Probleme suite a antivirus xp 2008 Fermé

Question

Bonjour,

Je fais appelle a vous car depuis un moment deja, j'ai de gros soucis concernant ma machine et cela empire depuis une semaine. Dimanche dernier j'ai été infecté par antivirus xp 2008 que j'ai supprimé manuellement, mais le probleme n'a pas été resolu car j'ai toujours un grand nombre de page internet spam et mon PC ramme enormement.
J'utilise Kaspersky comme anti virus, mais il ne semble pas reconnaitre ce malware.

Autre chose, Kaspersky trouve enormement de troyen qui infecte des fichier dans /i:windows:....., qui sont apparement irreparable, et la dilemme, dois-je les supprimer, ignorer, choisir autre chose que kaspersky pour resoudre le probleme ?


Voici le rapport Hijackthis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:00:01, on 25/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\AGRSMMSG.exe
I:\WINDOWS\SOUNDMAN.EXE
I:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
I:\WINDOWS\VM_STI.EXE
I:\Program Files\HP\HP Software Update\HPWuSchd2.exe
I:\Program Files\HP\hpcoretech\hpcmpmgr.exe
I:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
I:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
I:\Program Files\Search Settings\SearchSettings.exe
I:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
I:\Program Files\BroadJump\Client Foundation\CFD.exe
I:\Program Files\QuickTime\qttask.exe
I:\WINDOWS\system32undll32.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
I:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
I:\Program Files\Bonjour\mDNSResponder.exe
I:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
I:\Program Files\Google\Google Updater\GoogleUpdater.exe
I:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
I:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
I:\Program Files\CyberLink\Shared Files\RichVideo.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
I:\WINDOWS\system32\wscntfy.exe
I:\WINDOWS\system32\HPZipm12.exe
I:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
I:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe
I:\WINDOWS\system32	askmgr.exe
I:\Program Files\Internet Explorer\iexplore.exe
I:\WINDOWS\explorer.exe
I:\Documents and Settings\BUREAU\Mes documents\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\program files\google\googletoolbar2.dll
O3 - Toolbar: GamesBar - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - I:\Program Files\GamesBar\oberontb.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "I:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "I:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [BigDogPath] I:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [HP Software Update] "I:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "I:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NBKeyScan] "I:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SearchSettings] I:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [Piolet] I:\Program Files\Piolet\Piolet.exe SILENT
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "I:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "I:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [Workflow] G:\install\Workflow.exe
O4 - HKLM\..\Run: [BJCFD] I:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [lphcgvwj0et8n] I:\WINDOWS\system32\lphcgvwj0et8n.exe
O4 - HKLM\..\Run: [613c08ca] rundll32.exe "I:\WINDOWS\system32\hiurolfq.dll",b
O4 - HKLM\..\Run: [000000af] rundll32.exe "I:\WINDOWS\system32\mjgdfxcb.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "I:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = I:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = I:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = I:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Translate with &Babylon - res://I:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {1A93C934-025B-4c3a-B38E-9654A7003239} - I:\Program Files\GamesBar\oberontb.dll
O9 - Extra 'Tools' menuitem: GamesBar - {1A93C934-025B-4c3a-B38E-9654A7003239} - I:\Program Files\GamesBar\oberontb.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - I:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - I:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - I:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - I:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: I:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - I:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - I:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - I:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - I:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - I:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - I:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - I:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - I:\Program Files\CyberLink\Shared Files\RichVideo.exe

buginformatik · Answer

Télécharges Navilog1 : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Et son tuto : http://www.malekal.com/Adware.Magic_Control.php

Postes ensuite le rapport de l'Option 1 sur le forum, je te dirait ensuite la marche à suivre !

Markand · Answer

Voici le rapport :


Search Navipromo version 3.6.1 commencé le 25/07/2008 à 12:14:18,68

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis I:\Program Files
avilog1
Session actuelle : "BUREAU" 

Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "I:\WINDOWS" ***


*** Recherche dossiers dans "I:\Program Files" ***


*** Recherche dossiers dans "I:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "I:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "i:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "I:\Documents and Settings\BUREAU\applic~1" *** 


*** Recherche dossiers dans "I:\DOCUME~1\EURONY~1\applic~1" *** 


*** Recherche dossiers dans "I:\DOCUME~1\pauline\applic~1" *** 


*** Recherche dossiers dans "I:\Documents and Settings\BUREAU\locals~1\applic~1" *** 


*** Recherche dossiers dans "I:\DOCUME~1\EURONY~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "I:\DOCUME~1\pauline\locals~1\applic~1" *** 


*** Recherche dossiers dans "I:\Documents and Settings\BUREAU\menudm~1\progra~1" *** 


*** Recherche dossiers dans "I:\DOCUME~1\EURONY~1\menudm~1\progra~1" *** 


*** Recherche dossiers dans "I:\DOCUME~1\pauline\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier Navipromo trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "I:\WINDOWS\system32" *

* Recherche dans "I:\Documents and Settings\BUREAU\locals~1\applic~1" * 

* Recherche dans "I:\DOCUME~1\EURONY~1\locals~1\applic~1" * 

* Recherche dans "I:\DOCUME~1\pauline\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "I:\WINDOWS\system32" :


* Dans "I:\Documents and Settings\BUREAU\locals~1\applic~1" : 


* Dans "I:\DOCUME~1\EURONY~1\locals~1\applic~1" : 


* Dans "I:\DOCUME~1\pauline\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

I:\WINDOWS\system32\BJTCdccf.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
I:\WINDOWS\system32\CdfPpXyb.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
I:\WINDOWS\system32\ghhOonmp.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
I:\WINDOWS\system32\IlVyGfhk.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
I:\WINDOWS\system32\kRCJQXyb.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
I:\WINDOWS\system32\mpqtCcfe.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
I:\WINDOWS\system32\RBefLRqr.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
I:\WINDOWS\system32rYHRqss.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
I:\WINDOWS\system32\RYxHgfii.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
I:\WINDOWS\system32\uDKjPXbc.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
I:\WINDOWS\system32\YJiSYcfe.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 25/07/2008 à 12:26:54,84 ***



Merci d'avoir repondu si vite

buginformatik · Answer

Télécharger Vundofix.exe (par Atribune) sur votre Bureau : http://www.atribune.org/ccount/click.php?id=4

    * Double-cliquer sur VundoFix.exe afin de le lancer.
    * Cliquer sur le bouton Scan for Vundo.
    * Lorsque le scan est complété, cliquer sur le bouton fix Vundo.
    * Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
    * Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    * Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
    * Le contenu du rapport est situé dans C:\vundofix.txt, coller le rapprot sur le forum

Markand · Answer

Alors, le scan n'a trouvé aucun fichier, donc les etape : Fix vundo .... ne sont pas possible a executer, que dois je faire ?

(Edit : Je relance un scan mais je doute que le resultat change)

buginformatik · Answer

On va utiliser un autre logiciel :

Tu vas télécharger la dernière version de Malwarebytes anti malware 1.23 : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

Voici un tuto pour bien l'installer et l'utiliser : http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
(N'utilises pas File assassin)

! Il est Important d'être en mode sans échec lors de la recherche ! (Redémarrer l'ordi et tapoter à plusieurs reprises la touche F8 après le bip du PC) le mode sans échec est gris grand et moche ne sois pas surpris...

buginformatik · Answer

Markand, je pars en vacances demain, donc ce que tu vas faire :
-- Mettre ce topic en résolu
-- Ouvrir un nouveau topic sur le forum en y mettant : Le rapport de malwarebytes anti malware (n'oublie pas de supprimer les menaces détectées) + un nouveau rapport de Hijackthis en expliquant ton cas ( "j'ai été infecté par antivirus xp 2008... etc")

Sur ce bonnes vacances