Bonjour à tous,
Après avoir supprimé les virus et les spywares (à l'aide de BitDefender V10.0 pour les virus et Spybot, AD-Aware, Spy-Emergency pour les spywares), j'ai nettoyé le PC en profondeur : Viré les cookies, vidé l'historique et les différents dossiers "Temp".
Donc le PC à retrouvé une nouvelle virginité ! Mais en le réinstallant chez notre client, BitDefender s'est fendu d'une série d'alertes ininterrompus. A chaque seconde une fenêtre  de l'antivirus nous indique une attaque qu'il a bloqué. Même si l'AV fait son travail (semble t'il) pour autant on est en droit de s'interroger sur la virulence de ce genre d'attaque...
Aurais-je oublié des fichiers susceptibles de générer de genre de chose ?
 
Merci à vous

La machine est toute seule chez le client, ou en réseau ?

toute seule...

Il faudrait des noms de virus ou de spywares pour mieux chercher.  
 
Mais à 1ère vue il y aurait encore des rootkits.

Disque dur externe ? Sauvegarde sur clé USB vérolée ?

Il n'y a pas de solutions externes (à ma connaissance).  
 
Voilà un résumé :
I:\Documents and Settings\All Users\Application Data\pcsvc\patchme.exe Infecté: MemScan:Application.Adware.Promulgate
I:\Documents and Settings\All Users\Application Data\pcsvc\patchme.exe Désinfection impossible
I:\Documents and Settings\All Users\Application Data\pcsvc\patchme.exe Déplacé
I:\Documents and Settings\ISABELLE\Mes documents\Mes vidéos\MsgPlus-300.exe Infecté: Trojan.Downloader.Swizzor.AG
I:\Documents and Settings\ISABELLE\Mes documents\Mes vidéos\MsgPlus-300.exe Désinfection impossible
I:\Documents and Settings\ISABELLE\Mes documents\Mes vidéos\MsgPlus-300.exe Déplacé
I:\Program Files\Common Files\Companion Wizard\compwiz.exe Détecté: Adware.Companion.A
I:\Program Files\Common Files\Companion Wizard\compwiz.exe Désinfection impossible
I:\Program Files\Common Files\Companion Wizard\compwiz.exe Déplacé
I:\updaterInstall_109.exe Infecté: Trojan.Downloader.Keenval.V
I:\updaterInstall_109.exe Désinfection impossible
I:\updaterInstall_109.exe Déplacé

Ca sent le rootkit par MSN, ça, genre MessengerSkinner ou équivalent !
Mais je persiste, les éléments perso ont bien été sauvegardés qqpart, as-tu scanné ce qqpart ?

j'ai scanné la totalité du DD en externe depuis une autre machine... On va récupérer le PC du client demain, j'aurais plus de précisions à t'apporter.

une recherche sur le net et ca dit que compwiz.exe c'est WinAntivirus.
 
Regarde ici: http://www.malekal.com/WinAntivirus2006.php

Je connais bien cette m.... qu'est WinAntirus je t'assure qu'il n'est plus sur la machine. Je te rejoins sur l'idée du rootkit "Messenger" car l'origine du pb semble venir de là. Je n'ai pas prêté attention à la version qui est installé.

Tu peux utiliser navilog1 ou ashampoo anti-spware (l'anti-rootkit est inclu).

Petit point sur la situation :
J'ai demandé à la cliente de surfer normalement sans que Messenger ne soit lancé. Résultat : plus d'attaques. Ogaby, tu as vu juste. Par ailleurs, je lui ai demandé de récupérer Ashampoo et de faire un scan. Depuis, je n'ai pas de nouvelles... donc bonnes nouvelles !
Merci à toi
 
PS : J'ai eu le fin mot de l'histoire...
Il s'agissait en fait d'un Trojan connu sous le nom de FotoMoto ( http://www.bitdefender.fr/VIRUS-10 [...] oto.A.html ). Il a pour fonction de modifier les paramètres proxy et de se loguer sur un serveur distant.
Finalement peu de solutions classiques sont efficaces (Bitdefender, AD-Aware, Spybot et AShampoo). En revanche, il existe cette option qui supprime définitivement cette bestiole, soluce que l'on a trouvé ici :
http://www.sur-la-toile.com/viewTo [...] fotom.html