Virus Trojan : Besoin d'aide Fermé

Question

Bonjour, J'ai besoin de votre aide pour éradiquer un (plusieurs ?) virus/trojan présent sur ma machine (Windows XP, IE 6.0). Dimanche, j'ai laissé mon pc allumé toute la journée. En rentrant le soir, j'ai découvert une page IE non sollicitée en turc sur mon écran. J'ai lancé AVG Anti-spyware pour voir s'il n'y avait pas de tentative d'intrusion, je n'ai eu aucune détection. J'ai fait une recherche sur mon pc pour voir s'il y avait des modifications sur mon pc, et dans l'apres-midi (où je n'étais pas présent), je remarque certaines modifications sur MSN, PCHealth, et Prefetch. J'ai téléchargé AntiVir via Malekal et fait un premier scan. Voici le rapport : AntiVir PersonalEdition Classic Report file date: lundi 24 septembre 2007 00:56 Scanning for 1079119 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: JEREMY Computer name: JEREMY Version information: BUILD.DAT : 268 15604 Bytes 31/08/2007 13:04:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/09/2007 22:55:31 AVSCAN.DLL : 7.0.6.0 49192 Bytes 23/09/2007 22:55:31 LUKE.DLL : 7.0.5.3 147496 Bytes 23/09/2007 22:55:31 LUKERES.DLL : 7.0.6.1 10280 Bytes 23/09/2007 22:55:31 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58 ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 22:55:34 ANTIVIR2.VDF : 6.39.1.120 1918464 Bytes 12/09/2007 22:55:35 ANTIVIR3.VDF : 6.39.1.165 227840 Bytes 23/09/2007 22:55:35 AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 23/09/2007 22:55:36 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26 AVPREF.DLL : 7.0.2.2 25640 Bytes 23/09/2007 22:55:31 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 23/09/2007 22:55:36 AVREG.DLL : 7.0.1.6 30760 Bytes 23/09/2007 22:55:31 AVARKT.DLL : 1.0.0.20 278568 Bytes 23/09/2007 22:55:31 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 23/09/2007 22:55:31 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 23/09/2007 22:54:58 RCTEXT.DLL : 7.0.62.0 86056 Bytes 23/09/2007 22:54:58 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/09/2007 22:55:31 Configuration settings for the scan: Jobname..........................: Local Hard Disks Configuration file...............: c:\program files\antivir personaledition classic\alldiscs.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: D:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: lundi 24 septembre 2007 00:56 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'icrgnkizljya.exe' - '1' Module(s) have been scanned Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned Scan process 'avgas.exe' - '1' Module(s) have been scanned Scan process 'usnsvc.exe' - '1' Module(s) have been scanned Scan process 'OCRAWR32.EXE' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'ntvdm.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process '.exe' - '1' Module(s) have been scanned Module is infected -> 'C:\WINDOWS\system32\.exe' Scan process 'soundman.exe' - '1' Module(s) have been scanned Scan process 'xlash.exe' - '1' Module(s) have been scanned Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned Scan process 'guard.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned Process '.exe' has been terminated C:\WINDOWS\system32\.exe [DETECTION] Contains detection pattern of the worm WORM/Rbot.Gen [INFO] WORM/Rbot.Gen:[HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:=sz:.exe [INFO] WORM/Rbot.Gen:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:=sz:.exe [INFO] WORM/Rbot.Gen:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:=sz:.exe [INFO] WORM/Rbot.Gen:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES]:=sz:.exe [INFO] WORM/Rbot.Gen:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES]:=sz:.exe [INFO] The file was moved to '475bf050.qua'! 32 processes with 31 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '26' files ). Starting the file scan: Begin scan in 'C:\' C:\hiberfil.sys [WARNING] The file could not be opened! C: eoo.exe [DETECTION] Contains detection pattern of the worm WORM/Rbot.Gen [INFO] The file was moved to '4765f0a2.qua'! C:\pagefile.sys [WARNING] The file could not be opened! C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\INFECTED\4765f0a2.qua [DETECTION] Contains detection pattern of the worm WORM/Rbot.Gen [INFO] The file was moved to '472cf085.qua'! C:\WINDOWS\system32\mswinsvcr.exe [DETECTION] Contains detection pattern of the worm WORM/IrcBot.uxm [INFO] The file was moved to '476df441.qua'! C:\WINDOWS\system32\q8b6qYbI.exe [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen [INFO] The file was moved to '4758f40e.qua'! Begin scan in 'D:\' End of the scan: lundi 24 septembre 2007 01:18 Used time: 21:25 min The scan has been done completely. 3101 Scanning directories 90529 Files were scanned 6 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 5 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 90523 Files not concerned 540 Archives were scanned 2 Warnings 0 Notes Certains virus ou trojans semblent avoir été détectés ou mis en quarantaine, mais des problèmes persistent, et le pare-feu Windows m'alerte encore au redémarrage. D'autres scans réalisés ensuite, et en mode sans échec, m'informe que mon pc est encore loin d'etre sain. Voici les deux autres rapports faisant état de virus : AntiVir PersonalEdition Classic Report file date: lundi 24 septembre 2007 12:20 Scanning for 1079119 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: SYSTEM Computer name: JEREMY Version information: BUILD.DAT : 268 15604 Bytes 31/08/2007 13:04:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/09/2007 22:55:31 AVSCAN.DLL : 7.0.6.0 49192 Bytes 23/09/2007 22:55:31 LUKE.DLL : 7.0.5.3 147496 Bytes 23/09/2007 22:55:31 LUKERES.DLL : 7.0.6.1 10280 Bytes 23/09/2007 22:55:31 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58 ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 22:55:34 ANTIVIR2.VDF : 6.39.1.120 1918464 Bytes 12/09/2007 22:55:35 ANTIVIR3.VDF : 6.39.1.165 227840 Bytes 23/09/2007 22:55:35 AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 23/09/2007 22:55:36 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26 AVPREF.DLL : 7.0.2.2 25640 Bytes 23/09/2007 22:55:31 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 23/09/2007 22:55:36 AVREG.DLL : 7.0.1.6 30760 Bytes 23/09/2007 22:55:31 AVARKT.DLL : 1.0.0.20 278568 Bytes 23/09/2007 22:55:31 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 23/09/2007 22:55:31 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 23/09/2007 22:54:58 RCTEXT.DLL : 7.0.62.0 86056 Bytes 23/09/2007 22:54:58 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/09/2007 22:55:31 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: D:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: lundi 24 septembre 2007 12:20 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned Scan process 'wuauclt.exe' - '1' Module(s) have been scanned Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned Scan process 'guard.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'OCRAWR32.EXE' - '1' Module(s) have been scanned Scan process 'icrgnkizljya.exe' - '1' Module(s) have been scanned Scan process 'ntvdm.exe' - '1' Module(s) have been scanned Scan process 'reader_sl.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 24 processes with 24 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '21' files ). Starting the file scan: Begin scan in 'C:\' C:\hiberfil.sys [WARNING] The file could not be opened! C:\pagefile.sys [WARNING] The file could not be opened! C:\System Volume Information\_restore{8C16EA5C-C499-4766-A24A-2E01D69CFE5F}\RP282\A0035377.exe [DETECTION] Contains detection pattern of the worm WORM/Rbot.Gen [INFO] The file was moved to '472792a0.qua'! C:\System Volume Information\_restore{8C16EA5C-C499-4766-A24A-2E01D69CFE5F}\RP282\A0035378.exe [DETECTION] Contains detection pattern of the worm WORM/Rbot.Gen [INFO] The file was moved to '472792a5.qua'! C:\System Volume Information\_restore{8C16EA5C-C499-4766-A24A-2E01D69CFE5F}\RP282\A0035379.exe [DETECTION] Contains detection pattern of the worm WORM/IrcBot.uxm [INFO] The file was moved to '472792a7.qua'! C:\System Volume Information\_restore{8C16EA5C-C499-4766-A24A-2E01D69CFE5F}\RP282\A0035380.exe [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen [INFO] The file was moved to '472792ac.qua'! Begin scan in 'D:\' End of the scan: lundi 24 septembre 2007 12:38 Used time: 18:09 min The scan has been done completely. 3435 Scanning directories 96188 Files were scanned 4 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 4 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 96184 Files not concerned 538 Archives were scanned 2 Warnings 0 Notes et : AntiVir PersonalEdition Classic Report file date: mardi 25 septembre 2007 14:44 Scanning for 848873 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: SYSTEM Computer name: JEREMY Version information: BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/09/2007 22:55:31 AVSCAN.DLL : 7.0.6.0 49192 Bytes 23/09/2007 22:55:31 LUKE.DLL : 7.0.5.3 147496 Bytes 23/09/2007 22:55:31 LUKERES.DLL : 7.0.6.1 10280 Bytes 23/09/2007 22:55:31 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 22:52:14 ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 22:52:14 ANTIVIR2.VDF : 7.0.0.4 174592 Bytes 24/09/2007 22:52:14 ANTIVIR3.VDF : 7.0.0.8 18432 Bytes 24/09/2007 22:52:15 AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 23/09/2007 22:55:36 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26 AVPREF.DLL : 7.0.2.2 25640 Bytes 23/09/2007 22:55:31 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 23/09/2007 22:55:36 AVREG.DLL : 7.0.1.6 30760 Bytes 23/09/2007 22:55:31 AVARKT.DLL : 1.0.0.20 278568 Bytes 23/09/2007 22:55:31 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 23/09/2007 22:55:31 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 23/09/2007 22:54:58 RCTEXT.DLL : 7.0.62.0 86056 Bytes 23/09/2007 22:54:58 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/09/2007 22:55:31 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: D:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: mardi 25 septembre 2007 14:44 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned Scan process 'guard.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'OCRAWR32.EXE' - '1' Module(s) have been scanned Scan process 'icrgnkizljya.exe' - '1' Module(s) have been scanned Scan process 'ntvdm.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 24 processes with 24 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '21' files ). Starting the file scan: Begin scan in 'C:\' C:\hiberfil.sys [WARNING] The file could not be opened! C:\pagefile.sys [WARNING] The file could not be opened! C:\WINDOWS\xlash.exe [DETECTION] Is the Trojan horse TR/Dldr.Banload.bpn.131 [INFO] The file was moved to '475a0604.qua'! Begin scan in 'D:\' End of the scan: mardi 25 septembre 2007 15:01 Used time: 17:34 min The scan has been done completely. 3452 Scanning directories 98482 Files were scanned 1 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 1 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 98481 Files not concerned 545 Archives were scanned 2 Warnings 0 Notes A partir de là, je suis impuissant. Quelle est la marche à suivre pour me débarrasser définitivement de ces intrusions ??? Merci par avance pour votre aide. Jeremy

philae83 · Answer

bonjour

antivir t'as mis en quarantaine. 

* Télécharge  HijackThis  et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image (merci balltrap)
demo hijackenregistrement http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Jejenet · Answer

Merci pour ta réponse, voila le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:38:36, on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32
tvdm.exe
C:\WINDOWS\system32\icrgnkizljya.exe
C:\OPLIMIT\ocrawr32.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\JEREMY\LOCALS~1\Temp\Rar$EX01.324\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.noos.fr/abonnes.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0c53c2ab-3ae3-4bab-93c8-74fcc8db1329} - (no file)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - (no file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O4 - HKLM\..\Run: [] .exe
O4 - HKLM\..\Run: [TechWayLayer] icrgnkizljya.exe
O4 - HKLM\..\RunServices: [] .exe
O4 - HKLM\..\RunServices: [TechWayLayer] icrgnkizljya.exe
O4 - HKCU\..\Run: [] .exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
O20 - Winlogon Notify: disiew - disiew.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: XlashServ (XlashSrv) - Unknown owner - C:\WINDOWS\xlash.exe (file missing)

philae83 · Answer

* IMPORTANT :
réinstalle hijackthis correctement, il ne doit pas être installé dans les fichiers temporaires

ET

PAS D ANTIVIRUS ? ni FIREWALL ?
pourquoi antivir n'est pas au démarrage et donc en résident ?  met le en actif stp

puis

* lance hijackthis puis coche ces lignes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore 
O2 - BHO: (no name) - {0c53c2ab-3ae3-4bab-93c8-74fcc8db1329} - (no file)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - (no file) 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O4 - HKLM\..\Run: [] .exe
O4 - HKLM\..\Run: [TechWayLayer] icrgnkizljya.exe
O4 - HKLM\..\RunServices: [] .exe
O4 - HKLM\..\RunServices: [TechWayLayer] icrgnkizljya.exe
O4 - HKCU\..\Run: [] .exe 
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE 
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
O20 - Winlogon Notify: disiew - disiew.dll (file missing) 
O23 - Service: XlashServ (XlashSrv) - Unknown owner - C:\WINDOWS\xlash.exe (file missing) 

* toutes applications fermées et hors connexion clique sur "fix checked"

puis

* Fait un scan antivirus en ligne Panda et copie colle le résultat ici
https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm

* tuto en image
http://pageperso.aol.fr/loraline60/panda_scan.htm

Jejenet · Answer

J'ai reinstallé hijackthis, puis coché les cases + fix checked.

Pour l'anti virus panda, le QuickScan n'a rien révélé d'anormal.

J'ai lancé le TotalScan et il a été interrompu parce que Antivir a remarqué un virus : "contains detection patten of the Windows virus W95/blumblebee.1738"

philae83 · Answer

c'est normal pour faire le scan chez panda, il faut désactiver antivir, ces 2 là ne s'aiment pas :)

gloriano57 · Answer

Bonjour à tous non PC windows XP pro pack 2 vient de prendre 3 trojans dans 
c:\system32\  _ C: document a…. – C:/ document a…
mon anti virus : Mc Afee virus Scan 8.0.0 
Je viens de passer  Ad Aware  Spybot et CleanUp 
  débutant en informatique !! merci à tous de vous attarder avec nous !!!! @+
 voici mon hijack !!

Logfile of HijackThis v1.99.1
Scan saved at 17:09:23, on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\WINDOWS\system32
tvdm.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3E9E0E14-8D90-473F-8F82-BA2765AD4EAA} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\system32\efcyvwx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {839A1166-3A9C-45FC-85EE-ED9340908546} - C:\WINDOWS\system32\gebcc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - C:\WINDOWS\system32\vvnnvypn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\program files\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\eanrykot.dll",sitypnow
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [FlyAway] C:\DOCUME~1\JEAN\LOCALS~1\TEMP\FLYAWAY.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Pense-bête.lnk = C:\Program Files\Mindscape\PrintMaster\PMREMIND.EXE
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - Winlogon Notify: efcyvwx - C:\WINDOWS\SYSTEM32\efcyvwx.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

Jejenet · Answer

voila le rapport de Panda_Scan :

;***********************************************************************************************************************************************************************************
ANALYSIS: 2007-09-25 17:18:10
PROTECTIONS: 1
MALWARE: 14
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition                 7.0.0.8
                     No        Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\Documents and Settings\JEREMY\Cookies\jeremy@doubleclick[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           C:\Documents and Settings\JEREMY\Cookies\jeremy@atdmt[2].txt
00145393  Cookie/Tradedoubler                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\JEREMY\Cookies\jeremy@tradedoubler[2].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           C:\Documents and Settings\JEREMY\Cookies\jeremy@mediaplex[1].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Documents and Settings\JEREMY\Cookies\jeremy@xiti[1].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           C:\Documents and Settings\JEREMY\Cookies\jeremy@ad.yieldmanager[2].txt
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\Documents and Settings\JEREMY\Cookies\jeremy@weborama[1].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           C:\Documents and Settings\JEREMY\Cookies\jeremy@adtech[1].txt
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Documents and Settings\JEREMY\Cookies\jeremy@advertising[2].txt
00170554  Cookie/Overture                    TrackingCookie      No        0         Yes            No           C:\Documents and Settings\JEREMY\Cookies\jeremy@overture[1].txt
00171633  Cookie/Cgi-bin                     TrackingCookie      No        0         Yes            No           C:\Documents and Settings\JEREMY\Cookies\jeremy@cgi-bin[1].txt
00173520  Cookie/Bluestreak                  TrackingCookie      No        0         Yes            No           C:\Documents and Settings\JEREMY\Cookies\jeremy@bluestreak[1].txt
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\Documents and Settings\JEREMY\Cookies\jeremy@smartadserver[2].txt
01257925  Trj/LdPinch.AKN                    Virus/Trojan        No        0         Yes            No           C:\WINDOWS\system32\icrgnkizljya.exe
01257925  Trj/LdPinch.AKN                    Virus/Trojan        No        0         Yes            No           C:\Documents and Settings\JEREMY\Local Settings\Temporary Internet Files\Content.IE5\KLY7KLY7\CuRCuNa[1].exe
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================

La fonction "disinfect" est proposée, j'attends ton avis avant d'agir.

Jejenet · Answer

oui, hein ! chacun son sujet, nomého :)

Alors, tu en penses quoi ?

philae83 · Answer

as tu cliqué sur désinfecté ou non ?

Jejenet · Answer

Pas encore.
La page est encore ouverte, j'attends ton avis avant de le faire.

philae83 · Answer

oui fait le

par contre je vais devoir m'absenter, je serais de retour plus tard après diner

Jejenet · Answer

Ah par contre, la desinfection est payante... :/
N'y a-t-il pas un autre moyen ?

à tout à l'heure, sinon.

philae83 · Answer

attends

en fait chez panda, ils ont changé leur lien de scan, j'avais pas celui là avant, je vais t'en redonner un autre, bien sûr qu'on a d'autres moyens

attends je reviens

philae83 · Answer

essaye celui ci

http://www.nam.fr/info-securite/ScanVirus.htm

normalement tu ne devrais pa sêtre redirigé vers nanoscan, mais activescan

si ce n'est pas le cas, reviens le dire, on verra comment procéder (après diner, je dois aller préparer le repas quand même :)   )

Jejenet · Answer

Ahhh, tant mieux.
T'inquiète, je ne bouge pas !

Jejenet · Answer

Re
J'ai tenté avec ton 2e lien, je suis bien tombé sur ActiveScan et voila le rapport (idem NanoScan).
Par contre, pour les conseils de désinfection, c'est bien le meme tarif que le précédent.
J'attends ton retour, on verra ça ensemble.

Bon app' !


Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                         

Spyware:Cookie/YieldManager                                                     No Désinfecté                 C:\Documents and Settings\JEREMY\Cookies\jeremy@ad.yieldmanager[2].txt                                                                                                                                                                                          
Spyware:Cookie/Adtech                                                           No Désinfecté                 C:\Documents and Settings\JEREMY\Cookies\jeremy@adtech[1].txt                                                                                                                                                                                                   
Spyware:Cookie/Advertising                                                      No Désinfecté                 C:\Documents and Settings\JEREMY\Cookies\jeremy@advertising[2].txt                                                                                                                                                                                              
Spyware:Cookie/Atlas DMT                                                        No Désinfecté                 C:\Documents and Settings\JEREMY\Cookies\jeremy@atdmt[2].txt                                                                                                                                                                                                    
Spyware:Cookie/Bluestreak                                                       No Désinfecté                 C:\Documents and Settings\JEREMY\Cookies\jeremy@bluestreak[2].txt                                                                                                                                                                                               
Spyware:Cookie/Cgi-bin                                                          No Désinfecté                 C:\Documents and Settings\JEREMY\Cookies\jeremy@cgi-bin[1].txt                                                                                                                                                                                                  
Spyware:Cookie/Doubleclick                                                      No Désinfecté                 C:\Documents and Settings\JEREMY\Cookies\jeremy@doubleclick[1].txt                                                                                                                                                                                              
Spyware:Cookie/Mediaplex                                                        No Désinfecté                 C:\Documents and Settings\JEREMY\Cookies\jeremy@mediaplex[1].txt                                                                                                                                                                                                
Spyware:Cookie/Overture                                                         No Désinfecté                 C:\Documents and Settings\JEREMY\Cookies\jeremy@overture[1].txt                                                                                                                                                                                                 
Spyware:Cookie/Smartadserver                                                    No Désinfecté                 C:\Documents and Settings\JEREMY\Cookies\jeremy@smartadserver[2].txt                                                                                                                                                                                            
Spyware:Cookie/Tradedoubler                                                     No Désinfecté                 C:\Documents and Settings\JEREMY\Cookies\jeremy@tradedoubler[2].txt                                                                                                                                                                                             
Spyware:Cookie/Weborama                                                         No Désinfecté                 C:\Documents and Settings\JEREMY\Cookies\jeremy@weborama[1].txt                                                                                                                                                                                                 
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\JEREMY\Cookies\jeremy@xiti[1].txt                                                                                                                                                                                                     
Virus:Trj/LdPinch.AKN                                                           Renommé                       C:\Documents and Settings\JEREMY\Local Settings\Temporary Internet Files\Content.IE5\KLY7KLY7\CuRCuNa[1].exe                                                                                                                                                    
Virus:Trj/LdPinch.AKN                                                           Renommé                       C:\WINDOWS\system32\icrgnkizljya.exe

philae83 · Answer

ok merci pour les précisions

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe


double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\icrgnkizljya.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

ENSUITE

* Assure toi d'avoir accès à tous les fichiers

-démarrer

-poste de travail ou autre dossier

-menu outils

-options de dossier

-onglet affichage

puis

- activer la case : Afficher les fichiers et dossiers cachés

- désactiver la case : Masquer les extensions des fichiers dont le type est connu

- désactiver  la case : Masquer les fichier protégés du système d'exploitation

Puis  - Appliquer

* et Supprime le(s) fichier(s) ci dessous si il(s) est (sont) présent(s) :

C:\Documents and Settings\JEREMY\Local Settings\Temporary Internet Files\Content.IE5\----------tout le contenu

* Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir. Retourne à la fenêtre Paramètres de dossiers et sélectionne Ne pas afficher les fichiers cachés ou les fichiers système

et

tu pourras reposter un nouveau rapport hijackthis stp

Jejenet · Answer

J'ai téléchargé MoveIt.
J'ai placé l'élément "to be moved" dans le cadre de gauche

et le message suivant est apparu en plus milieu : "cannot create file c:\_OTMoveIt\MovedFiles\09252007_222626.log."

En dessous, dans "Results", j'ai eu :

"File/Folder C:\WINDOWS\system32\icrgnkizljya.exe not found.
 
Created on 09/25/2007 22:26:26"

philae83 · Answer

re

ok merci pour les précisions

* Télécharge OAD
http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher, fais un copier coller de : icrgnkizljya.exe (pour éviter les photos de frappe)

- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient

Jejenet · Answer

Oui, oui, je copie/colle le nom à chaque fois. Je ne veux pas prendre la peine d'oublier une lettre de ce charmant nom :)

Bon, ca a pas l'air d'être encore gagné avec celui-là.
Voila le rapport :

 25/09/2007 ---- 22:37:31,69  

----------------------------------
§§§§§§ [icrgnkizljya.exe] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\icrgnkizljya.exe"="C:\WINDOWS\system32\icrgnkizljya.exe:*:Disabled:icrgnkizljya"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\icrgnkizljya.exe"="C:\WINDOWS\system32\icrgnkizljya.exe:*:Disabled:icrgnkizljya"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\icrgnkizljya.exe"="icrgnkizljya"

[HKEY_USERS\S-1-5-21-842925246-813497703-854245398-1004\Software\Microsoft\OLE]
"TechWayLayer"="icrgnkizljya.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\icrgnkizljya.exe"="icrgnkizljya"

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

philae83 · Answer

apparemment il serait encore dans le registre

* télécharge ERUNT 
http://www.zebulon.fr/articles/base-de-registre-3.php#sauve

par précaution avant de bidouiller dans le registre
si tu as un doute, reviens demander avec une capture d'écran par exemple c'est souvent plus parlant.

tu vas aller voir manuellement pour le supprimer

démarrer----------exécuter-------------tu tapes regedit puis ok

tu navigues jusqu'aux clés ci dessous et tu supprimes si tu vois ton exe 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\icrgnkizljya.exe"="C:\WINDOWS\system32\icrgnkizljya.exe:*:Disabled:icrgnkizljya"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\icrgnkizljya.exe"="C:\WINDOWS\system32\icrgnkizljya.exe:*:Disabled:icrgnkizljya"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\icrgnkizljya.exe"="icrgnkizljya"

[HKEY_USERS\S-1-5-21-842925246-813497703-854245398-1004\Software\Microsoft\OLE]
"TechWayLayer"="icrgnkizljya.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\icrgnkizljya.exe"="icrgnkizljya"

Jejenet · Answer

Oui, je sais que c'est toujours délicat de toucher aux clés.

J'ai fait la sauvegarde avec ERUNT.

J'ai trouvé le premier :
Image : http://img146.imageshack.us/img146/2278/keysqg2.jpg (je ne sais pas si on peut insérer une image ici, en tout cas, je n'y suis pas arrivé.)
D'ailleurs, dans ce sous-groupe, les 3 derniers me semblent suspects. 
Qu'en penses-tu ?

philae83 · Answer

oui c'est bien ça, les 3 sont à supprimer.

d'ailleurs le .exe tout seul était dans ton 1er rapport hijackthis

tu feras une recherche ensuite avec ces 2 là et OAD

Jejenet · Answer

Oui, je m'en souvenais aussi.
Bon, j'ai déjà supprimé les 3 dans ce 1er sous-groupe, avec le ".exe", le "icrgnkizljya.exe" et "mswinsvcr.exe"

J'ai lancé OAD avec ".exe". le pb, c'est qu'il me sort un peu tout ce qui a .exe au bout, alors le rapport est trèèèèèès long.
Je l'ai fait aussi avec "mswinsvcr.exe", le rapport est plus court, je te le mets en 1er.
Tu veux l'analyse avec ".exe" aussi ??

 25/09/2007 ---- 23:24:48,56  

----------------------------------
§§§§§§ [mswinsvcr.exe] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\mswinsvcr.exe"="C:\WINDOWS\system32\mswinsvcr.exe:*:Disabled:mswinsvcr"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\mswinsvcr.exe"="mswinsvcr"

[HKEY_USERS\S-1-5-21-842925246-813497703-854245398-1004\Software\ASProtect]
"Microsoft"="mswinsvcr.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\mswinsvcr.exe"="mswinsvcr"

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

philae83 · Answer

pour celui là mswinsvcr.exe
tu peux faire la même chose virer 

pour le .exe, ca va être difficile effectivement. Y a peut être une solution, faut que j'aille chercher de plus amples renseignements.

je te tiens au courant

Jejenet · Answer

Bon, je repars sur la piste des " icrgnkizljya.exe" et "mswinsvcr.exe".

Tu me diras pour ".exe"
(Sinon, ça se lit, hein ! Mais c'est très long et indigeste. Et comme c'est pas non plus clairement défini que ce sont les ".exe" que l'on trouve qui sont ceux que l'on cherche, faudrait pas non plus faire une boulette en éliminant de mauvaises clés)

philae83 · Answer

c'est bien pour ça que je n'en veux pas du rapport, je n'ai pas envie de te faire faire des boulettes....

j'ai posé ma question je pense que j'aurais une réponse bientôt demain peut être car il est déjà tard.

Jejenet · Answer

Bah en fait, j'en ai trouvé des ".exe" en regardant les autres.
Je te fais le récap :
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] 
"C:\WINDOWS\system32\icrgnkizljya.exe"="C:\WINDOWS\system32\icrgnkizljya.exe:*:Disabled:icrgnkizljya" 
--> le 1er que je t'avais fait en imprim ecran, j'ai retiré les 3 valeurs.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] 
"C:\WINDOWS\system32\icrgnkizljya.exe"="C:\WINDOWS\system32\icrgnkizljya.exe:*:Disabled:icrgnkizljya" 
--> Pas trouvé. Enfin, non présent, plutôt.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache] 
"C:\WINDOWS\system32\icrgnkizljya.exe"="icrgnkizljya" 
--> ici, j'ai trouvé les 3 valeurs.

[HKEY_USERS\S-1-5-21-842925246-813497703-854245398-1004\Software\Microsoft\OLE] 
"TechWayLayer"="icrgnkizljya.exe" 
--> Trouvé.

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache] 
"C:\WINDOWS\system32\icrgnkizljya.exe"="icrgnkizljya" 
--> Non présent.

******************** 
[Registre] 
******************** 


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] 
"C:\WINDOWS\system32\mswinsvcr.exe"="C:\WINDOWS\system32\mswinsvcr.exe:*:Disabled:mswinsvcr" 
--> J'ai trouvé les 2 restants, à savoir le "mswinsvcr.exe" et le ".exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache] 
"C:\WINDOWS\system32\mswinsvcr.exe"="mswinsvcr" 
--> Déjà éliminé (voir plus haut, pdt ma recherche icrgnkizljya)

[HKEY_USERS\S-1-5-21-842925246-813497703-854245398-1004\Software\ASProtect] 
"Microsoft"="mswinsvcr.exe" 
--> trouvé.

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache] 
"C:\WINDOWS\system32\mswinsvcr.exe"="mswinsvcr" 
--> pas trouvé.


Voila.

philae83 · Answer

bon, on avance, tu as bien bossé

essaie maintenant de relancer OAD histoire de voir si il ressort qq chose (ceux que tu n'as pas trouvé certainement.)

Jejenet · Answer

Bonne nouvelle, il ne ressort plus rien sur les 2 facilement identifiables !
(Il y avait peut etre des clés à tiroirs, qui agissaient sur d'autres ?)

Sur le ".exe", j'ai refait aussi OAD, j'ai dépouillé la fin du doc autour de [HKEY_USERS\S-1-5-21-842925246-813497703-854245398-1004\Software\etc...], je n'ai rien trouvé non plus, mais bon, là c'est moins fiable, il était ptet pas caché par là non plus.

philae83 · Answer

ok,

comment se comporte le pc actuellement ? tu as encore des problèmes ou pas ?

Jejenet · Answer

Bah jusque là, je n'ai jamais eu trop de probleme pour surfer par exemple, même si c'est un peu plus confortable qu'au début.
Maintenant, depuis le début, je n'ai pas osé me connecter à un email ou même MSN (non réouvert depuis la 1ere alerte) de peur d'être identifié ou spammé.
Tu veux que je retente un AntiVir ? ou un ActiveScan ?

philae83 · Answer

tu peux refaire avec antivir

Jejenet · Answer

hum... Il y a un Trojan qui réapparait. (les deux autres alertes semblent être des réactions au PandaScan), je l'ai mis en quarantaine. Est-ce que cette opération suffit ?? AntiVir PersonalEdition Classic Report file date: mercredi 26 septembre 2007 00:40 Scanning for 848873 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: SYSTEM Computer name: JEREMY Version information: BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/09/2007 22:55:31 AVSCAN.DLL : 7.0.6.0 49192 Bytes 23/09/2007 22:55:31 LUKE.DLL : 7.0.5.3 147496 Bytes 23/09/2007 22:55:31 LUKERES.DLL : 7.0.6.1 10280 Bytes 23/09/2007 22:55:31 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 22:52:14 ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 22:52:14 ANTIVIR2.VDF : 7.0.0.4 174592 Bytes 24/09/2007 22:52:14 ANTIVIR3.VDF : 7.0.0.8 18432 Bytes 24/09/2007 22:52:15 AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 23/09/2007 22:55:36 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26 AVPREF.DLL : 7.0.2.2 25640 Bytes 23/09/2007 22:55:31 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 23/09/2007 22:55:36 AVREG.DLL : 7.0.1.6 30760 Bytes 23/09/2007 22:55:31 AVARKT.DLL : 1.0.0.20 278568 Bytes 23/09/2007 22:55:31 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 23/09/2007 22:55:31 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 23/09/2007 22:54:58 RCTEXT.DLL : 7.0.62.0 86056 Bytes 23/09/2007 22:54:58 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/09/2007 22:55:31 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: D:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: mercredi 26 septembre 2007 00:40 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned Scan process 'HijackThis.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned Scan process 'guard.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'OCRAWR32.EXE' - '1' Module(s) have been scanned Scan process 'ntvdm.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 26 processes with 26 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '15' files ). Starting the file scan: Begin scan in 'C:\' C:\hiberfil.sys [WARNING] The file could not be opened! C:\pagefile.sys [WARNING] The file could not be opened! C:\Program Files\Panda Security\TotalScan\pskavs.dll [DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738 [INFO] The file was moved to '476491c3.qua'! C:\System Volume Information\_restore{8C16EA5C-C499-4766-A24A-2E01D69CFE5F}\RP283\A0035398.exe [DETECTION] Is the Trojan horse TR/Dldr.Banload.bpn.131 [INFO] The file was moved to '472992d2.qua'! C:\WINDOWS\system32\ActiveScan\pskavs.dll [DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738 [INFO] The file was moved to '47649428.qua'! Begin scan in 'D:\' End of the scan: mercredi 26 septembre 2007 01:04 Used time: 24:04 min The scan has been done completely. 3471 Scanning directories 101577 Files were scanned 3 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 3 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 101574 Files not concerned 550 Archives were scanned 2 Warnings 0 Notes

philae83 · Answer

bonsoir,

je ne suis pas en avance aujourd'hui, désolée

hum... Il y a un Trojan qui réapparait. (les deux autres alertes semblent être des réactions au PandaScan), je l'ai mis en quarantaine.
Est-ce que cette opération suffit ??

tu parles de ceci :

 C:\Program Files\Panda Security\TotalScan\pskavs.dll
[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738
[INFO] The file was moved to '476491c3.qua'!
C:\System Volume Information\_restore{8C16EA5C-C499-4766-A24A-2E01D69CFE5F}\RP283\A0035398.exe
[DETECTION] Is the Trojan horse TR/Dldr.Banload.bpn.131
[INFO] The file was moved to '472992d2.qua'!
C:\WINDOWS\system32\ActiveScan\pskavs.dll
[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738
[INFO] The file was moved to '47649428.qua'!
Begin scan in 'D:\' <DATA>


alors ce n'est rien, 2 sont dûs au scan chez Panda, et l'autre est dans la restauration système.
On va pouvoir y remédier

d'autres questions ? d'autres soucis ?

Virus Trojan : Besoin d'aide

35 réponses

Discussions similaires