Virus Win32 KAMSO

salut pas besoin du hitjackthis :

▶ Télécharge et install UsbFix par Chiquitine29

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

▶ Double clic sur le raccourci UsbFix présent sur ton bureau .

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

▶ Laisse travailler l'outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

ensuite :

▶ (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

▶ Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

▶ Ton bureau disparaitra et le pc redémarrera .

▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

ensuite :

desinstalle usbfix

Plus rapide que la lumière, ca sent le problème répandu. Je n'ai même pas eu le temps de poster mes rapports.

Je fais ce que tu m'as dit et je te tiens au courant. Encore merci de la rapidité de ton intervention.

pour ma part j'ai eu avast et des virus venait et le logiciel n'arrivait pas a virer se genre de virus . Depuis j'ai pris avira en version gratuite et maintenant je suis tranquille , se logiciel est classé dans le haut du tableau des antivirus devant avast , il est meme bien meilleur selon toutes les statistiques

Merci Breizh, je pensais reprendre Bit Defender comme j'avais avant en fait, mais il faut que je me renseigne poru Antivir ou Avira.

Voici le rapport USBFix, j'attends avant de passer à l'étape 2 ?


############################## | UsbFix V6.014 |

User : Apop}{yS (Administrateurs) # APOPHYS
Update on 04/08/09 by Chiquitine29 & C_XX
Start at: 19:11:47 | 08/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 Processor 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1335 [VPS 090807-0] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 24,41 Go (10,43 Go free) # NTFS
D:\ -> Disque fixe local # 37,27 Go (19,46 Go free) [disque 40 giga] # NTFS
E:\ -> Disque amovible # 1,95 Go (1,67 Go free) # FAT32
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque fixe local # 151,62 Go (45,21 Go free) [Disque 150Go] # NTFS
J:\ -> Disque CD-ROM # 2,43 Go (0 Mo free) [HOMMV] # UDF
K:\ -> Disque CD-ROM
L:\ -> Disque CD-ROM
M:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RelevantKnowledge\rlvknlg.exe
C:\WINDOWS\Explorer.EXE
C:\Utilitaires\Ad-Ware\aawservice.exe
C:\Utilitaires\Avast\aswUpdSv.exe
C:\Utilitaires\Avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Utilitaires\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\UTILIT~1\Avast\ashDisp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Utilitaires\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Utilitaires\Avast\ashMaiSv.exe
C:\Utilitaires\Avast\ashWebSv.exe

################## | Fichiers # Dossiers infectieux |

Présent ! C:\DOCUME~1\Apop}{yS\LOCALS~1\Temp\herss.exe
C:\autorun.inf # -> fichier appelé : "C:\mqhnawe.bat" ( Absent ! )
Présent ! C:\rx.exe
Présent ! C:\autorun.inf
D:\autorun.inf # -> fichier appelé : "D:\mqhnawe.bat" ( Absent ! )
Présent ! D:\rx.exe
Présent ! D:\autorun.inf
I:\autorun.inf # -> fichier appelé : "I:\mqhnawe.bat" ( Absent ! )
Présent ! I:\rx.exe
Présent ! I:\autorun.inf
Présent ! J:\Setup.exe
Présent ! J:\autorun.inf

################## | Other | http://www.virustotal.com |

Suspect ! I:\BitComet\BitComet.exe
Suspect ! I:\eMule\emule.exe
Suspect ! I:\LimeWire\LimeWire.exe

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\shared tools\msconfig\startupreg\cdoosoft
Présent ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
Présent ! HKLM\SYSTEM\ControlSet001\Services\AVPsys
Présent ! HKLM\SYSTEM\ControlSet003\Services\AVPsys

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{61a6a75c-7e95-11de-b178-4d6564696130}
Shell\AutoRun\command =E:\rx.exe
Shell\open\Command =E:\rx.exe

HKCU\..\..\Explorer\MountPoints2\{9389d646-49ed-11dd-8a04-806d6172696f}
Shell\AutoRun\command =J:\AutoRun.exe

HKCU\..\..\Explorer\MountPoints2\{9389d64d-49ed-11dd-8a04-806d6172696f}
Shell\AutoRun\command =I:\mqhnawe.bat
Shell\open\Command =I:\mqhnawe.bat

HKCU\..\..\Explorer\MountPoints2\{9389d64e-49ed-11dd-8a04-806d6172696f}
Shell\AutoRun\command =D:\mqhnawe.bat
Shell\open\Command =D:\mqhnawe.bat

HKCU\..\..\Explorer\MountPoints2\{9389d650-49ed-11dd-8a04-806d6172696f}
Shell\AutoRun\command =C:\mqhnawe.bat
Shell\open\Command =C:\mqhnawe.bat

HKCU\..\..\Explorer\MountPoints2\{b663a3ce-6c36-11dd-b0ac-4d6564696130}
Shell\AutoRun\command =E:\
Shell\explore\Command =RECYCLER\INFO.exe
Shell\open\Command =RECYCLER\INFO.exe

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.014 ! |

Voici le rapport après la 2e étape.

PAr contre c'est normal qu'Avast ne se lance pas au démarrage désormais ?


############################## | UsbFix V6.014 |

User : Apop}{yS (Administrateurs) # APOPHYS
Update on 04/08/09 by Chiquitine29 & C_XX
Start at: 19:43:57 | 08/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 Processor 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 090807-0] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 24,41 Go (10,42 Go free) # NTFS
D:\ -> Disque fixe local # 37,27 Go (19,46 Go free) [disque 40 giga] # NTFS
E:\ -> Disque amovible # 1,95 Go (1,67 Go free) # FAT32
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque fixe local # 151,62 Go (45,21 Go free) [Disque 150Go] # NTFS
J:\ -> Disque CD-ROM # 2,43 Go (0 Mo free) [HOMMV] # UDF
K:\ -> Disque CD-ROM
L:\ -> Disque CD-ROM
M:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RelevantKnowledge\rlvknlg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Utilitaires\Ad-Ware\aawservice.exe
C:\Utilitaires\Avast\aswUpdSv.exe
C:\Utilitaires\Avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Utilitaires\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Utilitaires\Avast\ashMaiSv.exe
C:\Utilitaires\Avast\ashWebSv.exe
C:\WINDOWS\System32\alg.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\DOCUME~1\Apop}{yS\LOCALS~1\Temp\herss.exe
C:\autorun.inf # -> fichier appelé : "C:\mqhnawe.bat" ( Absent ! )
D:\autorun.inf # -> fichier appelé : "D:\mqhnawe.bat" ( Absent ! )
I:\autorun.inf # -> fichier appelé : "I:\mqhnawe.bat" ( Absent ! )
Supprimé ! C:\rx.exe
Supprimé ! C:\autorun.inf
Supprimé ! D:\rx.exe
Supprimé ! D:\autorun.inf
Supprimé ! I:\rx.exe
Supprimé ! I:\autorun.inf
(!) Non supprimé ! J:\Setup.exe
(!) Non supprimé ! J:\autorun.inf

################## | Other |


################## | Suspect ... | http://www.virustotal.com |

Suspect ! I:\BitComet\BitComet.exe
Suspect ! I:\eMule\emule.exe
Suspect ! I:\LimeWire\LimeWire.exe

################## | Registre # Clés Run infectieuses |

Supprimé ! HKLM\software\microsoft\shared tools\msconfig\startupreg\cdoosoft
Supprimé ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
Supprimé ! HKLM\SYSTEM\ControlSet003\Services\AVPsys

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{61a6a75c-7e95-11de-b178-4d6564696130}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9389d646-49ed-11dd-8a04-806d6172696f}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9389d64d-49ed-11dd-8a04-806d6172696f}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9389d64e-49ed-11dd-8a04-806d6172696f}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9389d650-49ed-11dd-8a04-806d6172696f}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b663a3ce-6c36-11dd-b0ac-4d6564696130}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[04/07/2008 17:46|--a------|0] -> C:\AUTOEXEC.BAT
[04/07/2008 17:46|--a------|0] -> C:\CONFIG.SYS
[04/07/2008 17:46|-rahs----|0] -> C:\IO.SYS
[04/07/2008 17:46|-rahs----|0] -> C:\MSDOS.SYS
[?|?|?] -> C:\pagefile.sys
[22/01/2009 20:21|--ah-----|268] -> C:\sqmdata00.sqm
[22/01/2009 20:21|--ah-----|244] -> C:\sqmnoopt00.sqm
[08/08/2009 19:47|--a------|4302] -> C:\UsbFix.txt
[04/06/2009 20:41|---hs----|2007] -> D:\AlbumArtSmall.jpg
[04/06/2009 20:41|---hs----|9224] -> D:\AlbumArt_{7C0C7B93-C9ED-43A4-893F-B0B571B5EF53}_Large.jpg
[04/06/2009 20:41|---hs----|2007] -> D:\AlbumArt_{7C0C7B93-C9ED-43A4-893F-B0B571B5EF53}_Small.jpg
[28/05/2007 14:30|---hs----|5726] -> D:\AlbumArt_{95991F17-559F-4ED4-AD19-D478ED486E5B}_Large.jpg
[28/05/2007 14:28|---hs----|1667] -> D:\AlbumArt_{95991F17-559F-4ED4-AD19-D478ED486E5B}_Small.jpg
[09/08/2007 10:08|---hs----|11788] -> D:\AlbumArt_{DB308054-1B95-4C7F-831B-8B44EFFD2C74}_Large.jpg
[09/08/2007 10:08|---hs----|2739] -> D:\AlbumArt_{DB308054-1B95-4C7F-831B-8B44EFFD2C74}_Small.jpg
[04/03/2007 23:10|---hs----|15859] -> D:\AlbumArt_{F68AE1BA-B609-45BE-91EB-C9373C6D8E9E}_Large.jpg
[04/03/2007 23:10|---hs----|3389] -> D:\AlbumArt_{F68AE1BA-B609-45BE-91EB-C9373C6D8E9E}_Small.jpg
[28/05/2007 14:29|---hs----|8117] -> D:\AlbumArt_{FD5331DC-C38A-44C6-AB98-B0989CFD17CF}_Large.jpg
[28/05/2007 14:28|---hs----|2156] -> D:\AlbumArt_{FD5331DC-C38A-44C6-AB98-B0989CFD17CF}_Small.jpg
[09/08/2007 10:08|---hs----|348] -> D:\desktop.ini
[04/06/2009 20:41|---hs----|9224] -> D:\Folder.jpg
[03/06/2009 15:21|--a------|5576581] -> D:\Reead - Nobody's Innocent (Stephan Evans Edit Remix).mp3
[06/06/2009 14:53|--a------|5323273] -> D:\Wax Tailor - Positively inclined.mp3
[03/02/2009 21:45|--a------|4402032] -> E:\2_Girls_-_Fallen_Angel.mp3
[23/04/2008 16:28|--a------|5089280] -> E:\A1 - DJ Konik feat. Michelle Collins - Russians (Vocal Version).mp3
[16/01/2009 18:34|--a------|6821364] -> E:\Bass Drums.mp3
[21/01/2009 13:23|--a------|4344282] -> E:\Celebrate The Summer (Verano Remix).mp3
[23/01/2009 13:45|--a------|4887024] -> E:\Coca Cola.mp3
[25/01/2009 21:53|--a------|4060704] -> E:\Colour The World (Sample Rippers Remix).mp3
[10/02/2009 15:51|--a------|5613810] -> E:\Dancefloor_Driverz_-_Sleeping_in_my_car_(_clubbumpz_remix_).mp3
[16/01/2009 18:31|--a------|4894536] -> E:\Freestajlo (Jumpstylerz Remix).mp3
[11/02/2009 11:05|--a------|5409108] -> E:\Groove_Coverage_-_The_Summer_Rain_(_Rob_Mayth_Remix_).mp3
[16/01/2009 18:28|--a------|6739358] -> E:\Here Without You (Verano Remix).mp3
[16/01/2009 18:32|--a------|5287038] -> E:\I Am Alive.mp3
[07/02/2009 15:26|--a------|13634286] -> E:\MegaMix (Mixed by Dj Torpius).mp3
[11/02/2009 20:29|--a------|4548984] -> E:\Mental_Madness_-_Zombie.mp3
[03/02/2009 22:06|--a------|7855674] -> E:\Return To Moscow (Indurro Vs Chris Da House Remix) 2.mp3
[16/01/2009 18:29|--a------|8522206] -> E:\Shooting Star (Empyre One Remix).mp3
[24/01/2008 16:50|--a------|8708014] -> E:\TB - Dj Marta TEMAZO!! - Yo Lo Que Quiero Es Irme De Fiesta.mp3
[03/02/2009 21:57|--a------|6987412] -> E:\The Anthem (RainDropz Remix) 2.mp3
[16/01/2009 18:36|--a------|11143894] -> E:\Welcome (Axel Konrad Remix).mp3
[04/07/2008 23:38|-rahs----|215] -> I:\boot.ini
[30/08/2002 14:00|-rahs----|4952] -> I:\Bootfont.bin
[04/07/2008 23:34|-rahs----|47564] -> I:\NTDETECT.COM
[04/07/2008 23:34|-rahs----|251712] -> I:\ntldr
[10/04/2006 22:11|-r-------|921656] -> J:\Setup.bmp
[05/09/2001 05:03|-r-------|168448] -> J:\Setup.exe
[19/04/2006 22:16|-r-------|218] -> J:\Setup.ini
[19/04/2006 22:16|-r-------|173616] -> J:\setup.inx
[01/09/2004 02:11|-r-------|245408] -> J:\unicows.dll
[11/04/2006 16:15|-r-------|323584] -> J:\AutoRun.exe
[05/04/2006 17:38|-r-------|50534] -> J:\AutoRun.ico
[14/03/2003 13:03|-r-------|47] -> J:\autorun.inf
[19/04/2006 22:16|-r-------|7990480] -> J:\data1.cab
[19/04/2006 22:16|-r-------|54238] -> J:\data1.hdr
[19/04/2006 22:19|-r-------|2463903882] -> J:\data2.cab
[25/07/2002 12:07|-r-------|346602] -> J:\ikernel.ex_
[19/04/2006 22:19|-r-------|435] -> J:\layout.bin

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# I:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.014 ! |

bien tu dois deja avoir moins de soucis :

Télécharge OTL de OLDTimer

▶ enregistre le sur ton Bureau.

▶ Double clic sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant scan all users

▶ règle-le sur "60 Days"

▶Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt".

Bon et bien tout est bon, plus d'alerte.

Merci beaucoup ;)

la desinfection n'est pas finie , fais ce demandé stp

Merci de ton message, j'ai fait ce que tu m'as dit, voici les rapports.

ODT = http://www.cijoint.fr/cjlink.php?file=cj200908/cijt1opO9Z.txt

Extra = http://www.cijoint.fr/cjlink.php?file=cj200908/cijy2KJWKH.txt

J'attends vos ordres capitaine :)

j'attends une reponse quant-à ton rapport car il y a certains points à elucider

Comment cela des points à élucider ?

J'ai mal fait l'analyse ? Il y a quelque chose qui ne vas pas sur le PC ? gné ?

Je reste à ta disposition (enfin pas très longtemps car j'ai eu une journée exténuante, mais je serai dispo demain et les jours suivant).

Merci encore de ta précieuse assistance.

non tu as tout bien fait c'est question fichiers dont je suis moins sur et je demande l'avis à plus connaisseur avant d'agir

Ah d'accord. Et bien écoutes, je reste dans l'attente de tes directives ;)

ok c'est bon par contre tu peux renvoyer OTL ? la page ete fermée ce matin va savoir pourquoi

Voici le OTL :

http://www.cijoint.fr/cjlink.php?file=cj200908/cijiE3aeBT.txt

▶ Double clic sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
rlvknlg.exe

:services
AVPsys

:OTL
O2 - BHO: (no name) - {079ED6F9-29D1-4239-AF8E-11518F261646} - C:\WINDOWS\System32\mlJDwXOI.dll File not found
O2 - BHO: (no name) - {8E509EF7-6209-4A5C-A145-22F514F51C4F} - C:\WINDOWS\System32\jkkIxwVp.dll File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O20 - Winlogon\Notify\jkkIxwVp: DllName - jkkIxwVp.dll - File not found
O20 - Winlogon\Notify\RelevantKnowledge: DllName - C:\Program Files\RelevantKnowledge\rlls.dll - C:\Program Files\RelevantKnowledge\rlls.dll (TMRG, Inc.)
O28 - HKLM ShellExecuteHooks: {8E509EF7-6209-4A5C-A145-22F514F51C4F} - C:\WINDOWS\System32\jkkIxwVp.dll File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()


:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"LVCOMSX"=-


:files
C:\Program Files\RelevantKnowledge
C:\WINDOWS\System32\ddqpipmq.ini
C:\WINDOWS\System32\wwnaqdlq.ini
C:\WINDOWS\System32\IOXwDJlm.ini2
C:\WINDOWS\System32\IOXwDJlm.ini
C:\WINDOWS\_delis32.ini
C:\WINDOWS\System32\msiosd32.dll
C:\WINDOWS\Msiosd.ini

:commands
[emptytemp]
[reboot]


▶ Clique sur RunFix pour lancer la suppression.


▶ Poste le rapport.

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
No active process named rlvknlg.exe was found!
========== SERVICES/DRIVERS ==========
Service\Driver AVPsys not found.
Service\Driver AVPsys not found.
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{079ED6F9-29D1-4239-AF8E-11518F261646}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{079ED6F9-29D1-4239-AF8E-11518F261646}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E509EF7-6209-4A5C-A145-22F514F51C4F}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8E509EF7-6209-4A5C-A145-22F514F51C4F}\ deleted successfully.
Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
C:\WINDOWS\Downloaded Program Files\erma.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA}\ not found.
File Animation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab not found.
Starting removal of ActiveX control DirectAnimation Java Classes
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\DownloadInformation\\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\DirectAnimation Java Classes\ not found.
File oft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab not found.
Starting removal of ActiveX control Microsoft XML Parser for Java
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\DownloadInformation\\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ipp\ deleted successfully.
File Protocol\Handler\ipp - No CLSID value found not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ deleted successfully.
File Protocol\Handler\msdaipp - No CLSID value found not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkIxwVp\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RelevantKnowledge\ deleted successfully.
DllUnregisterServer procedure not found in C:\Program Files\RelevantKnowledge\rlls.dll
C:\Program Files\RelevantKnowledge\rlls.dll NOT unregistered.
C:\Program Files\RelevantKnowledge\rlls.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\{8E509EF7-6209-4A5C-A145-22F514F51C4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8E509EF7-6209-4A5C-A145-22F514F51C4F}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:lsdelete deleted successfully.
C:\WINDOWS\System32\lsdelete.exe moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\LVCOMSX deleted successfully.
========== FILES ==========
C:\Program Files\RelevantKnowledge\components moved successfully.
C:\Program Files\RelevantKnowledge moved successfully.
C:\WINDOWS\System32\ddqpipmq.ini moved successfully.
C:\WINDOWS\System32\wwnaqdlq.ini moved successfully.
C:\WINDOWS\System32\IOXwDJlm.ini2 moved successfully.
C:\WINDOWS\System32\IOXwDJlm.ini moved successfully.
C:\WINDOWS\_delis32.ini moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\msiosd32.dll
C:\WINDOWS\System32\msiosd32.dll NOT unregistered.
C:\WINDOWS\System32\msiosd32.dll moved successfully.
C:\WINDOWS\Msiosd.ini moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Apop}{yS
->Temp folder emptied: 36321746 bytes
->Temporary Internet Files folder emptied: 10779324 bytes
->Java cache emptied: 10093382 bytes
->FireFox cache emptied: 116532702 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1222033 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_6bc.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 49152 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 166,99 mb


OTL by OldTimer - Version 3.0.10.5 log created on 08092009_132506

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_6bc.dat moved successfully.

Registry entries deleted on Reboot...

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



▶ Télécharge :

Malwarebytes

ou :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2584
Windows 5.1.2600 Service Pack 2

09/08/2009 17:10:14
mbam-log-2009-08-09 (17-10-14).txt

Type de recherche: Examen complet (C:\|D:\|I:\|)
Eléments examinés: 181080
Temps écoulé: 3 hour(s), 2 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\PCHealthCenter (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\RelevantKnowledge (Spyware.Marketscore) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\System Volume Information\_restore{A4E7E839-737C-4430-A242-628827327C44}\RP269\A0032905.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\Program Files\PCHealthCenter\0.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\PCHealthCenter\1.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\PCHealthCenter\1.ico (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\PCHealthCenter\2.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\PCHealthCenter\2.ico (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\PCHealthCenter\3.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\PCHealthCenter\5.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\PCHealthCenter\sc.html (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\RelevantKnowledge\About RelevantKnowledge.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\RelevantKnowledge\Support.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\RelevantKnowledge\Uninstall Instructions.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.

▶ Télécharge Superantispyware (SAS)

▶ Choisis "enregistrer" et enregistre-le sur ton bureau.

▶ Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

▶ Créé une icône sur le bureau.

▶ Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

▶- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
▶- Sous Configuration and Preferences, clique sur le bouton "Preferences"
▶- Clique sur l'onglet "Scanning Control "
▶- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

▶Close browsers before scanning
▶Scan for tracking cookies
▶Terminate memory threats before quarantining

▶ Laisse les autres lignes décochées.

▶ Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

▶ Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

▶ Dans la colonne de gauche, coche C:\Fixed Drive.

▶ Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

▶ Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

▶ A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

▶ Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

▶ Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

▶ - après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
▶ - Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
▶- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

▶ - Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

▶ - Copie son contenu dans ta réponse.


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.