Trojan.Agent.H [Résolu/Fermé]

Signaler
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
-
 Utilisateur anonyme -
Bonjour,
Depuis quelques temps mon PC est infecté par ce trojan qui s'est logé dans le registre. Voici d'ailleurs le rapport de l'antivirus:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2583
Windows 6.0.6001 Service Pack 1

14/08/2009 16:44:50
mbam-log-2009-08-14 (16-44-50).txt

Type de recherche: Examen rapide
Eléments examinés: 109810
Temps écoulé: 11 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mlaxw (Trojan.Agent.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Il y a quelques jours un de mes amis était parvenu à l'éradiquer mais malheureusement je l'ai rattrapé en téléchargeant le logiciel Liveplayer sur le site de son concepteur et depuis j'ai beau faire mais je ne parviens pas à m'en débarrasser... et comme il est parti en vacances :((

J'ai tenté déjà:

Suppression avec anti-malware: le rapport affirme qu'il est supprimé mais quand je relance une vérification virale, même rapide, il revient.

Navilog1 (à partir du site: http://il.mafioso.pagesperso-orange.fr/Navifix/download.htm affirme dans ses différents rapports qu'il l'a bien éradiqué; je relance la vérification virale, je le resupprime, j'ai la confirmation comme quoi la suppression a bien été effectuée et quand je relance l'anti-virus, je le retrouve à nouveau :( grrr!! Quelqu'un pourrait-il m'aider SVP? Par avance merci pour votre précieuse aide.

Cdt,
Sab

42 réponses


salut à quel endroit le retrouve-t-il ?
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2
Toujours au même endroit dans le registre: il ne change pas de place, OUF ;)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\mlaxw (Trojan.Agent.H)

@+
Sab

Desactive la protection residente de ton antivirus et ton parefeu si present , le temps du scan

Telecharge List'em et enregistre-le sur ton bureau et pas ailleurs

double-clic (Pour vista clic droit "executer en tant qu'administrateur")sur l'icone présent sur le bureau pour le lancer

laisse travailler l'outil, le scan devrait durer moins de 10 mn

une fois le scan Terminé le rapport s'affiche

colle son contenu si des fichiers sont detectés dans ta prochaine reponse ici.
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2
Voici le rapport:

List'em by g3n-h@ckm@n 1.0.1.4

14/08/2009 17:28:15,85

Microsoft Windows [version 6.0.6001]

Infections possibles

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : ¤¤¤¤¤¤¤¤¤¤

C:\Windows\SlantAdj.dll
C:\Windows\System32\guard32.dll

¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : ¤¤¤¤¤¤¤¤¤¤

HKLM\Software\Microsoft\Windows\CurrentVersion\Run "nvsvc"


--------EOF------------

@+
Sab

C:\Windows\SlantAdj.dll

supprime ceci manuellement puis :

Télécharge OTL de OLDTimer

enregistre le sur ton Bureau.

▶ Double clic sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant scan all users

▶ règle-le sur "60 Days"

▶Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt".
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2
Désolée je n'avais pas vu le fichier Extra :(

Voici le lien: http://www.cijoint.fr/cjlink.php?file=cj200908/cijoC25QKd.txt

Bonne soirée!
@+
Sab
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2
C'est quoi extra.txt?

Voici le lien pour OTL: http://www.cijoint.fr/cjlink.php?file=cj200908/cijvtPvLdL.txt

@+
Sab

Télécharge Navilog1 depuis-ce lien

▶ Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
▶ Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.

▶ Au menu principal, Fais le choix 1 >> Recherche / suppression automatique

Patiente jusqu'au message :
*** Analyse Termine le ..... ***

>>>>> Le fix peut durer une dizaine de minutes ;)

▶ Appuie sur une touche le bloc note va s'ouvrir.

▶ Copie-colle le rapport ici.

Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2
Voici le rapport demandé:

Fix Navipromo version 4.0.1 commencé le 14/08/2009 19:35:03,22

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 18.07.2009 à 11h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz )
BIOS : BIOS Version 6.00
USER : BA ( Not Administrator ! )
BOOT : Normal boot


Firewall : COMODO Firewall 3.5 (Activated)

C:\ (Local Disk) - NTFS - Total:92 Go (Free:5 Go)
D:\ (CD or DVD)


Recherche executée en mode normal

Nettoyage exécuté au redémarrage de l'ordinateur




Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\BA\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok






*** Scan terminé 14/08/2009 20:18:01,95 ***


Bonne soirée!
@+
Sab

▶ Relance Navilog.
▶ Choisis l'option 2 puis valide. (Entrée)
▶ Il te sera demander le nom d’un fichier : tape celui-ci sans faute : khebeby
▶ Il te sera demandé de le retaper, fais-le.
▶ Ton bureau va disparaître.
▶ Patiente jusqu'à l'apparition de ce message :

"▶▶▶ Nettoyage Termine le ..... ************"

▶ Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
▶ Sauvegarde le rapport.
▶ Referme le Bloc-notes. Ton bureau va maintenant réapparaître.


Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
Tapes explorer et valide. Cela te fera apparaitre ton bureau
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2
Voici le nouveau rapport qu'a généré Navilog1:

Fix Navipromo version 4.0.1 commencé le 14/08/2009 21:37:36,52

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 18.07.2009 à 11h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz )
BIOS : BIOS Version 6.00
USER : BA ( Not Administrator ! )
BOOT : Normal boot


Firewall : COMODO Firewall 3.5 (Activated)

C:\ (Local Disk) - NTFS - Total:92 Go (Free:3 Go)
D:\ (CD or DVD)



Mode suppression par méthode manuelle

Nom du fichier saisi : khebeby

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Users\IB\AppData\Local\khebeby.bat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\BA\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok






*** Scan terminé 14/08/2009 21:53:18,08 ***

Je suis la procédure normale: à savoir lancement à nouveau de Malwarebytes' Antimalware pour la manip finale mais j'ai peu d'espoir car j'ai entre-aperçu un message qui a défilé trop rapidement pour que je puisse le lire annonçant qu'il avait été impossible d'ouvrir le fichier???? et bizarrement khebeby a été supprimé sur la session IB et non BA (l'infectée et à partir de laquelle j'ai fait la manip)... Est-ce normal?

Sur ce, au dodo! Bonne nuit et merci beaucoup pour le coup de main.
@+
Sab

ah ben oui faut faire les manips des cessions qui sont infectées !
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2
Bonjour,

Analyse virale positive :(
Session toujours infectée: BA :(
Trojan.Agent.H toujours à la même place dans le regisre :'(

Mais bon, il faut pas trop que je pleure, le copain qui avait mon PC devant lui avait passé 6h pour éradiquer ce virus... en tout cas, ne téléchargez JAMAIS ce foutu logiciel de LIVEPLAYER car en cadeau il vous offre ce trojan plus 3 virus (que le logiciel anti-virus supprime facilement)!

Bonne journée!
@+
Sab
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2628
Windows 6.0.6001 Service Pack 1

15/08/2009 12:27:44
mbam-log-2009-08-15 (12-27-44).txt

Type de recherche: Examen rapide
Eléments examinés: 104170
Temps écoulé: 8 minute(s), 19 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mlaxw (Trojan.Agent.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Bref: virus toujours là :'(

@+
Sab

Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2
Oui je n'allais que rarement sur a session IB (administrateur).

Voici le rapport OTL... pour l'Extra.txt il n'y en a pas eu ?!??

http://www.cijoint.fr/cjlink.php?file=cj200908/cijHbOzeKz.txt

Encore merci pour ton aide.
Bonne journée!
@+
Sab

▶ Télécharge HostXpert sur ton Bureau :

▶ Décompresse-le (Clic droit >> Extraire ici)

▶ Double-clique sur HostsXpert pour le lancer

▶ clique sur le bouton "Restore MS Hosts File" puis ferme le programme

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

▶ s'il est fermé , clique dessus :)

ensuite :

▶ Télécharge Zeb-Restoreet enregistre ce fichier sur le bureau.

▶-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.

▶-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe

▶- Coche la case devant :sites de confiance

▶- Ne coche aucune autre case

▶-Clique sur Restaurer

▶-Redémarre ton PC

ensuite :

▶ Double clic sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\S-1-5-21-2871130235-1652184514-2184593607-1005\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found.
O4 - HKU\S-1-5-21-2871130235-1652184514-2184593607-1005..\Run: [mlaxw] c:\users\ib\appdata\local\mlaxw.exe File not found
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} http://download.divx.com/player/DivXBrowserPlugin.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O18 - Protocol\Filter: - text/xml - C:\Programmes\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL File not found
@Alternate Data Stream - 24 bytes -> C:\Windows:1F639DE48A906A43


:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"Alcmtr"=-
"RTHDCPL"=-


:commands
[emptytemp]
[reboot]


▶ Clique sur RunFix pour lancer la suppression.


▶ Poste le rapport.
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2
Voici le rapport:

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_USERS\S-1-5-21-2871130235-1652184514-2184593607-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041D03E-FD4B-44E0-B742-2D9B88305F98} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}\ not found.
Registry value HKEY_USERS\S-1-5-21-2871130235-1652184514-2184593607-1005\Software\Microsoft\Windows\CurrentVersion\Run\\mlaxw deleted successfully.
Starting removal of ActiveX control {67DABFBF-D0AB-41FA-9C46-CC0F21721616}
C:\WINDOWS\Downloaded Program Files\DivXPlugin.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ipp\ deleted successfully.
File Protocol\Handler\ipp - No CLSID value found not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ deleted successfully.
File Protocol\Handler\msdaipp - No CLSID value found not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\ deleted successfully.
ADS C:\Windows:1F639DE48A906A43 deleted successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Alcmtr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\RTHDCPL deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: BA
->Temp folder emptied: 1208690 bytes
->Temporary Internet Files folder emptied: 414244 bytes
->Java cache emptied: 243083 bytes
->FireFox cache emptied: 51319626 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 469 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\Windows\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 50,72 mb


OTL by OldTimer - Version 3.0.10.7 log created on 08152009_153351

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...


Bonne journée!
@+
Sab

▶ Passer de Avast à AntiVir :

▶ Télécharge Désinstalleur d'Avast!.

▶ redemarre en mode sans echec :

Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)


▶ Désinstalle via Ajout/Suppression de Programmes (si présents) :

* Avast!


▶ ensuite execute le desinstaller

Ceci effacera la majorité des traces du produit Avast! d'Alwil Software.

▶ redemarre

▶ Télécharge Ccleaner sur ton Bureau. :

▶ Clique sur "download the latest version"
▶ Installe-le en laissant seulement les options suivantes cochées :

- Ajouter un raccourci sur le Bureau
- Contrôler automatiquement les mises à jour de CCleaner

▶ Lance le Nettoyage
▶ Clique sur Chercher des erreurs et sauvegarde si tu le souhaites.

plus de precision sur la configuration de ccleaner te seront donnees plus tard


tuto Comment utiliser CCleaner.
***************

▶ Télécharge Antivir en Francais ou Antivir en Francais sur ton Bureau.:



▶ Double clique sur l'exécutable téléchargé pour lancer l'installation.
▶ À la fin de l'installation, clique sur Finish.
▶ Ouvre Antivir, assure-toi qu’il soit bien à jour !
▶ Dans l'onglet Protection Locale, choisis Contrôler.
▶ Active la recherche de rootkits via le + de Recherche de Rootkits, puis dans Sélection manuelle, coche tout (tes partitions de disque dur).
▶ Clique sur la loupe du milieu pour lancer le scan en tant qu'Administrateur.
▶ Poste moi le rapport généré : Pour cela, clique sur l'onglet Aperçu, puis choisis Rapports, tu trouveras son rapport..
▶ Sélectionne le rapport et clique sur l'icône "Afficher le fichier de rapport du rapport sélectionné.


▶ Note : Pour une éradication des menaces plus efficace, lance le scan en mode sans échec.

Pourquoi changer ? :Avast Vs Antivir

Tuto de configuration en vidéo (Merci Nico)

Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2
Voici le rapport d'analyse d'Antivir:



Avira AntiVir Personal
Date de création du fichier de rapport : samedi 15 août 2009 17:05

La recherche porte sur 1639416 souches de virus.

Détenteur de la licence :Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows :(Service Pack 1) [6.0.6001]
Mode Boot : Démarré normalement
Identifiant : BA
Nom de l'ordinateur :SAB

Informations de version :
BUILD.DAT : 8.2.0.61 17752 Bytes 25/05/2009 13:47:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 07:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 12:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 11:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 06:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 10:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 14:49:03
ANTIVIR2.VDF : 7.1.5.88 2668032 Bytes 10/08/2009 14:49:08
ANTIVIR3.VDF : 7.1.5.117 290304 Bytes 14/08/2009 14:49:09
Version du moteur: 8.2.1.1
AEVDF.DLL : 8.1.1.1 106868 Bytes 15/08/2009 14:49:19
AESCRIPT.DLL : 8.1.2.25 459130 Bytes 15/08/2009 14:49:18
AESCN.DLL : 8.1.2.4 127348 Bytes 15/08/2009 14:49:17
AERDL.DLL : 8.1.2.4 430452 Bytes 15/08/2009 14:49:17
AEPACK.DLL : 8.1.3.18 401783 Bytes 15/08/2009 14:49:16
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 15/08/2009 14:49:15
AEHEUR.DLL : 8.1.0.154 1917302 Bytes 15/08/2009 14:49:14
AEHELP.DLL : 8.1.5.3 233846 Bytes 15/08/2009 14:49:12
AEGEN.DLL : 8.1.1.56 356725 Bytes 15/08/2009 14:49:11
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 09:05:56
AECORE.DLL : 8.1.7.6 184694 Bytes 15/08/2009 14:49:10
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 09:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 07:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 08:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 15/08/2009 14:49:10
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 10:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 07:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 11:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 16:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 11:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 11:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 06:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 09:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Sélection manuelle
Fichier de configuration.........: C:\ProgramData\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Tous les fichiers
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : samedi 15 août 2009 17:05

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchFilterHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TrustedInstaller.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RAMASST.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'THotkey.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchProtocolHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cfp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wbc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cfosspeed.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NBKeyScan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ltmoh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SDWinSec.exe' - '1' module(s) sont contrôlés
Processus de recherche 'X10nets.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TAPPSRV.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IoctlSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mdm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DVDRAMSV.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CFSvcs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DevSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'agrsmsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cmdagent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'71' processus ont été contrôlés avec '71' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '56' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Users\BA\AppData\Local\Microsoft\Windows Live Mail\Storage Folders\Gestion cou 2f7\boulot\0A750320-0000007D.eml
[0] Type d'archive: MIME
--> file0.html
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Spoofing.Gen
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Spoofing.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4abdd8e7.qua' !
C:\Users\BA\AppData\Local\Microsoft\Windows Mail\Local Folders\Gestion cou 6dd\boulot\2E9D5067-0000007D.eml
[0] Type d'archive: MIME
--> file0.html
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Spoofing.Gen
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Spoofing.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4abfda90.qua' !
C:\Windows\System32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\'
Impossible d'ouvrir le chemin à contrôler D:\ !
Erreur système [21]: Le périphérique n'est pas prêt.


Fin de la recherche : samedi 15 août 2009 18:58
Temps nécessaire: 1:53:11 Heure(s)

La recherche a été effectuée intégralement

23108 Les répertoires ont été contrôlés
491518 Des fichiers ont été contrôlés
4 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
491512 Fichiers non infectés
14086 Les archives ont été contrôlées
2 Avertissements
2 Consignes

Suite à ces suppressions de fichiers et mise en quarantaine j'ai relancé un scan avec Malwarebytes'; résultat Trojan toujours présent :'( - voici son rapport:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2628
Windows 6.0.6001 Service Pack 1

15/08/2009 19:13:32
mbam-log-2009-08-15 (19-13-32).txt

Type de recherche: Examen rapide
Eléments examinés: 90203
Temps écoulé: 11 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mlaxw (Trojan.Agent.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Bonne soirée!
@+
Sab
même s'il n'est pas vraiment fait pour ca, essaye spybot , il m'a permi d'enlever plusieurs virus et troyans la semaine dernière

https://www.commentcamarche.net/download/telecharger-122-spybot-search-and-destroy

après l'installation suis les indications de mise a jour , puis revient à la page principale pour faire un scan complet

▶ Double clic sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
rkfree.exe


:reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mlaxw"=-

:commands
[emptytemp]
[reboot]


▶ Clique sur RunFix pour lancer la suppression.


▶ Poste le rapport.
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2
Voici le nouveau rapport: http://www.cijoint.fr/cjlink.php?file=cj200908/cijOvg8LSa.txt

Tu vas être très content... suite à la dernière manip j'ai relancé Malwarebytes... et devine ;)

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2628
Windows 6.0.6001 Service Pack 1

15/08/2009 19:51:56
mbam-log-2009-08-15 (19-51-56).txt

Type de recherche: Examen rapide
Eléments examinés: 89623
Temps écoulé: 12 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mlaxw (Trojan.Agent.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Il faut mieux en rire qu'en pleurer... mais je commence à comprendre pourquoi le copain au bout d'un certain laps de temps s'était mis à enguirlander le PC ;)

Bon appétit!
@+
>
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013

tout a fait , il vaut mieux en rire qu'en pleurer

bien content que tu y soit arriver

a plus

spybot >> poubelle !!
et qu'est qui te fait dire cela ?

sache que spybot est très bon logiciel ,utikiser par beaucoup de dépanneur informatique

d'ailleur c'est l'un d'eux qui m'a conseiller se logiciel et il est GENIAL

DEPUIS je n'ais plus du tout de probleme avec mon pc

AVANT DE LE CRITIQUER ESSAYE LE TOI MEME
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2
Merci Entraide mais j'avais déjà essayé Spybot la première fois que je me suis retrouvée avec ce trojan: il ne le détectait pas :( C'est pour cela que j'avais appelé un copain qui m'a fait des tas de manip sur le PC pour l'éradiquer... le problème est que j'ai récupéré ce foutu trojan en voulant télécharger Live-player (un logiciel pour regarder la TV sur PC offrant - dans leur pub - plus de chaînes étrangères que ADSL TV) et que ce copain est actuellement parti en vacances :( !! Ah, le lâcheur ;)!!
Bonne soirée!
@+
>
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013

ce n'est qu'une idée en l'air mais est que tu as essayer de supprimer le logiciel live-player avant de faire des scan avec les logiciels que l'on t'a conseiller .

UN CONSEIL , l'orsque tu télécharge un logiciel , pensent a le faire analyser par ton antivirus avant de l'installer
Messages postés
67
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
17 juin 2013
2 > entraide
Oh que oui, il est supprimé!!! et cela depuis le 1er jour!!

Et c'est toujours mon habitude de vérifier un document avant de l'ouvrir... mais pas facile de reconnaître qu'un logiciel va te refiler un virus quand il ne le reconnaît pas ;) Ce sont des choses qui arrivent: sur ce coup-là je n'avais pas été assez parano :(

Bon appétit
@+

lol les depanneurs en informatique comprennent que dalle en desinfection

spybot je l ai utilisé quelques mois a mes debuts mais decu :

blocage des màj de windows (certaines)
pc qui rame
une ois la page internet bloquée , et apres avoir desinstallé spubot, obligé de le reinstaller car lui seul peut la debloquer

bravo spybot !!

lis les historiques des gens avant de t enerver lol ^^