Problème d'infection récurrente Fermé

Question

J'ai un problème de virus récurrent.. et je commence à desespérer: dès que j'efface les derniers virus et trojans, les nouveaux se chargent aussitot. Même après le passage de plusieurs anti-virus, ma connection est active tant en upload qu'en download alors que je ne touche à rien.. Les tentatives de scan avec Bitdefender online se terminent systématiquement par un écran bleu qui déclenche le redémarrage de l'ordi.
J'ai chargé et passé à plusieurs reprises CCcleaner, Spybot S&D, Ad-Aware, AVG Antis-Spyware,  et j'ai installé ZoneAlarm.  J'ai troqué AVG Anti-virus contre Avast. 
Quand je passe les logiciles susmentionnés, ils finissent en général par touver plusieurs malwares et peuvent les supprimer, mais au prochain redémarrage, de nouveau se rechargent.. Grâce au infos de ce forum, j'ai réussi à me débarrasser avec succès de Smitfraud et SpySherif (du moins il me semble..). Mais là, je sèche
Ou est la lacune dans la sécurité, comment me débarasser de ces attaques de virus récurrentes ?
(Accessoireent, depuis l'installation de ZoneAlarm, je ne peux plus relever mes mails avec Foxmail, bien que je l'ai ajouté dans les programmes de la zone de sécurité... )

et voici le rapport Hijack
Logfile of HijackThis v1.99.1
Scan saved at 03:31:04, on 11.04.2007
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\msiexec.exe
C:\WINNT\Explorer.exe
C:\Program Files\ULi5287\ULi5287.exe
C:\WINNT\updater.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\v7.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\System32\wuauclt.exe
C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ch/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {337C54C9-80C1-4de2-93CD-AAA510834074} - C:\WINNT\system32\laf9.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ULiRaid] C:\Program Files\ULi5287\ULi5287.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [runner1] C:\WINNT\updater.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iiuyvyu] c:\winnt\system32\drivers\uzcx.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [VaCtrls] v7
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs: C:\WINNT\System32\systs4w.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

lhionna · Answer

Bonjour,
La faille de sécurité est dans le fait que Internet explorer n'est pas à jour ( donc faille de sécurité non comblée).
Met le à jour via windows update
Pour ce qui est des infections, je fait une petite recherche et je te dit
@+

lhionna · Answer

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 
Double-clique VundoFix.exe afin de le lancer. 

Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau.

lhionna · Answer

et reposte un raport hijackthis stp

Liliane · Answer

J'oublias, VundoFix.exe, j'avais déjà essayé.. ai refait, maisca n'a rien donné, No infected files found.
Ma connection internet reste toujours très active sans que j'y touche et ZoneAlarm vien de me signale des tentatives d'envoi de mail avec des expéditeurs bidon (mais pas de client email ouvert). Il bloque aussi régulièrement des tentatives de de session NetBios vers des adresses IP diverses. 
Mais la connection internet reste active, même quand je n'y touche pas ;( 
Applictions Services et Contrôleur me semble demander beauoup de connections au net. Est-ce normal ?
IE Explorer 7 n'est pas disponible pour win 2000 ;(

lhionna · Answer

RE
pour vundofix c'est étrange
Mais tu as Internet explorer 5, essaie de voir si il n'y a pas la 6 et ton windows non plus n'est pas à jour, bref on s'en occupera plus tard

vas sur ce site : http://www.virustotal.com/en/indexf.html
et sur un petit cadran blanc met ce fichier : 
C:\WINNT\System32\v7.exe
Puis clique sur send.Attend un peu car un rapport va etre généré, copie/colle ce rapport lors de ton prochain post) :
en fait ca va analyser ce fichier par plusieurs antivirus
et ca va dire si il y a virus ou pas

lhionna · Answer

Télécharge VirtumundoBegone sur le bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis. 
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu

Liliane · Answer

Alors, voilà le résultat de VirtumundoBegone :
[04/11/2007, 16:26:04] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" )
[04/11/2007, 16:26:06] - Detected System Information:
[04/11/2007, 16:26:06] -  Windows Version: 5.0.2195, 
[04/11/2007, 16:26:06] -  Current Username: Administrateur (Admin)
[04/11/2007, 16:26:06] -  Windows is in NORMAL mode.
[04/11/2007, 16:26:06] - Searching for Browser Helper Objects:
[04/11/2007, 16:26:06] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[04/11/2007, 16:26:06] -  BHO 2: {337C54C9-80C1-4de2-93CD-AAA510834074} ()
[04/11/2007, 16:26:06] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/11/2007, 16:26:06] -  Checking for HKLM\...\Winlogon\Notify\laf9
[04/11/2007, 16:26:06] -  Key not found: HKLM\...\Winlogon\Notify\laf9, continuing.
[04/11/2007, 16:26:06] -  BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[04/11/2007, 16:26:06] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/11/2007, 16:26:06] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[04/11/2007, 16:26:06] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[04/11/2007, 16:26:06] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/11/2007, 16:26:06] -  BHO 5: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[04/11/2007, 16:26:06] - Finished Searching Browser Helper Objects
[04/11/2007, 16:26:06] - Finishing up...
[04/11/2007, 16:26:06] - Nothing found! Exiting...

J'attends le résultat de virustotal, y a une demie heure d'attente.
J'en profite pour vous remercie de votre aide o combien précieuse, c'est vraiment super. 
Bon du coup, j'en ai profité pour charger Explorer 6.. et du coup j'ai une fenêtre winjantispyware qui s'est ouverte .. peut-être un indice ? J'ai vraiment l'impression que tous les malware du net se sont donné RDV sur mon poste pour une grande fête ;)

Bon dès que j'ai le rs. de virustotal, je reposte..

Liliane · Answer

Donc voici le rapport de VirusTotal (fort interessant)
Antivirus	Version	Update	Result
AhnLab-V3	2007.4.12.0	04.11.2007	no virus found
AntiVir	7.3.1.50	04.11.2007	no virus found
Authentium	4.93.8	04.11.2007	no virus found
Avast	4.7.936.0	04.11.2007	no virus found
AVG	7.5.0.447	04.11.2007	no virus found
BitDefender	7.2	04.11.2007	no virus found
CAT-QuickHeal	9.00	04.10.2007	TrojanClicker.Agent.jb
ClamAV	devel-20070312	04.11.2007	no virus found
DrWeb	4.33	04.11.2007	Trojan.Click.2160
eSafe	7.0.15.0	04.10.2007	Suspicious Trojan/Worm
eTrust-Vet	30.7.3560	04.11.2007	no virus found
Ewido	4.0	04.10.2007	Hijacker.Agent.jb
FileAdvisor	1	04.11.2007	no virus found
Fortinet	2.85.0.0	04.11.2007	Adware/Agent
F-Prot	4.3.1.45	04.11.2007	no virus found
F-Secure	6.70.13030.0	04.11.2007	Trojan-Clicker.Win32.Agent.jb
Ikarus	T3.1.1.5	04.11.2007	Trojan-Clicker.Win32.Agent.jb
Kaspersky	4.0.2.24	04.11.2007	Trojan-Clicker.Win32.Agent.jb
McAfee	5005	04.10.2007	no virus found
Microsoft	1.2405	04.11.2007	no virus found
NOD32v2	2181	04.11.2007	no virus found
Norman	5.80.02	04.11.2007	no virus found
Panda	9.0.0.4	04.11.2007	Adware/DriveCleaner
Prevx1	V2	04.11.2007	Covert.Sys.Exec
Sophos	4.16.0	04.06.2007	no virus found
Sunbelt	2.2.907.0	04.07.2007	Scam.Iwin
Symantec	10	04.11.2007	no virus found
TheHacker	6.1.6.088	04.09.2007	no virus found
VBA32	3.11.3	04.10.2007	Trojan-Clicker.Win32.Agent.jb
VirusBuster	4.3.7:9	04.11.2007	no virus found
Webwasher-Gateway	6.0.1	04.11.2007	Win32.Malware.gen#PECompact (suspicious)

Aditional Information
File size: 11264 bytes
MD5: 56a1cf92df87ee01f8cd8826558a6ce8
SHA1: 2515e1e7345cb845ebdc69a2177b19c163d12710
packers: PECOMPACT
packers: embedded, PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=e68686870561
Sunbelt info: Scam.Iwin is created by an infected Windows Meta File (WMF) that is downloaded through an exploit for the purpose of transmitting false clicks to internet URLs.

A part ca, j'ai repassé Ad-Aware, Spybot et AVG Anti Spyware en mode sans echec, chaqun  a retrouvé un lot de saletés éliminées sans problème..enfin, le problème persiste.

lhionna · Answer

Reposte un  rapport hijackthis stp

Liliane · Answer

Logfile of HijackThis v1.99.1
Scan saved at 11:12:57, on 12.04.2007
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\msiexec.exe
C:\WINNT\Explorer.exe
C:\Program Files\ULi5287\ULi5287.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINNT\updater.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\v7.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ch/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {337C54C9-80C1-4de2-93CD-AAA510834074} - C:\WINNT\system32\laf9.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [ULiRaid] C:\Program Files\ULi5287\ULi5287.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [runner1] C:\WINNT\updater.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iiuyvyu] c:\winnt\system32\drivers\uzcx.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [VaCtrls] v7
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs: C:\WINNT\System32\systs4w.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

equinette · Answer

Problème toujours pas résolu.. si quelque'un avait une idée, serit vraiment preneuse !
J'ai des tas de fichiers .exe récents dans le dossier WINNT (stisvc.exe, abc1006def.exe, installer.exe, mmn.exe..) dernière modif de ces fichiers les 2 derniers jour. 
Puis-je les effacer ? J'ai le meme problème avec le dossier system32 ou il y  un fichier v7.exe, tmp.reg suscpect, winlogon.exe datant de hier)
La connection internet est terriblement lente et cherge de toute évidence des tas de choses non désirées dans les deux sens.

Y a-t-il une autre solution qu'un formatage complet du disque ?

equinette · Answer

P.S. Pseudo a changé car le site a enfin accepté la validation de mon compte.. mais suis la même personne que messages précédents ;)

lhionna · Answer

ok !
excuse moi pour mon absence mais j'ai eu un petit problème personnel . . .
Alors, attend que je me remette dans le bain !
Je reéxamine ton rapport hijack

lhionna · Answer

Lance hijackthis, click sur do a system scan ( pas de log !)
et coche les lignes suivantes :

O2 - BHO: (no name) - {337C54C9-80C1-4de2-93CD-AAA510834074} - C:\WINNT\system32\laf9.dll
O4 - HKLM\..\Run: [runner1] C:\WINNT\updater.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKLM\..\Run: [iiuyvyu] c:\winnt\system32\drivers\uzcx.exe
O4 - HKLM\..\Run: [VaCtrls] v7
O20 - AppInit_DLLs: C:\WINNT\System32\systs4w.dll

Puis click sur fix


Désactive la restauration système:
Click droit sur le poste de travail puis propriétés, onglet restauration système, coche désactiver la restauration système puis ok

Ensuite télécharge killbox
http://www.killbox.net/downloads/beta/KillBox.exe

Lance le 

Dans la case blanche colle 
C:\WINNT\System32\v7.exe
C:\WINNT\system32\laf9.dll
C:\WINNT\System32\systs4w.dll
c:\winnt\system32\drivers\uzcx.exe
C:\WINNT\updater.exe
Coche "Delete on reboot", puis sur all files puis clique sur le bouton avec la croix blanche dans le rond rouge à chaque fois qu'il te le sera demandé. Killbox demandera à redémarrer la machine clique oui
Attention, certains fichiers vont revenir si tu n'as pas désactivé la restauration système auparavant... ne l'oublie donc pas.

ensuite reposte un rapport hijackthis

equinette · Answer

Voilà qui est fait, Hijack m'a toutefois signalé une erreur pour la suppression de O20 - AppInit_DLLs: C:\WINNT\System32\systs4w.dll , mais ca semble tout de même avoir été effectué.

Suppression de restauration automatique pas possible sous win2000, mais il me semble que ce mode n'existe pas, donc pas de prob de ce côté là. 

Je n'ai pous de nouveaux .exe et .dll ajoutées dans WINNT et WINNT\system, donc ce sembla aller vers un mieux, toutefois, ma connection reste hyperactive, mais la navigation très lente, et zonalarme me sugnale toujours des tentatives d'envoi de mails plus que suspects. 

services.exe est toujours actif, pourrait-il y avoir un problème avec ce fichier ?
Acessoirment le fichier C:\WINNT\system32\winlogon.exe date toujours du jour même, se pourrait-il que ce fichier  contienne un virus. Est-ce normal qu'un .exe se mette à jour quotidiennement ?

Enfin, voilà le dernier rapport HijachThis:
Logfile of HijackThis v1.99.1
Scan saved at 10:46:23, on 15.04.2007
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\msiexec.exe
C:\WINNT\Explorer.exe
C:\Program Files\ULi5287\ULi5287.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Mes documents\downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ch/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [ULiRaid] C:\Program Files\ULi5287\ULi5287.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

lhionna · Answer

Alors, clique droit sur hijackthis, et renomme le en n'importe quel nom ( scanner, bisounours, barbie .....)

Relance un scan hijackthis et post le rapport stp
Ps : je doit m'absenter toute l'après-midi, je reviens ce soir
@+

equinette · Answer

Logfile of HijackThis v1.99.1
Scan saved at 16:07:49, on 15.04.2007
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32egsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\msiexec.exe
C:\WINNT\Explorer.exe
C:\Program Files\ULi5287\ULi5287.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe
C:\Program Files\Ahead
ero
ero.exe
C:\Hijack\Renomme.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ch/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [ULiRaid] C:\Program Files\ULi5287\ULi5287.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

A+ et merci d'avance pour tes conseils... enfin, me demande quand même s'il ne vaudrait pas mieux formater le disque...

lhionna · Answer

Fais un scan en ligne Kaspersky avec Internet Explorer : 
http://www.webscanner.kaspersky.fr/

- Clique sur Démarrer Online-Scanner 

- Clique maintenant sur J'accepte. 
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. 
- Patiente pendant l'installation des Mises à jour. 
- Choisis par la suite l'analyse du Poste de travail. 
- Sauvegarde puis colle le rapport généré en fin d'analyse. 

AIDE : Configurer le contrôle des ActiveX :
http://www.inoculer.com/activex.php3/

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

lhionna · Answer

Ce que je ne comprend pas  c'est que ton rapport hijackthis me semble propre !
Je me renseigne sur ton problème mais en attendant fait bien le scan en ligne
(peut tu me dire ce que Spybot S&D, Ad-Aware, AVG Antis-Spyware te trouvent hormis les tracking cookies ? )

equinette · Answer

Ben en fait, le problème qui persiste c'est que ma connexion internet rame.. et que zoneAlarm me signale encore et toujours des tentatives d'envoi de mails avec des expéditeurs bidon. 
Ma connexion envoi et recoit des infos avec beaucoup d'assoduité, même lorsque je ne demande rien. Envoyer un mail avec un fichier attaché de 3 Mo prend 10 minutes alors que j'ai de l'ADSL et si je surveille le réseau, il a envoyé 25 Mo pendant ce temps.. donc quelque chose cloche encore et toujours. 
Mais c'est certain que depuis l'ajout de ZoneAlarm, ca va beaucoup mieux puisque les nouveaux malware n'arrivent plus à rentrer . 
Enfin, c'est le casse-tête.

lhionna · Answer

Fait le scan en ligne que je t'ai demandé plus haut, stp 
@+

equinette · Answer

Désolée du long silence..
Le scan en ligne avec Kaspersky était difficile, mon ordi ralentissait chaque fois de manière extrème et finissait pas ne plus répondre. J'ai donc finalement chargé la version d'évaluation de l'antivirus sur un autre poste et remplacé Avast par Kaspersky. Résultat probant !. 

Voici l'essentiel de ce qui a été trouvé: C:\WINNT\system32\drivers
etdtect.sys  	Infecté : Rootkit.Win32.Agent.dp  	ignoré
C:\WINNT\system32\main.sys 	Infecté : Rootkit.Win32.Agent.el 	ignoré
C:\WINNT\system32\Perflib_Perfdata_274.dat 	L'objet est verrouillé 	ignoré
C:\WINNT\system32\windev-18cd-4878.sys 	Infecté : SpamTool.Win32.Agent.af 	ignoré
C:\WINNT\system32\windev-2bc5-529f.sys 	Infecté : Email-Worm.Win32.Zhelatin.cx 	ignoré
C:\WINNT\system32\windev-304a-70f2.sys 	Infecté : SpamTool.Win32.Agent.af 	ignoré
C:\WINNT\system32\windev-754f-2238.sys 	Infecté : SpamTool.Win32.Agent.af 	ignoré
C:\WINNT\system32\windev-837-6252.sys 	Infecté : SpamTool.Win32.Agent.af 	ignoré
C:\WINNT\system32\winlogon.exe 	Infecté : Trojan.Win32.Patched.m 	ignoré
C:\WINNT\system32\ws2_32.dll:fork2:$DATA 	Infecté : Trojan.Win32.Pakes 	ignoré

Ai eu de nombreux messages concernant le processus system32/services.exe avec mise en quarantaine

Supression manuelle de winlogon.exe

Et là, mon poste semble refonctionner corresctement, le réseau est silencieux tant que qu'aucune demande n'est envoyée. 

Accessoirement je peux de nouveau relever mes mails sur Firefox et ceci sans être obligé d'arrêter ZoneAlarm. Et puis ai mis é jour Windows avec le dernier servicepack et winupdate

MERCI de tout coeur pour ton aide et tes conseils !

Problème d'infection récurrente

22 réponses

Discussions similaires

Newsletters