trojan rapport hijackthis Résolu/Fermé

Question

Bonjour,
ça fait des jours que je suis la dessus, j'ai télécharger, msnfix, sdfix, et tout et tout, mais rien ni fait.
voici mon rapport hijackthis.
merci de bien vouloir m'aider.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05:00, on 30/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
I:\WINDOWS\Explorer.EXE
I:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
I:\Program Files\Securitoo\av_fw\fswsclds.exe
I:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\alg.exe
I:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
I:\PROGRA~1\MESSAG~1\StartMessager.exe
I:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\MSN Messenger\msnmsgr.exe
I:\Program Files\OpenOffice.org 2.2\program\soffice.exe
I:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
I:\Program Files\MSN Messenger\usnsvc.exe
I:\Program Files\RegCleaner\RegCleanr.exe
I:\Program Files\RegCleaner\RegCleanr.exe
I:\Program Files\Mozilla Firefox\firefox.exe
I:\WINDOWS\system32\wbem\wmiprvse.exe
I:\Documents and Settings\Jean-Michel\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - I:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - I:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - I:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - I:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - I:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - I:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] I:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] I:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [Microsoft Works Update Detection] I:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [avgnt] "I:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "I:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [msnmsgr] "I:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: OpenOffice.org 2.2.lnk = I:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://I:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - I:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - I:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - I:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - I:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - I:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - I:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

jlpjlp · Answer

slt,
tu as f secure et antivir, soit deux antivirus, deux ensemble, cela fait planter les ordi...

________________

tu as le nom du troyen? le nom des fichiers inféctés? cela te fais quoi? des pubs?... explique bien
________________

AVG antispyware

https://www.01net.com/

Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


->Relance AVG AS -> "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici


______________________


colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

lonijova · Answer

salut et merci pour la réponse rapide.
déja je vais virer f secure.
ensuite concernant le problème, quand je suis sur msn, ça envoi à met contact un message avec un lien.
j'ai un dossier dans documents and settings: remuyzxd.exe que je ne peut effacer et apriori le problème vient de la.
sinon le scan avec antivir, ma sortie plusieur truc comme :
BDS/delf.dbu.1
TR/hijacker.gen
DR/delphi.gen!
HEUR/crypted.

voila, je vais commencer par faire ce que tu m'as envoyé.
merci

lonijova · Answer

resalut. tes liens pour avg, sont mort.
et je ne trouve pas avg.
merci

lonijova · Answer

voici le rapport d'antivir.

AntiVir PersonalEdition Classic
Report file date: mercredi 30 janvier 2008  03:32

Scanning for 1084249 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    PAVILION

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 13:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 12:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 15:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 13:36:36
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14/12/2007 11:29:02
ANTIVIR2.VDF : 7.0.2.49    1339904 Bytes  25/01/2008 13:48:58
ANTIVIR3.VDF : 7.0.2.68     189440 Bytes  29/01/2008 14:23:06
AVEWIN32.DLL : 7.6.0.57    3215872 Bytes  28/01/2008 16:47:28
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 10:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 07:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  29/01/2008 14:23:10
AVPACK32.DLL : 7.6.0.3      360488 Bytes  15/01/2008 13:29:28
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: i:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: I:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 30 janvier 2008  03:32

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
Scan process 'soffice.bin' - '1' Module(s) have been scanned
Scan process 'soffice.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'WkUFind.exe' - '1' Module(s) have been scanned
Scan process 'StartMessager.exe' - '1' Module(s) have been scanned
Scan process 'SMax4PNP.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SMAgent.exe' - '1' Module(s) have been scanned
Scan process 'fswsclds.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
32 processes with 32 modules were scanned

Start scanning boot sectors:
Boot sector 'I:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '30' files ).


Starting the file scan:

Begin scan in 'I:\'
I:\hiberfil.sys
      [WARNING]   The file could not be opened!
I:\pagefile.sys
      [WARNING]   The file could not be opened!
I:\System Volume Information\_restore{F9C3C5F1-CD8B-4002-877C-01AEB4D42CB2}\RP343\A0132768.exe
      [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Delf.dbu.1 Backdoor server programs
      [INFO]      The file was deleted!
I:\System Volume Information\_restore{F9C3C5F1-CD8B-4002-877C-01AEB4D42CB2}\RP350\A0132895.exe
      [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Delf.dbu.1 Backdoor server programs
      [INFO]      The file was deleted!


End of the scan: mercredi 30 janvier 2008  11:37
Used time:  8:04:43 min

The scan has been done completely.

   5660 Scanning directories
 244731 Files were scanned
      2 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      2 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 244729 Files not concerned
   1777 Archives were scanned
      2 Warnings
      0 Notes

lonijova · Answer

help

lonijova · Answer

voici le rapport avg anti-spyware.

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	16:07:23 30/01/2008

 + Résultat de l'analyse:	



HKU\S-1-5-21-1229272821-1004336348-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5054F860-748D-4840-B7B4-DDDB428421AF} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.11:I:\Documents and Settings\Jean-Michel\Application Data\Mozilla\Firefox\Profiles\5kqe8a44.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.13:I:\Documents and Settings\Jean-Michel\Application Data\Mozilla\Firefox\Profiles\5kqe8a44.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.14:I:\Documents and Settings\Jean-Michel\Application Data\Mozilla\Firefox\Profiles\5kqe8a44.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.15:I:\Documents and Settings\Jean-Michel\Application Data\Mozilla\Firefox\Profiles\5kqe8a44.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.10:I:\Documents and Settings\Jean-Michel\Application Data\Mozilla\Firefox\Profiles\5kqe8a44.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.8:I:\Documents and Settings\Jean-Michel\Application Data\Mozilla\Firefox\Profiles\5kqe8a44.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.


Fin du rapport

lonijova · Answer

voici mon nouveau rapport antivir

AntiVir PersonalEdition Classic
Report file date: mercredi 30 janvier 2008  16:15

Scanning for 1084249 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    PAVILION

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 13:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 12:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 15:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 13:36:36
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14/12/2007 11:29:02
ANTIVIR2.VDF : 7.0.2.49    1339904 Bytes  25/01/2008 13:48:58
ANTIVIR3.VDF : 7.0.2.68     189440 Bytes  29/01/2008 14:23:06
AVEWIN32.DLL : 7.6.0.57    3215872 Bytes  28/01/2008 16:47:28
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 10:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 07:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  29/01/2008 14:23:10
AVPACK32.DLL : 7.6.0.3      360488 Bytes  15/01/2008 13:29:28
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: i:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: I:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 30 janvier 2008  16:15

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'soffice.bin' - '1' Module(s) have been scanned
Scan process 'soffice.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'WkUFind.exe' - '1' Module(s) have been scanned
Scan process 'StartMessager.exe' - '1' Module(s) have been scanned
Scan process 'SMax4PNP.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SMAgent.exe' - '1' Module(s) have been scanned
Scan process 'fswsclds.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
30 processes with 30 modules were scanned

Start scanning boot sectors:
Boot sector 'I:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '23' files ).


Starting the file scan:

Begin scan in 'I:\'
I:\hiberfil.sys
      [WARNING]   The file could not be opened!
I:\pagefile.sys
      [WARNING]   The file could not be opened!
I:\Program Files\MSNFix\remuyzxd.exe
      [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Delf.dbu.1 Backdoor server programs
      [INFO]      The file was moved to '480d98ae.qua'!
I:\System Volume Information\_restore{F9C3C5F1-CD8B-4002-877C-01AEB4D42CB2}\RP353\A0133495.exe
      [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Delf.dbu.1 Backdoor server programs
      [INFO]      The file was moved to '47d19a5e.qua'!
I:\System Volume Information\_restore{F9C3C5F1-CD8B-4002-877C-01AEB4D42CB2}\RP353\A0133533.exe
      [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Delf.dbu.1 Backdoor server programs
      [INFO]      The file was moved to '47d19a65.qua'!
I:\System Volume Information\_restore{F9C3C5F1-CD8B-4002-877C-01AEB4D42CB2}\RP353\A0133542.exe
      [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Delf.dbu.1 Backdoor server programs
      [INFO]      The file was moved to '47d19a67.qua'!


End of the scan: mercredi 30 janvier 2008  16:44
Used time: 28:38 min

The scan has been done completely.

   5497 Scanning directories
 245089 Files were scanned
      4 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      4 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 245085 Files not concerned
   1778 Archives were scanned
      2 Warnings
      0 Notes

jlpjlp · Answer

le virus est dans msnfix!

tu vas dans poste de travail puis   I  puis   Program Files\MSNFix  et tu vire tout ce qui est dedans


I:\Program Files\MSNFix\remuyzxd.exe 

____________________

combofix (colle le rapport)
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

____________________

pour les autres virus trouvés par antivir ils sont dans ta restauration:

désactive la restauration système pour purger les virus qui seraient dedans 

puis redemarre ton ordi
puis réactive là
(dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre)

_____________________
vire ce qui est en quarantaine dans antivir

_______________________

recolle un rapport antivir et dis tes soucis

a plus

lonijova · Answer

salut jlpjlp, et merci infiniment de prendre de ton temps pour t'occuper de mon problème.

j'ai fait tout ce que tu as dit.
le problème c'est combo fix.
il m'ouvre un écran bleu avec un tiret qui clignote j'ai laissé comme ça une bonne heure pensant qu'il scannait, mais rien.
est ce normal, faut il que je le laisse plus longtemps?

sinon, j'ai viré msnfix, avec tout, ja'i enlever la restauration, et supprimé les éléments en quarantaine dans antivir.
 
j'ai refait un scan d'antivir, le voici. merci

AntiVir PersonalEdition Classic
Report file date: jeudi 31 janvier 2008  14:02

Scanning for 1086273 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    PAVILION

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 13:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 12:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 15:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14/12/2007 12:16:11
ANTIVIR2.VDF : 7.0.2.49    1339904 Bytes  25/01/2008 12:16:11
ANTIVIR3.VDF : 7.0.2.75     217088 Bytes  31/01/2008 12:16:11
AVEWIN32.DLL : 7.6.0.59    3232256 Bytes  31/01/2008 12:16:11
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 10:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 07:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3      360488 Bytes  31/01/2008 12:16:11
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: i:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: I:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: jeudi 31 janvier 2008  14:02

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'soffice.bin' - '1' Module(s) have been scanned
Scan process 'soffice.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'WkUFind.exe' - '1' Module(s) have been scanned
Scan process 'StartMessager.exe' - '1' Module(s) have been scanned
Scan process 'SMax4PNP.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SMAgent.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
31 processes with 31 modules were scanned

Start scanning boot sectors:
Boot sector 'I:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '20' files ).


Starting the file scan:

Begin scan in 'I:\'
I:\hiberfil.sys
      [WARNING]   The file could not be opened!
I:\pagefile.sys
      [WARNING]   The file could not be opened!
I:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YZS7M1CZ\xlyzqqevi[1].htm
      [WARNING]   'Is the Trojan horse TR/Small.Crypted.Gen'. This detection is probably an error. Please send us this file immediately for further analysis.


End of the scan: jeudi 31 janvier 2008  14:23
Used time: 21:08 min

The scan has been done completely.

   5219 Scanning directories
 229506 Files were scanned
      0 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 229506 Files not concerned
   1759 Archives were scanned
      3 Warnings
      0 Notes

lonijova · Answer

j'ai refait une analyse avec avg, je te la donne:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	16:07:23 30/01/2008

 + Résultat de l'analyse:	



HKU\S-1-5-21-1229272821-1004336348-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5054F860-748D-4840-B7B4-DDDB428421AF} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.11:I:\Documents and Settings\Jean-Michel\Application Data\Mozilla\Firefox\Profiles\5kqe8a44.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.13:I:\Documents and Settings\Jean-Michel\Application Data\Mozilla\Firefox\Profiles\5kqe8a44.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.14:I:\Documents and Settings\Jean-Michel\Application Data\Mozilla\Firefox\Profiles\5kqe8a44.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.15:I:\Documents and Settings\Jean-Michel\Application Data\Mozilla\Firefox\Profiles\5kqe8a44.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.10:I:\Documents and Settings\Jean-Michel\Application Data\Mozilla\Firefox\Profiles\5kqe8a44.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.8:I:\Documents and Settings\Jean-Michel\Application Data\Mozilla\Firefox\Profiles\5kqe8a44.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.


Fin du rapport

lonijova · Answer

j'ai réussi a faire combo fix; voici le rapport.merci ComboFix 08-01-30.1 - Jean-Michel 2008-01-31 16:11:50.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.193 [GMT 1:00] Endroit: I:\Documents and Settings\Jean-Michel\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2007-12-28 to 2008-01-31 )))))))))))))))))))))))))))))))))))) . 2008-01-31 13:11 . 2008-01-31 13:11 d-------- I:\Program Files\Avira 2008-01-31 13:02 . 2008-01-31 13:02 244 --ah----- I:\sqmnoopt02.sqm 2008-01-31 13:02 . 2008-01-31 13:02 232 --ah----- I:\sqmdata02.sqm 2008-01-31 03:31 . 2008-01-31 03:31 244 --ah----- I:\sqmnoopt01.sqm 2008-01-31 03:31 . 2008-01-31 03:31 232 --ah----- I:\sqmdata01.sqm 2008-01-31 03:17 . 2008-01-31 03:17 244 --ah----- I:\sqmnoopt00.sqm 2008-01-31 03:17 . 2008-01-31 03:17 232 --ah----- I:\sqmdata00.sqm 2008-01-31 02:12 . 2008-01-31 03:08 250 --a------ I:\WINDOWS\gmer.ini 2008-01-31 01:23 . 2008-01-31 01:23 161 --a------ I:\Delme.bat 2008-01-31 01:15 . 2008-01-31 01:15 d-------- I:\WINDOWS\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP 2008-01-30 17:47 . 2008-01-30 17:47 d-------- I:\Documents and Settings\Jean-Michel\Application Data\Live-Prod 2008-01-30 15:29 . 2008-01-30 15:29 d-------- I:\Documents and Settings\Jean-Michel\Application Data\Grisoft 2008-01-30 15:29 . 2007-05-30 13:10 10,872 --a------ I:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-01-30 03:39 . 2008-01-30 17:18 d-------- I:\Documents and Settings\All Users\Application Data\Lavasoft 2008-01-30 03:30 . 2007-09-05 23:22 289,144 --a------ I:\WINDOWS\system32\VCCLSID.exe 2008-01-30 03:30 . 2006-04-27 16:49 288,417 --a------ I:\WINDOWS\system32\SrchSTS.exe 2008-01-30 03:30 . 2008-01-27 14:37 81,920 --a------ I:\WINDOWS\system32\IEDFix.exe 2008-01-30 03:30 . 2004-07-31 17:50 51,200 --a------ I:\WINDOWS\system32\dumphive.exe 2008-01-30 03:30 . 2007-10-03 23:36 25,600 --a------ I:\WINDOWS\system32\WS2Fix.exe 2008-01-30 03:30 . 2008-01-30 03:30 1,834 --a------ I:\WINDOWS\system32 mp.reg 2008-01-30 02:58 . 2008-01-30 02:58 d-------- I:\Rustbfix 2008-01-30 02:33 . 2008-01-30 02:33 d-------- I:\VundoFix Backups 2008-01-30 02:08 . 2008-01-30 13:23 2,374 --a------ I:\WINDOWS\mozver.dat 2008-01-30 02:06 . 2008-01-30 02:06 0 --a------ I:\WINDOWS sreg.dat 2008-01-30 01:56 . 2008-01-30 01:56 59,640 --a------ I:\Documents and Settings\Jean-Michel\Application Data\GDIPFONTCACHEV1.DAT 2008-01-30 00:47 . 2008-01-30 00:47 d-------- I:\Program Files\Tiscali Triway Wi-Fi 2008-01-30 00:44 . 2008-01-30 00:44 d-------- I:\WINDOWS\Tiscali 2008-01-30 00:44 . 2008-01-30 00:44 d-------- I:\Program Files\Tiscali_Triway_WiFi 2008-01-29 23:43 . 2008-01-29 23:43 d-------- I:\Documents and Settings\Jean-Michel\Application Data\GlarySoft 2008-01-29 23:34 . 2008-01-31 13:11 d-------- I:\Documents and Settings\All Users\Application Data\Avira 2008-01-29 22:14 . 2008-01-29 22:14 d-------- I:\Documents and Settings\LocalService\Bureau 2008-01-29 21:51 . 2008-01-29 21:51 d-------- I:\Documents and Settings\Jean-Michel\Application Data\AVG7 2008-01-29 21:50 . 2008-01-29 21:50 d-------- I:\Documents and Settings\LocalService\Application Data\AVG7 2008-01-29 21:50 . 2008-01-30 15:28 d-------- I:\Documents and Settings\All Users\Application Data\Grisoft 2008-01-29 21:14 . 2008-01-29 21:14 d-------- I:\WINDOWS\ERUNT 2008-01-29 20:14 . 1997-03-05 08:53 48,128 --a------ I:\WINDOWS\system32\SMMSCRPT.DLL 2008-01-29 20:05 . 2004-08-19 16:09 21,504 --a------ I:\WINDOWS\system32\hidserv.dll 2008-01-29 20:05 . 2004-08-19 16:09 21,504 --a--c--- I:\WINDOWS\system32\dllcache\hidserv.dll 2008-01-29 20:05 . 2001-08-23 17:04 12,288 --a------ I:\WINDOWS\system32\drivers\mouhid.sys 2008-01-29 20:05 . 2001-08-23 17:04 12,288 --a--c--- I:\WINDOWS\system32\dllcache\mouhid.sys 2008-01-29 20:05 . 2001-08-17 22:02 9,600 --a------ I:\WINDOWS\system32\drivers\hidusb.sys 2008-01-29 20:05 . 2001-08-17 22:02 9,600 --a--c--- I:\WINDOWS\system32\dllcache\hidusb.sys 2008-01-24 20:21 . 2007-06-13 14:22 1,075,713 --a------ I:\WINDOWS\gilcqfo.exe 2008-01-18 11:21 . 2008-01-27 14:19 d-------- I:\Program Files\IncrediMail 2008-01-13 16:47 . 2008-01-20 14:31 150 --a------ I:\Documents and Settings\MATHIS\Application Data\wklnhst.dat 2007-12-30 17:48 . 2007-12-30 17:48 284 --a------ I:\Documents and Settings\MANON\Application Data\ViewerApp.dat . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-31 15:10 --------- d-----w I:\Documents and Settings\Jean-Michel\Application Data\OpenOffice.org2 2008-01-31 00:37 --------- d-----w I:\Program Files\RegCleaner 2008-01-31 00:25 --------- d-----w I:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-01-31 00:15 --------- d-----w I:\Program Files\Fichiers communs\Wise Installation Wizard 2008-01-30 23:06 --------- d-----w I:\Program Files\Alwil Software 2008-01-30 01:32 2,666 ----a-w I:\Documents and Settings\Jean-Michel\Application Data\wklnhst.dat 2008-01-29 23:47 --------- d--h--w I:\Program Files\InstallShield Installation Information 2008-01-29 22:42 --------- d-----w I:\Program Files\Wanadoo 2008-01-29 19:54 67,904 ----a-w I:\Documents and Settings\Jean-Michel\Application Data\mdbu.bin 2008-01-23 16:50 --------- d-----w I:\Program Files\Microsoft Picture It! 9 2008-01-09 16:35 --------- d-----w I:\Program Files\eMule 2008-01-02 10:33 560 ----a-w I:\Documents and Settings\Jean-Michel\Application Data\ViewerApp.dat 2007-11-30 22:32 --------- d-----w I:\Program Files\Windows Live Toolbar 2007-11-19 09:57 254 ----a-w I:\Documents and Settings\MANON\Application Data\wklnhst.dat 2007-11-07 09:28 728,576 ----a-w I:\WINDOWS\system32\lsasrv.dll 2007-10-29 22:43 1,293,824 ----a-w I:\WINDOWS\system32\quartz.dll 2007-10-25 09:00 230,912 ----a-w I:\WINDOWS\system32\wmasf.dll 2007-10-10 23:49 824,832 ----a-w I:\WINDOWS\system32\wininet.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="I:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360] "ccleaner"="I:\Program Files\CCleaner\ccleaner.exe" [2007-07-13 10:10 598656] "msnmsgr"="I:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="I:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 08:11 1388544] "MessagerStarter Wanadoo"="I:\PROGRA~1\MESSAG~1\StartMessager.exe" [2003-04-11 16:06 32768] "Microsoft Works Update Detection"="I:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-10 17:49 50688] "!AVG Anti-Spyware"="I:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312] "avgnt"="I:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-31 13:16 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="I:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352] I:\Documents and Settings\Jean-Michel\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 2.2.lnk - I:\Program Files\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 15:54:56 393216] I:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Microsoft Office.lnk - I:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04 83360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-disabled] "WooCnxMon"=I:\PROGRA~1\Wanadoo\CnxMon.exe "WOOWATCH"=I:\PROGRA~1\Wanadoo\Watch.exe "WOOTASKBARICON"=I:\PROGRA~1\Wanadoo\TaskbarIcon.exe "TkBellExe"="I:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-01-31 15:12:01 I:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job" - I:\Program Files\Windows Live Toolbar\MSNTBUP.EXE . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-31 16:14:01 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-01-31 16:14:34 ComboFix-quarantined-files.txt 2008-01-31 15:14:32 ComboFix2.txt 2008-01-30 01:02:04 ComboFix3.txt 2008-01-30 00:55:33 . 2008-01-09 16:15:47 --- E O F ---

lonijova · Answer

re.

donc voici le nouveau rapport d'antivir après toute les opérations.
il me trouve encore 3 warning, mais plus de virus.
que faut il que je fasse maintenant.
merci


AntiVir PersonalEdition Classic
Report file date: jeudi 31 janvier 2008  16:17

Scanning for 1086273 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    PAVILION

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 13:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 12:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 15:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14/12/2007 12:16:11
ANTIVIR2.VDF : 7.0.2.49    1339904 Bytes  25/01/2008 12:16:11
ANTIVIR3.VDF : 7.0.2.75     217088 Bytes  31/01/2008 12:16:11
AVEWIN32.DLL : 7.6.0.59    3232256 Bytes  31/01/2008 12:16:11
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 10:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 07:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3      360488 Bytes  31/01/2008 12:16:11
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: i:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: I:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: jeudi 31 janvier 2008  16:17

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
Scan process 'soffice.bin' - '1' Module(s) have been scanned
Scan process 'soffice.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'WkUFind.exe' - '1' Module(s) have been scanned
Scan process 'StartMessager.exe' - '1' Module(s) have been scanned
Scan process 'SMax4PNP.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SMAgent.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
30 processes with 30 modules were scanned

Start scanning boot sectors:
Boot sector 'I:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '20' files ).


Starting the file scan:

Begin scan in 'I:\'
I:\hiberfil.sys
      [WARNING]   The file could not be opened!
I:\pagefile.sys
      [WARNING]   The file could not be opened!
I:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YZS7M1CZ\xlyzqqevi[1].htm
      [WARNING]   'Is the Trojan horse TR/Small.Crypted.Gen'. This detection is probably an error. Please send us this file immediately for further analysis.


End of the scan: jeudi 31 janvier 2008  16:39
Used time: 21:20 min

The scan has been done completely.

   5210 Scanning directories
 229489 Files were scanned
      0 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 229489 Files not concerned
   1759 Archives were scanned
      3 Warnings
      0 Notes

lonijova · Answer

bon antivir, me détecte encore un truc au démarrage de l'ordi.
donc il doit rester des résidus,pas bien bon pour la machine.
merci de votre aide.

jlpjlp · Answer

utilise  pour supprimer tes traces  (vire bien les ficheirs temporaires)

CCLEANER: (lance un nettoyage et répare 3 fois le registre) sans installer la barre yahoo 

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
----------------------- 

quel fichier est infécté au demarrage?
________________

Colle le rapport :
Clean permettra de faire du nettoyage et supprimer des fichiers que des anti-virus et anti-spywares n'ont pas pu trouver. Le logiciel est régulièrement mis à jour, vous devrez donc le re-téléchargé pour obtenir une version plus récente.

&#61623;  Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean 
&#61623;  Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec 
&#61623;  Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laissez la ouverte jusqu'à ce qu'elle se ferme.
Manuel de clean :
http://kerio.probb.fr/tuto-Clean-h37.html
https://kerio.probb.fr/

________________

recolle ensuite un rapport antivir  et hijakchits

lonijova · Answer

ok je fais tout ça.
mais je venais juste de nettoyer avec ccleaner et j'ai pas enregistré le rapport.
bon je refait un nettoyage voir si il me trouve quelque chose, et je fait clean zip en mode sans echec.

merci infiniment.

lonijova · Answer

alors.
pour répondre à la question quel fichier est infecté au démarrage:
à chaque ouverture de ma session, antivir me donne ce message:
contains a detection pattern of the (dangerous) backdoor program BDS/Delf.dbu.1backdoor server programs.
et il trouve cela dans document and settins/.../remuyzxd.exe

ensuite, pas moyen d'avoir un rapport avec ccleaner.
et enfin, lorsque je lance cleanzip (clean.cmd), un écran noir s'ouvre, j'appuie sur 1 pour rechercher, la recherche débute et dans les 5 secondes qui suivent, la page disparait (l'écran noir) et y'a plus rien. j'ai refait la manip 3 fois et c'est toujours la meme chose.
que dois je faire?

merci

lonijova · Answer

alors j'ai fait un scan online avec bitdefender.
et il m'a trouvé un virus:
Dropped: Trojan.agent.AGPQ
dans:
I: Windows\explorer.exe

voila les dernières news.
merci

jlpjlp · Answer

et il trouve cela dans document and settins/.../remuyzxd.exe  : PEUT TU ME DONNER LE NOM EXACT SVP du fichier 


pour bitdefender c'est le nom exact du fichier infécté?
I: Windows\explorer.exe

____________________

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
_________________


smit fraud fix
http://siri.urz.free.fr/Fix/SmitfraudFix.php


double clique sur smitfraudfix. puis selectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes. une fois le rapport effectué redemarre en mode sans echec (en appuyant sur F8 ou suppr, ou F5 au demarrage en général)

3/ puis refaire comme en 2/ mais selectionne l'option 2 et appuyer sur entrée pour commencer la desinfection. lorsque le programme demande si tu veut nettoyer le registre metsoui en tapant 0 et entrée

_______________



Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

lonijova · Answer

oui il trouve cela dans document and settings/ jean michel/remuyzdx.exe
ce fichier y fût bien un temps, mais il n'y est plus maintenant, pourtant antivir me met toujours ce message d'alerte en le détectant toujours à cet endroit.

en revanche bitdefender, lui me trouve un trojan dans mon disque dur: I: windows\explorer.exe

j'ai commencé la manip, voici déja le rapport de sdfix

SDFix: Version 1.135

Run by Jean-Michel on 01/02/2008 at 14:00

Microsoft Windows XP [version 5.1.2600]

Running From: I:\DOCUME~1\JEAN-M~1\Bureau\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

No Trojan Files Found






Removing Temp Files...

ADS Check:

 


                                 Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-01 14:06:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"I:\Documents and Settings\Jean-Michel\remuyzxd.exe"="I:\Documents and Settings\Jean-Michel\remuyzxd.exe:*:Enabled:Flash Player2"
"I:\Program Files\MSN Messenger\msnmsgr.exe"="I:\Program Files\MSN Messenger\msnmsgr.exe:*:Disabled:Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------


Files with Hidden Attributes:

Tue 12 Jun 2007         4,348 ..SH. --- I:\DOCUME~1\ALLUSE~1\DRM\DRMV1.BAK
Sat  1 Sep 2007           401 ..SH. --- I:\DOCUME~1\ALLUSE~1\DRM\DRMV13.BAK

Finished!

lonijova · Answer

voici le rapport smit fraud fix.

je vais le relancer en mode sans echec pour la désinfection.

SmitFraudFix v2.277

Rapport fait à 14:15:53,57, 01/02/2008
Executé à partir de I:\Documents and Settings\Jean-Michel\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
I:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
I:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\wuauclt.exe
I:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
I:\PROGRA~1\MESSAG~1\StartMessager.exe
I:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
I:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\MSN Messenger\msnmsgr.exe
I:\Program Files\OpenOffice.org 2.2\program\soffice.exe
I:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
I:\Program Files\MSN Messenger\usnsvc.exe
I:\Program Files\Mozilla Firefox\firefox.exe
I:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» I:\


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» I:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» I:\Documents and Settings\Jean-Michel


»»»»»»»»»»»»»»»»»»»»»»»» I:\Documents and Settings\Jean-Michel\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» I:\DOCUME~1\JEAN-M~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» I:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D8AA9030-D4A9-4EB1-A10F-3A7AD5D9840D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D8AA9030-D4A9-4EB1-A10F-3A7AD5D9840D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D8AA9030-D4A9-4EB1-A10F-3A7AD5D9840D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

lonijova · Answer

voici le rapport navilog1

merci pour ton aide encore une fois c'est vraiment sympa.

Search Navipromo version 3.4.2 commencé le 01/02/2008 à 14:36:28,14

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis I:\Program Files
avilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans I:\WINDOWS ***



*** Recherche dossiers dans I:\Program Files ***



*** Recherche dossiers dans I:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "I:\Documents and Settings\Jean-Michel\application data" *** 



*** Recherche dossiers dans "I:\Documents and Settings\Jean-Michel\local settings\application data" *** 



*** Recherche dossiers dans "I:\Documents and Settings\Jean-Michel\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans I:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans I:\WINDOWS\system32 *

* Recherche dans "I:\Documents and Settings\Jean-Michel\local settings\application data" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans I:\WINDOWS\system32 :


* Dans "I:\Documents and Settings\Jean-Michel\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 01/02/2008 à 14:39:29,09 ***

jlpjlp · Answer

télécharges et installes : 

kill box 
https://www.bleepingcomputer.com/download/linux/ 


aide kill box 
http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm 


- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci 

- Double-clic sur fix.reg 

Ouvres killbox 
- Sélectionne "delete on reboot" 
- Clique sur le dossier jaune à droite et sélectionne le fichier :       

I:\Documents and Settings\Jean-Michel\remuyzxd.exe


- Clique sur la croix rouge et et blanche 
- Répond yes et laisse redémarrer ton pc. 
N'hésite pas à consulter l'Aide killbox 

__________


antivir donne encore une alerte?

_____________


colle moi le rapport bitdefender en entier

lonijova · Answer

bonsoir jlp.
alors le virus c'est déplacé, il était avant dans document and setting/jean michel/remuyzxd.exe
maintenant il est dans:
documents and setting/jean michel/bureau/smitfraudfix

sinon, pour killbox, je l'avais déja fait, et impossible d'effacer remuyzxd.exe
je vais tout de meme le refaire, après la multitude de manip faite, cela peut marcher.

sinon, le scan bitfender, je le fait online, il est possible d'avoir un rapport complet?
meme si c'est fait online, je n'ai pas le souvenir, qu'il me l'ai proposé.
en tout cas ce que j'ai noté de ce scan bitfender, c'est:
dropped:trojan.agent.AGPQ
I:\windows\explorer.exe

aurais je un truc aussi dans explorer?

en tout cas merci pour tout.
@+

lonijova · Answer

bon je viens de fair killbox.
et c'est toujours la meme chose.
impossible de le supprimer.

si t'as un autre moyen pour en venir à bout, je suis preneur.
en espérant éviter le formatage.

bonne soirée et merci encore

je vais lancer un scan online de bitdefender pour voir si je peux te donner le rapport.

merci
@+

jlpjlp · Answer

Ferme tout tes navigateurs (donc copie ou imprime les instructions avant) Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : File:: I:\Documents and Settings\Jean-Michel\remuyzxd.exe Enregistre ce fichier sous le nom CFscript Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer. Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Remets aussi un rapport Hijackthis Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt __________________ A)- Effectuer un eScan Antivirus Toolkit < https://www.malekal.com/tutorial-escan-antivirus-toolkit/ > À exécuter en mode sans échec (< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > ) et restauration système désactivée (< http://www.libellules.ch/desactiver_restauration.php > afin de pouvoir effectuer un nettoyage complet. Étape 1: Télécharge eScan Antivirus Toolkit ici: http://www.spywareinfo.dk/download/mwav.exe Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau > puis [Exécuter] Dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky) < https://www.hiboox.com > Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). < https://www.hiboox.com > 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier "Kaspersky" ; ensuite, double-clique sur le fichier kavupd.exe. < https://www.hiboox.com > Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads). 4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants. Ne pas lancer le scan tout de suite ! Étape 3: •- Désactive la restauration système : "Démarrer"> clic droit sur "Poste de Travail"> "Propriétés système"> onglet "Restauration du système"> cocher la case "Désactiver la Restauration du système" > [Appliquer] >OK Pour la suite, tu n’auras pas accès à Internet, ni donc à CCM ; copie ou imprime donc la procédure suivante pour ne rien oublier . •- Redémarre en mode Sans Échec : 1) Redémarre ton ordi 2) Tapote la touche F8 immédiatement, juste après le "Bip" 3) Tu verras un écran avec options de démarrage apparaître 4) Choisi la première option : Sans Échec, et valide avec "Entrée" 5) Choisi ton compte régulier, et non Administrateur Étape 4: Du mode Sans Échec, voici comment utiliser le programme : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier « mwavscan.com » situé dans le dossier C:\Kaspersky 2.) Double-clique sur « mwavscan.com » ; l'interface d'eScan va apparaître à l'écran. 3.) Coche les options comme indiquées sur cette page < https://www.malekal.com/fichiers/eScan/eScan3.png > ; c’est-à-dire: - Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, (et non "Program Files"). 6.) Puis en bas à droite, clic sur « Scan Clean » et laisse l’outil vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras « Scan Completed ». Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre « Virus Log Information » (la deuxième, au bas) dans le fichier texte, et sauvegarde-le sur le bureau ( pour le retrouver facilement – donne-lui un nom, par ex KAS -). (eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum). Ferme le programme. Redémarre ton PC en mode Normal. Ensuite réactive ta restauration système Clic droit sur « Poste de travail », puis sur « Propriétés », Vas sur l’onglet « Restauration système » Tu décoches la case « Désactiver la restauration » Termine par [Appliquer] [OK] Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

lonijova · Answer

alors voici déja les rapports de combofix et de hijackthis je procède au reste. avant je préfère te signaler, que remuyzxd.exe, à changé de place, il est dans I:\killbox maintenant. j'ai l'impression qu'il se balade. bon je continue, et voici les rapports. merci ComboFix 08-01-30.1 - Jean-Michel 2008-02-01 23:16:23.4 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.149 [GMT 1:00] Endroit: I:\Documents and Settings\Jean-Michel\Bureau\ComboFix.exe Command switches used :: I:\Documents and Settings\Jean-Michel\Bureau\CFscript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE I:\Documents and Settings\Jean-Michel\remuyzxd.exe . [color=purple]The following files were disabled during the run:[/color] I:\WINDOWS\system32\sockspy.dll ((((((((((((((((((((((((((((( Fichiers créés 2008-01-01 to 2008-02-01 )))))))))))))))))))))))))))))))))))) . 2008-02-01 22:02 . 2008-02-01 22:02 d-------- I:\Documents and Settings\Jean-Michel\Application Data\Bitdefender 2008-02-01 22:02 . 2008-02-01 23:19 81,984 --a------ I:\WINDOWS\system32\bdod.bin 2008-02-01 22:01 . 2008-02-01 22:01 d-------- I:\Documents and Settings\All Users\Application Data\BitDefender 2008-02-01 14:36 . 2008-02-01 14:39 d-------- I:\Program Files\Navilog1 2008-01-31 23:57 . 2008-02-01 14:49 d-------- I:\WINDOWS\BDOSCAN8 2008-01-31 21:01 . 2008-01-31 21:02 d-------- I:\Program Files\LiveKillCleanMessenger 2008-01-31 13:11 . 2008-01-31 13:11 d-------- I:\Program Files\Avira 2008-01-31 13:02 . 2008-01-31 13:02 244 --ah----- I:\sqmnoopt02.sqm 2008-01-31 13:02 . 2008-01-31 13:02 232 --ah----- I:\sqmdata02.sqm 2008-01-31 03:31 . 2008-01-31 03:31 244 --ah----- I:\sqmnoopt01.sqm 2008-01-31 03:31 . 2008-01-31 03:31 232 --ah----- I:\sqmdata01.sqm 2008-01-31 03:17 . 2008-01-31 03:17 244 --ah----- I:\sqmnoopt00.sqm 2008-01-31 03:17 . 2008-01-31 03:17 232 --ah----- I:\sqmdata00.sqm 2008-01-31 02:12 . 2008-01-31 03:08 250 --a------ I:\WINDOWS\gmer.ini 2008-01-31 01:23 . 2008-01-31 01:23 161 --a------ I:\Delme.bat 2008-01-31 01:15 . 2008-01-31 01:15 d-------- I:\WINDOWS\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP 2008-01-30 17:47 . 2008-01-30 17:47 d-------- I:\Documents and Settings\Jean-Michel\Application Data\Live-Prod 2008-01-30 15:29 . 2008-01-30 15:29 d-------- I:\Documents and Settings\Jean-Michel\Application Data\Grisoft 2008-01-30 15:29 . 2007-05-30 13:10 10,872 --a------ I:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-01-30 03:39 . 2008-01-30 17:18 d-------- I:\Documents and Settings\All Users\Application Data\Lavasoft 2008-01-30 03:30 . 2008-02-01 14:26 2,030 --a------ I:\WINDOWS\system32 mp.reg 2008-01-30 02:33 . 2008-01-30 02:33 d-------- I:\VundoFix Backups 2008-01-30 02:08 . 2008-01-30 13:23 2,374 --a------ I:\WINDOWS\mozver.dat 2008-01-30 02:06 . 2008-01-30 02:06 0 --a------ I:\WINDOWS sreg.dat 2008-01-30 01:56 . 2008-01-30 01:56 59,640 --a------ I:\Documents and Settings\Jean-Michel\Application Data\GDIPFONTCACHEV1.DAT 2008-01-30 00:47 . 2008-01-30 00:47 d-------- I:\Program Files\Tiscali Triway Wi-Fi 2008-01-30 00:44 . 2008-01-30 00:44 d-------- I:\WINDOWS\Tiscali 2008-01-30 00:44 . 2008-01-30 00:44 d-------- I:\Program Files\Tiscali_Triway_WiFi

lonijova · Answer

et celui d'hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:20, on 01/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
I:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
I:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
I:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
I:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
I:\Program Files\Softwin\BitDefender10\vsserv.exe
I:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
I:\PROGRA~1\MESSAG~1\StartMessager.exe
I:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
I:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
I:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
I:\Program Files\Softwin\BitDefender10\bdagent.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\MSN Messenger\msnmsgr.exe
I:\Program Files\OpenOffice.org 2.2\program\soffice.exe
I:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
I:\WINDOWS\explorer.exe
I:\Documents and Settings\Jean-Michel\Bureau\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - I:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - I:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - I:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - I:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - I:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - I:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] I:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] I:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [Microsoft Works Update Detection] I:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "I:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "I:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "I:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "I:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "I:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [msnmsgr] "I:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "I:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "I:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = I:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://I:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - I:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - I:\WINDOWS\bdoscandel.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - I:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - I:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - I:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - I:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - I:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - I:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - I:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - I:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - I:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

lonijova · Answer

salut jpljpl.

bon alors j'ai fait tout ce que tu m'as dit.
tout a bien fonctionné sauf:
le scan de mwav.exe

il démarre scan près de 6500 fichiers, et d'un coup plante.
je l'ai bien fait en mode sans echec, et j'ai essayé 3 fois, mais il plante toujours au meme endroit.
j'ai pu noter, 6 virus dans la fenètre du bas, qu'il a detecté, sur cette partie de scan.
je te les écrits:

File I:\documents and settings\jean michel\bureau\clean\clean\pskill.exe tagged as not-a-virus:Risk tool.win32.Pskill.k. no action taken

File I:\documents and settings\jean michel\bureau\clean.zip tagged as not-a-virus:Risk tool.win32.Pskill.k. no action taken

File I:\documents and settings\jean michel\bureau\Navilog1.exe tagged as not-a-virus:win32.reboot.f.no action taken

File I:\documents and settings\jean michel\bureau\SmitfraudFix\Reboot.exe tagged as not-a-virus:Risk tool.win32.Reboot.f.no action taken

File I:\documents and settings\jean michel\bureau\SmitfraudFix.exe tagged as not-a-virus:Risk tool.win32.Reboot.f.no action taken

File I:\documents and settings\jean michel\remuyzxd.exe infected by"backdoor.win32.delf.dbu"virus.action taken: file to be renamed on reboot


voila j'espère qu'au moins ce peu d'éléments te permettrons d'y voir plus clair dans mon problème.


petite parenthèse, juste avant de faire tes dernières procédures, j'avais télécharger la version évaluation de bitdefender pour te donner un rapport, et bizarrement il ne me détecte rien, alors qu'en ligne il me detecte toujours quelque chose dans windows\explorer.exe et qu'antivir me detecte toujours dans documents and settings\jean michel\remuyzxd.exe

c'est a ne plus rien comprendre.
enfin j'espère que toi tu comprends car moi je suis un peu largué la.

merci mille fois @+

lonijova · Answer

bon ben le problème est résolu, j'ai formaté l'ordi.

merci en tout cas jpljpl, de m'avoir consacrer du temps, 
bonne continuation.
et merci encore infiniment.

jlpjlp · Answer

ok



pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

AVAST en français   ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
AD AWARE + SPYBOT +/-    si tea timer non active de spybot: WINDOWS DEFENDER ou               SPYWARE TERMINATOR

+/-
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation  : il suffit de faire "update" pour mettre à jour tous les mois  et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware on sorti de nouvelles versions cette année vérifiez que vous avez la dernière version 
--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------

CCLEANER pour effacer les traces de surf

Trojan rapport hijackthis

30 réponses

Discussions similaires