Inféction serieuse Résolu/Fermé

Question

Bonjour/Bonsoir a tous.  

J'en viens a solliciter votre aide concernant une infection sur le pc d'un proche.  
Le virus a beau etre supprimé, rien n'y fait. J'ai supprimé l'entrée de démarrage via le msconfig et toujours ce probleme.  

Les fichiers concernés sont psysjo3.exe et psysjo32.exe . Ils prennent aussi le nom de psyjo32.exe et psyjo3.exe.  

Je précise, le pc n'a que deux semaines (pc remis a neuf sans formatage du disque dur.) J'ai effectué a maintes reprises un scan antivirus (AVG Pro 9.0.828) avec la bdd virale a jour, des scan Maleware Bytes ainsi que des scans sous spybot S&D. J'ai un parefeu (ZoneAlarm car le pare feu windaube est une pure mer*de).  

Ci joint un scan rapport de HiJackThis :   

Logfile of Trend Micro HijackThis v2.0.2  
Scan saved at 14:03:41, on 17/06/2010  
Platform: Windows XP SP3 (WinNT 5.01.2600)  
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)  
Boot mode: Normal  

Running processes:  
C:\WINDOWS\System32\smss.exe  
C:\WINDOWS\system32\winlogon.exe  
C:\WINDOWS\system32\services.exe  
C:\WINDOWS\system32\lsass.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\System32\svchost.exe  
C:\Program Files\AVG\AVG9\avgchsvx.exe  
C:\Program Files\AVG\AVG9\avgrsx.exe  
C:\WINDOWS\Explorer.EXE  
C:\Program Files\AVG\AVG9\avgcsrvx.exe  
C:\WINDOWS\system32\spoolsv.exe  
C:\Program Files\AVG\AVG9\avgwdsvc.exe  
C:\Program Files\Java\jre6\bin\jqs.exe  
C:\WINDOWS\System32\wbem\wmiapsrv.exe  
C:\Program Files\AVG\AVG9\avgam.exe  
C:\Program Files\AVG\AVG9\avgnsx.exe  
C:\WINDOWS\AGRSMMSG.exe  
C:\WINDOWS\SOUNDMAN.EXE  
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe  
C:\PROGRA~1\AVG\AVG9\avgtray.exe  
C:\Program Files\Windows Live\Messenger\msnmsgr.exe  
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe  
C:\WINDOWS\system32\ZoneLabs\vsmon.exe  
C:\WINDOWS\System32\svchost.exe  
C:\Program Files\AVG\AVG9\avgcsrvx.exe  
C:\Program Files\Mozilla Firefox\firefox.exe  
C:\WINDOWS\regedit.exe  
C:\Documents and Settings\principal\Mes documents\Téléchargements\HiJackThis.exe  

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens  
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll  
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll  
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll  
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll  
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll  
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll  
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent  
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe  
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"  
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"  
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe  
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent  
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE  
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"  
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe  
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto  
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background  
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe  
O4 - HKCU\..\Run: [psysjo32] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo32.exe  
O4 - HKCU\..\Run: [psysjo3] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe  
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE  
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll  
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll  
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe  
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe  
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe  
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe  
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll  
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll  
O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe  
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe  
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe  
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe  
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe  

End of file - 5177 bytes  


Merci de bien vouloir vous occuper de mon cas et merci d'avance pour vos réponses.  

Florent. 

PS : Quand je selectionne les deux entrées de registre concernant psysjo3 et psysjo32 je fais un fix check. Je reboot HiJackThis et ca refait pareil...

Utilisateur anonyme · Answer

Bonjour
C:\RECYCLER
C'est la corbeille ça

Utilisateur anonyme · Answer

C'est normal, c'est un dossier spécial

On va faire un diagnostic plus complet avec ZHPDiag pour voir s'il y a d'autres infections

* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

Utilisateur anonyme · Answer

Je vois quelque chose apparemment présence d'une infection supports amovibles

Tu dois désactiver le TeaTimer de Spybot, car il va gêner les outils:
* Ouvre Spybot S&D
* Dans le menu Mode, séléctionne le mode avancé.
* Une fenêtre demande confirmation clique sur oui.
* Une fois le mode avancé actif, va dans l'onglet Outils.
* Clique sur Résident.
* La partie Résident comporte deux lignes qui sont normalement cochées :
=>Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
=>Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
* Décoche la ligne TeaTimer.
* Redémarre Spybot (le fermer et le réouvrir)
* Retourne dans le menu Résident  et vérifie qu'il soit bien désactivé.




Télécharge USBFix (de El Desaparecido, C_XX)  sur ton bureau
https://www.ionos.fr/?affiliate_id=77097 

# Double clic sur UsbFix présent sur ton bureau, et clique sur 
exécuter pour lancer l'installation qui se fera automatiquement 

# Clique sur Suppression 

# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir sur ton PC, et clique sur OK

# La suppression est lancée. Le bureau va disparaitre, c'est normal

# Une fois le nettoyage terminé, le bureau va réapparaitre, et il se
pourrai que ton navigateur s'ouvre à la page d'upload de l'outil te
demandant d'envoyer le fichier UsbFix_Upload_Me

# Clique sur Parcourir pour aller chercher le fichier 
compressé qui se trouve à la racine du disque

# Dans le menu déroulant, sélectionne UsbFix, et clique sur Envoyer
le fichier

# Ensuite poste le rapport UsbFix.txt qui est apparu avec le bureau .

# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

TiFloflo76 · Answer

Voila le rapport Usbfix.txt : 

http://www.cijoint.fr/cj201006/cijG3NcBjb.txt

Cordialement,
Florent

Utilisateur anonyme · Answer

As tu bien fait ceci ?

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PPP.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

USBFix a supprimé ce que tu voulais supprimer

Utilisateur anonyme · Answer

attends je vais analyser plus précisément le rapport de ZHPDiag, et je te
redis cela

Utilisateur anonyme · Answer

Pourrai  tu me refaire un ZHPDiag pour que je vérifie qu'il n'y ai plus de traces d'infections, surtout, héberge le rapport

Utilisateur anonyme · Answer

---\ ShareTools MSconfig StartupReg (SMSR) (O53)
O53 - SMSR:HKLM\...\startupreg\psysjo3  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe
O53 - SMSR:HKLM\...\startupreg\psysjo32  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo32.exe

C'est revenu, je sèche

incetitude · Answer

les fichiers systeme sont totalement endommage 
je pense que vous devrez formater votr PC

Inféction serieuse

9 réponses

Discussions similaires