ordi infecté par Trojan.Agent.dx

Question

Bonjour,
cela fait une semaine que je suis bloqué par mon ordi qui est infecté par Trojan.Agent.dx. j'ai essayé de nombreuse manip' mais le problème c'est qu'à chaque fois que je commence une analyse que ça soit sur internet avec bitdefender ou avec AVG anti-spyware ou autre l'analyse s'arréte et toutes les pages qui sont ouvertes se fermeset je me retrouves sur le bureau.
je n'ai pas les moyens d'envoyer mon ordi chez un spécialiste alors AIDEZ MOIIIIII.

j'ai en plus un mémoire à terminé pour le 20 août et j'ai grandement besoin de mon ordi!!!


merci de votre aide!!!

Utilisateur anonyme · Answer

Salut,

Télécharge HijackThis ici : 

->  http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 


Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation) 

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation) 

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

Post le rapport généré ici stp...

gen-hackman · Answer

bonjour fais ceci :


Fais une analyse par HijackThis, comme ceci: 

1)- Avec connexion au Net en service, 
Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < http://www.trendsecure.com/ > avec un installeur. Sur la page, choisis « Download HijackThis Installer » et enregistre-le sur le bureau. Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau. 

2)- Installation : clic-droit sur l’ icône « HJTInstall.exe » présente sur ton bureau et choisis : "Exécuter en tant qu'administrateur" dans le menu déroulant qui s'affiche. 
- Ensuite, clic sur « Exécuter », puis sur « Install ». 
- Accepte la licence en cliquant sur le bouton "I Accept" 
- Le programme s’installe de lui-même dans un dossier dédié. 
- Par défaut, il s'installera en C:\Program Files\Trend Micro\HijackThis 
- Et un raccourci pour lancer l’analyse apparaît sur le bureau. 

Note: Comme cette version est appelée à rester sur le PC, faire un clic-droit sur HJTInstall.exe > Propriétés > Onglet compatibilité > coche la case "Exécuter en tant qu'administrateur" en bas . 
- Cette solution pérennise le choix qui peut être obtenu de manière provisoire par « clic-droit sur l'icône de raccourci/Exécuter en tant qu'administrateur» dans le menu contextuel. 

3)Analyse : 
•-Important à faire en priorité si tu possèdes le logiciel Spybot S&D > Désactive le Tea Timer de Spybot en passant par les options de Spybot: il faut une fois dans le logiciel il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" . 
- Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches (Systray près de l’horloge)! 

•-Arrête tous les programmes en cours et ferme toutes les fenêtres. 
•- Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse. 
- À la fin du scan le bloc-notes va s'ouvrir sur le bureau 
- Tu fais un copier/coller de tout son contenu. 
- Et tu le postes sur le forum. 
- Il sera enregistré dans le dossier C:\Program Files\Trend Micro\HijackThis, sous hijackthis.log.

ensuite ceci :


1) Télécharge et installe Malwarebyte's Anti-Malware: 

http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK 

Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau. 

Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK 

Laisse les Mises à jour se télécharger 

*** Referme le programme *** 

2) Redémarre en "Mode sans échec" 

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows. 
Sélectionner "Mode sans échec" et appuie sur [Entrée] 
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre. 
Regarde ici si besoin : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm 

Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut. 

3) Scan avec Malwarebyte's Anti-Malware 

Lance Malwarebyte's Anti-Malware 
Onglet "Recherche" >>> coche Executer un exame complet >>> Rechercher sélectionne tes disques durs puis clique sur Lancer l’examen 
A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport 
Suppression des éléments détectés >>>> clique sur Supprimer la sélection 
S'il t'es demandé de redémarrer >>> clique sur "Yes" 

--> Un rapport de scan s'ouvre, enregistre sur ton Bureau et poste ce rapport en réponse. 

quand tu demande une analyse, demande en mode sans échec. 

Pourquoi en mode sans échec: 

*Car déjà l'analyse cherche plus de fichiers en mode sans échec que en mode normal. 
*Et aussi en mode normal les virus ( trojans, cheval de troie, vers, spywares , malwares et autres ... sont actif) donc ne se supprimes pas donc ils faut le faire en mode sans échec .

Utilisateur anonyme · Answer

Salut,


Je vous laisse @++

gen-hackman · Answer

oui desole nous avons repondu en meme temps

riruhma · Answer

je coninu la manip?

riruhma · Answer

je continu la manip'?

gen-hackman · Answer

essaie de desinstalles toutes les toolbars possibles 
et continue la manip...le scan de malwarebytes risque d etre un peu  long c est normal

riruhma · Answer

l'analyse Malwarebyte's s'est arrété et je me suis retrouvé sur le bureau cela fesait environ 10 minutes qu'elle avait commencé

riruhma · Answer

j'était bien sous le mode sans echec
qu'est ce que je dois faire????

gen-hackman · Answer

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau 

dézippe le dossier, double-clique sur GenProc.bat 
et poste le contenu du rapport qui s'ouvre 

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

riruhma · Answer

je sort du mode sans echec?

gen-hackman · Answer

oui

riruhma · Answer

Rapport GenProc 2.006 [1] effectué le 24/07/2008 à 14:22:07,42 - Windows XP  

# Etape 1/ Télécharge :  
  
- CCleaner https://www.ccleaner.com/ccleaner/download
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme. 
 
- FixWareout http://download.bleepingcomputer.com/lonny/Fixwareout.exe sur le bureau
Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.
Quand ton système aura redémarré, suis les invites des messages. A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

# Etape 2/ Lance CCleaner > "Nettoyeur" > "Lancer le nettoyage" et c'est tout.

# Etape 3/ Poste le contenu du fichier C:\fixwareout\report.txt, un nouveau rapport HijackThis et un nouveau rapport GenProc.

riruhma · Answer

et maintenant?

gen-hackman · Answer

et bien maintenant tu fais exactement ce qui est ecrit tout simplement

riruhma · Answer

voici le rapport fixwareout:

Username "Mr Von Levandowsky" - 24/07/2008 14:35:20 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdmcq.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.113.74 85.255.112.39" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{859CD8E6-781B-4A30-8956-7BB8587FBE5D} 
"nameserver"="85.255.113.74,85.255.112.39" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{407D8E7B-60BD-496E-AE11-129BF2DF3A6A}
"DhcpNameServer"="85.255.113.74,85.255.112.39" <Value cleared.

Cache de résolution DNS vidé.


System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "system"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....
~~~~~ Other
C:\WINDOWS\Temp\kdmcq.ren 61952 13/06/2007 

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe"
"BDMCon"="\"C:\Program Files\Softwin\BitDefender9\bdmcon.exe\""
"BDOESRV"="\"C:\Program Files\Softwin\BitDefender9\bdoesrv.exe\""
"BDNewsAgent"="\"C:\Program Files\Softwin\BitDefender9\bdnagent.exe\""
"BDSwitchAgent"="\"C:\Program Files\Softwin\BitDefender9\bdswitch.exe\""
"SunJavaUpdateSched"="\"C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe\""
"Adobe Reader Speed Launcher"="\"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe\""
"QuickTime Task"="\"C:\Program Files\QuickTime\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\Program Files\iTunes\iTunesHelper.exe\""
"TkBellExe"="\"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe\"  -osboot"
"!AVG Anti-Spyware"="\"C:\Documents and Settings\Mr Von Levandowsky\Bureau\ewindo\AVG Anti-Spyware 7.5\avgas.exe\" /minimized"
"C:\WINDOWS\system32\kdmcq.exe"="C:\WINDOWS\system32\kdmcq.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe"
"oqekw"="c:\documents and settings\mr von levandowsky\local settings\application data\oqekw.exe oqekw"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

riruhma · Answer

rapport Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:53:26, on 24/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Documents and Settings\Mr Von Levandowsky\Bureau\ewindo\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Softwin\BitDefender9\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\Program Files\Softwin\BitDefender9\bdnagent.exe
C:\Program Files\Softwin\BitDefender9\bdswitch.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Documents and Settings\Mr Von Levandowsky\Bureau\ewindo\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: LabelCommand module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Program Files\Softwin\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings\Mr Von Levandowsky\Bureau\ewindo\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} - http://www.m6video.fr/1click/install/files/installer2.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} (CPlayFirstddfotgControl Object) - http://msnfr.oberon-media.com/online2/MSN_INTL_FRANCE/diner_dash_flo_on_the_go/ddfotg.1.0.0.33.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O16 - DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} (CPlayFirstDinerDashControl Object) - http://msnfr.oberon-media.com/online2/MSN_INTL_FRANCE/diner_dash/DinerDash.1.0.0.80.cab
O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnfr.oberon-media.com/online2/MSN_INTL_FRANCE/bejeweled2/Oberongamesloader.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Documents and Settings\Mr Von Levandowsky\Bureau\ewindo\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender9\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

gen-hackman · Answer

maintenant demarrer/executer/msconfig/ok

demarrage,decocher la case qttask,ok,redemarrer

et nouveau rapport genproc

riruhma · Answer

voici le rapport GenProc :


Rapport GenProc 2.006 [2] effectué le 24/07/2008 à 14:54:33,84 - Windows XP  

# Etape 1/ Télécharge :  
  
- Navilog1 (IL-MAFIOSO) http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe sur ton bureau. Double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement (si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide.
Patiente jusqu'au message " Analyse Termine le .....". Appuie sur une touche comme demandé, le blocnote va s'ouvrir, poste-le maintenant et passe à la suite. 
 
- MSNFix.zip (!aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau. 
 
 
***** Copie la suite de la procédure dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "Mr Von Levandowsky") ***** 
 
 
# Etape 2/ 
 
* Double clique sur le raccourci Navilog1, choisis l'option 2 et valide, patiente jusqu'au message : *** Nettoyage Termine le ..... ***,  le blocnote va s'ouvrir ; sauvegarde le rapport de manière à le retrouver, referme le blocnote. Ton bureau va réapparaitre  
 
# Etape 3/ 
 
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau. 
 
# Etape 4/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 5/ 

Redémarre normalement et poste, dans la même réponse : 
- Un nouveau rapport HijackThis, http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ; 
- Le contenu du fichier cleannavi.txt  qui se trouve dans Poste de travail  C:\ ; 
- Le contenu du rapport MSNfix situé sur le Bureau ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

gen-hackman · Answer

tu as des problemes de connection avec internet ?

riruhma · Answer

j'ai pas très bien compris ce que tu m'a demandé???
(l'informatique et moi ça fait deux...malgrès que je me debrouille)

riruhma · Answer

pour se conecté à la livebox avec un boitier wifi c'est assez dur mais pas l'ori qui est directement branché à la livebox (l'ordi sur lequel je suis)

gen-hackman · Answer

quand tu ouvres internet explorer tu as la page de suite ou pas ?et qu as tu comme page

riruhma · Answer

ça jvais compris mais c'est la manip que tu a demandé que jai pas compris:

maintenant demarrer/executer/msconfig/ok 

demarrage,decocher la case qttask,ok,redemarrer 

et nouveau rapport genproc

riruhma · Answer

jai msn comme page d'acceuil
c'est assez lent 
jai la page au bout de 1 min ou 2

gen-hackman · Answer

demarrer/executer/msconfig/ok 
 ca se fait avec la touche demarrer 

demarrage est un onglet de la fonction dans laquelle tu rentres

,decocher la case qttask est un programme qui ne sert a rien au demarrage quoi que quicktime est tres lourd et vlc lit les fichiers quicktime 

,ok est la confirmation 

,redemarrer tu sais.......

pour ta page d acceuil si tu la veux sur google voila comment faire:

demarrer/panneau de configuration/option internet et dans la case d en haut tu ecris ceci et tu confirmes par yes :

https://www.google.fr/?gws_rd=ssl

riruhma · Answer

par contre mon ordi est très long au niveau du redemarage.
 maintenant qu'est ce que je fais?

en tout cas merci pour ton aide!!!

gen-hackman · Answer

commence deja par faire juste le navilog et option 1...ATTENDS MA REPONSE OU CELLE D UN HELPEUR POUR CHOISIR L OPTION 2--
------------gen-hackman----------------------------gen-hackman--------

riruhma · Answer

est ce que je fais aussi la manip' avec MSNfix.zip?

gen-hackman · Answer

commence deja par faire juste le navilog et option 1...ATTENDS MA REPONSE OU CELLE D UN HELPEUR POUR CHOISIR L OPTION 2--

riruhma · Answer

rapport Navilog1 : 

Search Navipromo version 3.6.1 commencé le 24/07/2008 à 15:51:00,70

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Mr Von Levandowsky" 

Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Mr Von Levandowsky\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\HLNE~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\Maud\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\Pauline\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\TLCHAR~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Mr Von Levandowsky\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\HLNE~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\Maud\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\Pauline\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\TLCHAR~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Mr Von Levandowsky\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\HLNE~1\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\Maud\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\Pauline\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\TLCHAR~1\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\Documents and Settings\Mr Von Levandowsky\Local Settings\Application Data\oqekw.dat
C:\Documents and Settings\Mr Von Levandowsky\Local Settings\Application Data\oqekw.exe
C:\Documents and Settings\Mr Von Levandowsky\Local Settings\Application Data\oqekw_nav.dat
C:\Documents and Settings\Mr Von Levandowsky\Local Settings\Application Data\oqekw_navps.dat


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Mr Von Levandowsky\locals~1\applic~1" * 

Fichiers trouvés :

huhvgh.exe trouvé ! 
huhvgh.exe trouvé ! 
huhvgh.exe trouvé ! 

* Recherche dans "C:\DOCUME~1\HLNE~1\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\Maud\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\Pauline\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\TLCHAR~1\locals~1\applic~1" * 



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Mr Von Levandowsky\locals~1\applic~1" : 

oqekw.dat trouvé !

* Dans "C:\DOCUME~1\HLNE~1\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\Maud\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\Pauline\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\TLCHAR~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 24/07/2008 à 16:01:46,62 ***

gen-hackman · Answer

Double cliques sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. 
Au menu principal, choisis 2 et valides. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord) 

Le fix va t'informer qu'il va alors redémarrer ton PC 
Fermes toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts 
Appuies sur une touche comme demandé. 
(si ton Pc ne redémarre pas automatiquement, fais le toi même) 
Au redémarrage de ton PC, choisis ta session habituelle. 

Patiente jusqu'au message : 
*** Nettoyage Termine le ..... *** 
Le bloc-notes va s'ouvrir. 
Sauvegarde le rapport de manière à le retrouver 
Referme le bloc-notes. Ton bureau va réapparaitre 

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" 
Tape explorer et valide. Celà te fera apparaitre ton bureau.

riruhma · Answer

toujours connecté?
j'ai du m'absenté

riruhma · Answer

Clean Navipromo version 3.6.1 commencé le 24/07/2008 à 19:22:41,53

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Mr Von Levandowsky" 

Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage executé en mode sans échec

*** Creation backups fichiers trouvés par Catchme *** 

Copie vers "C:\Program Files
avilog1\Backupnavi"

Copie C:\Documents and Settings\Mr Von Levandowsky\Local Settings\Application Data\oqekw.dat réalisée avec succès ! 
Copie C:\Documents and Settings\Mr Von Levandowsky\Local Settings\Application Data\oqekw.exe réalisée avec succès ! 
Copie C:\Documents and Settings\Mr Von Levandowsky\Local Settings\Application Data\oqekw_nav.dat réalisée avec succès ! 
Copie C:\Documents and Settings\Mr Von Levandowsky\Local Settings\Application Data\oqekw_navps.dat réalisée avec succès ! 

*** Suppression des fichiers trouvés avec Catchme ***

C:\Documents and Settings\Mr Von Levandowsky\Local Settings\Application Data\oqekw.dat supprimé ! 
C:\Documents and Settings\Mr Von Levandowsky\Local Settings\Application Data\oqekw.exe supprimé ! 
C:\Documents and Settings\Mr Von Levandowsky\Local Settings\Application Data\oqekw_nav.dat supprimé ! 
C:\Documents and Settings\Mr Von Levandowsky\Local Settings\Application Data\oqekw_navps.dat supprimé ! 
 
** 2ème passage avec résultats Catchme ** 

* Dans "C:\WINDOWS\system32" *


C:\WINDOWS\prefetch\oqekw*.pf trouvé ! 
Copie C:\WINDOWS\prefetch\oqekw*.pf réalisée avec succès !
C:\WINDOWS\prefetch\oqekw*.pf supprimé !


* Dans "C:\Documents and Settings\Mr Von Levandowsky\locals~1\applic~1" * 



*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *



* Suppression dans "C:\Documents and Settings\Mr Von Levandowsky\locals~1\applic~1" * 


huhvgh.exe trouvé ! 
Copie huhvgh.exe réalisée avec succès !
huhvgh.exe supprimé !


* Suppression dans "C:\DOCUME~1\HLNE~1\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\Maud\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\Pauline\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\TLCHAR~1\locals~1\applic~1" * 



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Mr Von Levandowsky\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\HLNE~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\Maud\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\Pauline\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\TLCHAR~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Mr Von Levandowsky\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\HLNE~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\Maud\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\Pauline\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\TLCHAR~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Mr Von Levandowsky\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\HLNE~1\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\Maud\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\Pauline\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\TLCHAR~1\menudm~1\progra~1" *** 



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Mr Von Levandowsky\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\Mr Von Levandowsky\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\HLNE~1\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\Maud\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\Pauline\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\TLCHAR~1\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 24/07/2008 à 19:24:15,70 ***

gen-hackman · Answer

1) Télécharge et installe Malwarebyte's Anti-Malware: 

http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK 

Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau. 

Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK 

Laisse les Mises à jour se télécharger 

*** Referme le programme *** 

2) Redémarre en "Mode sans échec" 

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows. 
Sélectionner "Mode sans échec" et appuie sur [Entrée] 
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre. 
Regarde ici si besoin : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm 

Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut. 

3) Scan avec Malwarebyte's Anti-Malware 

Lance Malwarebyte's Anti-Malware 
Onglet "Recherche" >>> coche Executer un exame complet >>> Rechercher sélectionne tes disques durs puis clique sur Lancer l’examen 
A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport 
Suppression des éléments détectés >>>> clique sur Supprimer la sélection 
S'il t'es demandé de redémarrer >>> clique sur "Yes" 

--> Un rapport de scan s'ouvre, enregistre sur ton Bureau et poste ce rapport en réponse. 

quand tu demande une analyse, demande en mode sans échec. 

Pourquoi en mode sans échec: 

*Car déjà l'analyse cherche plus de fichiers en mode sans échec que en mode normal. 
*Et aussi en mode normal les virus ( trojans, cheval de troie, vers, spywares , malwares et autres ... sont actif) donc ne se supprimes pas donc ils faut le faire en mode sans échec . 

_______________________________________________

Ordi infecté par Trojan.Agent.dx

35 réponses

Votre réponse

Newsletters