutôt : 04 - HKLM\..\Run: [29500] C:\tpywb.exe

je continue quand même.

Oui, coche cette ligne.

Voici le rapport OTM : http://cjoint.com/?cixfi7mb0j

quand mon PC a redémarré j'ai commencé encore à avoir les message d'erreur dont je t'ai parlé tout à l'heure.
y compris celui là : http://cjoint.com/?cixiWyxXPJ

NB : mon curseur de souris reste toujours comme si il attend quelque chose.
curseur avec à coté une horloge !!!

--> Refais un scan RSIT et poste le rapport log.

Voici le rapport log : http://cjoint.com/?cixuXozrSD

--> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau :
http://www.malwarebytes.org/mbam/pr[...]/mbam-setup.exe

--> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.

--> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.

--> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.

--> Sélectionne Exécuter un examen rapide.

--> Clique sur Rechercher. L'analyse démarre.

--> A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

--> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

--> Ferme tes navigateurs.

--> Si des malwares ont été détectés, clique sur Afficher les résultats.

--> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.

--> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

J'ai déjà MBAM, donc je fais juste une mise à jour.

il a déjà trouvé 3 élément infecté.
Je vais donc fermer mon navigateur, mais je me reconnecte dès que l'analyse est terminée. je pense que ca prendra beaucoup de temps et j'espère que tu seras toujours connecté pour continuer !

Je reviens d'ici une demi-heure.

c bon mais mon ordi a dû redemarrer pour pouvoir supprimer des trucs et je ne trouve plus le rapport MBAM.

Regarde dans l'onglet Rapports/Logs de MBAM.

Voici le Rapport :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3709
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/02/2010 22:34:50
mbam-log-2010-02-08 (22-34-50).txt

Type de recherche: Examen rapide
Eléments examinés: 128979
Temps écoulé: 6 minute(s), 22 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
c:\lsass.exe (Trojan.Agent) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-7364274035-0855682415-820502578-3800\nissan.exe,C:\RECYCLER\S-1-5-21-5717556448-8954811669-009994295-0977\wnzip32.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\325.exe,explorer.exe,C:\RECYCLER\S-1-5-21-1484122269-6198105824-951214368-7281\vesita.exe,Explorer.exen) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Internet Explorer\js.mui (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wltray.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hkcmd.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\nhbqvmws.sys (Rootkit.Agent) -> Delete on reboot.
C:\lsass.exe (Trojan.Agent) -> Delete on reboot.

Refais un scan rapide pour voir si les infections ont bien été supprimées.

il a détecté 2 éléments infectés, je vais donc les supprimer et t'envoyer le rapport.