Virus recalcitrant

Je n'ai pls de firewall/ antivirus... pour l'instant

Voici mon rapport:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijoXONko0.txt
Par avance merci

Voilà mon rapport Kill'em:

http://www.cijoint.fr/cjlink.php?file=cj201005/cij2JB0ZXl.txt

Encore merci de ton aide

J'ai copié la ligne de commande dans un ficier suppress.txt. J'ai enregistré. Mais le programme ne poursuit pas. Lorsque je relance, il me dit que le fichier suppress.txt n'existe pas et réouvre le fichier txt vierge.

Que faire?

tu as desactive les defenses ?

Et ce queje peux le faire avec ZHPFix? ou plutot manuellement?

Je coche la ligne sur ZHPFix
Je relance le PC et je poste un rapport ZHPDiag

Voici mon dernier rapport ZHPDiag
Pas moyen de supprimer manuellement le DLL

http://www.cijoint.fr/cjlink.php?file=cj201005/cijP0tFygm.txt

Voilà:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijwV9cLv2.txt

ZHPFix v1.12.3094 by Nicolas Coolman - Rapport de suppression du 09/05/2010 14:29:38
Fichier d'export Registre : C:\ZHPExportRegistry-09-05-2010-14-29-38.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: (no name) - {351FCFEE-47E3-474A-9900-A247CB343680} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\jkycrzly.dll => Clé supprimée avec succès
O2 - BHO: (no name) - {51182623-18FE-4AEF-9A73-D54FB1DD9B4E} . (.Microsoft Corporation - Windows Sockets Helper DLL.) -- c:\windows\system32\ijftpyr.dll => Clé non supprimée
O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe => Clé supprimée avec succès
HKCU\Software\Iwloycvhbc => Clé supprimée avec succès
HKLM\Software\7F68A003 => Clé supprimée avec succès
HKLM\Software\Amhrvwsr => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\QuickTime Task [Key] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask .exe => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

Dossier :
C:\Program Files\Fichiers Communs\i4j_jres => Supprimé et mis en quarantaine

Fichier :
c:\windows\system32\jkycrzly.dll => Fichier supprimé au reboot
c:\windows\system32\ijftpyr.dll => Fichier supprimé au reboot
c:\program files\bonjour\mdnsresponder.exe => Fichier supprimé au reboot
c:\debug [51283] => Fichier absent
c:\program files\quicktime\qttask .exe => Supprimé et mis en quarantaine
c:\windows\system32\:myspacce => Fichier absent

Logiciel :
O42 - Logiciel: - (.Pas de propriétaire.) [HKLM] => Logiciel absent

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x895B7AC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x89621248
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 7
Valeur du Registre : 0
Elément de données du Registre : 2
Dossier : 1
Fichier : 6
Logiciel : 1
Master Boot Record : 19
Autre : 0


End of the scan

Je vois qu'il y a des suppessions prevues au reboot. Dois-je rebooter maintenant?

Je te reposte un rapport ZHPDiag?

jkycrzly.dll => Fichier supprimé au reboot
c:\windows\system32\ijftpyr.dll=> Fichier supprimé au reboot
Ces deux fichiers sont toujours présents et ont toujours des clefs dans la base de registre

Je commence par le rapport MBAM:

http://www.cijoint.fr/cjlink.php?file=cj201005/cij7cL1EaL.txt

et le rapport ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijCm0dNCt.txt

Encore merci de ta patience... Apparement ce n'est pas encore fini

tu as supprimé pour mbam ? je regarde l'autre

oui mais cela revient à chaque démarrage . Toujours pareil
Memory module : jkycrly.dll
File : jkycrly.dll
registre key : fsharproj

Voilà

Désolé comme tout à l'heure, cela ce passe mal avec le fichier K.txt
Est il possible de supprimer ces clefs avec ZHPFix?

Avant cela ma version TRUST de XP était super stable. désolé de t'imposer cela.

Je suis désolé, que pourrais je faire d'autre???

Dans le pire des cas si tu ne trouves pas, ..... format c: et je réinstalle
Mais si je pouvais éviter cela me ferait gagner du temps

encore merci de te creuser les méninges pour moi, mais à ce niveau c'est de la science fiction pour moi

Si cela peut aider, j'ai un message d'erreur depuis le début à chaque lancement de List_kill'em

Windows script host est désactivé, contacter administrateur......

Au cas ou...

Ok plus de message d'erreur à l'ouverture, mais après enregistrement du fichier txt, le programme ne continue pas... désolé

Question bête : ces fichiers txt.... ou doivent ils être enregistrés pour fonctionner.
Car moi il me propose le repertoire d'installation du programme.

Lorsque tu m'as demandé de supprimer manuellement les clefs.
le programme list kill em a ouvert un fichier texte K.txt, j'ai copi les clefs et il ne s'est pas relancé.
Le fameux fichier K.txt est enregistré dans le repertoire du programme list kill em

N'est ce pas à la racine c: que devrit se trouver ce fichier.

Dès que le clean de kill'em est terminé, je poste le rapport de nettoyage et celui de ZHPDiag.
Merci de ta patience!

Bon c'est plus long que prévu....
Je posterai tout cela à mon réveil.
Bonne soirée

Bonjour,

voici mon rapport Kill'em:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijdIpm3ud.txt

et mon rapport ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijLd2Qt2W.txt

Par avance merci et à ce soir.

Tu avais raison, cela ne démarre pas... désolé

Je te remercie beaucoup de ton aide et de ta patience.
Tu auras essayer jusqu'au bout.

Je crois que je vais reformater.

Non de ce coté là cela s'est apparement calmé. il faut dire aussi que je suis déconnecté du web
Pas de 74Vax40S.exe ni d'iexplorer.exe. C'est la bonne nouvelle
Seul le dernier rapport MBAM est toujours valable.

après activation de ma console de récupération, j'ai pu supprimé le fameux : jkycrzky.dll que j'avais sous system32. cela te parait-il suffisant sans que MBAM a l'air de dire que pour lui tout est OK.

Qu'en penses tu

PS: j'ai aussi passé super antispyware et là aussi tout a l'air d'être clean