Infection du fichié mdm.exe

Salut,

- Sous vista, desactives le controle des comptes utilisateurs --> panneau de config --> comptes utilisateur --> desactiver le controle des comptes utilisateurs

Telecharges RSIT " Random's System Information Tool " sur ton bureau : http://images.malwareremoval.com/random/RSIT.exe

- Fermes toutes les applications en cours et clic-droit ( executer en tant qu'admin.) sur RSIT.exe
- Selectionnes " Continue " à l'ecran >> RSIT va analyser le pc et verifier si l'outil hijackthis ( version à jour) est present sur le pc, si ce n'est pas le cas, RSIT le telechargera >> acceptes la license
- Une fois l'analyse terminée, 2 rapports.txt s'ouvrent, log.txt à l'écran et info.txt dans la barre des taches
- Postes le contenu des 2 rapports

bonjours,


Relancez HijackThis,
• Appuyer sur [Do a scan system only]
• Fermer les navigateurs et autre applications,
• Cochez toutes les lignes suivantes
• Et appuyer sur [Fix Checked]

F3 - REG:win.ini: load=C:\Users\Eric\LOCALS~1\APPLIC~1\MICROS~1\comrepl.exe
O4 - HKLM\..\Policies\Explorer\Run: [ClipSrv] C:\Users\Eric\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\Windows\System32\drivers\clipsrv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Cisvc] C:\Users\Eric\AppData\Local\Temp\cisvc.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MstInit] C:\Users\Eric\LOCALS~1\APPLIC~1\mstinit.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [MstInit] C:\Users\Eric\LOCALS~1\APPLIC~1\mstinit.exe /waitservice (User 'Default user')

► Redémarrer le PC.
____________________________________________________________

• Afficher les fichiers & répertoires cachés : http://windowshelp.microsoft.com/...

Allez supprimer ces fichiers :
C:\Users\Eric\LOCALS~1\APPLIC~1\MICROS~1\comrepl.exe
C:\Users\Eric\LOCALS~1\APPLIC~1\mstinit.exe
C:\Users\Eric\AppData\Local\Temp\cisvc.exe
C:\Users\Eric\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe
C:\Windows\System32\drivers\clipsrv.exe
____________________________________________________________

CCleaner - Nettoyage des fichiers temporaires, Cookies..
Téléchargement : http://www.ccleaner.com/download/builds/downloading-slim

• Installer et lancer CCleaner,
• Décochez la mise à jour automatique,
•.Lancez Ccleaner avec l'icône créé sur le bureau,

• Cliquez sur Option et --> Avancé et Décochez >> Effacer uniquement les fichiers temporaire .. de plus de 48 heures,
• Sélectionnez "Nettoyeur" et cliquez sur -->"Windows", allez à la section "Avancé",
• Et cochez uniquement la première case "Vieilles données du perfetch",
• Sélectionnez le bouton [Analyse]..
• Lorsque complété, cliquer sur [Nettoyage] aussi souvent..que nécessaire, jusqu’à ce que la fenêtre soit vidée.

Lorsque ce nettoyage est complété.
Remettre les options standard, pour une utilisation au quotidien.
• Allez Recocher les dans les Options --> "Avancé" : Effacer uniquement les fichiers temporaire .. de plus de 48 heures
• Et Décocher "Vieilles données du perfetch" dans Nettoyeur --> Windows

Utiliser CCleaner après chaque session sur le net, installation de logiciels et/ou avant de fermer le PC.

____________________________________________________________-

Téléchargez Malwarebytes : http://www.malwarebytes.org/mbam.php
• Lancez l'installation,
• Dans [Settings] vous pouvez mettre en Français.
• Faites la [Mise à jours] de Malwarebytes.
• Dans [Recherche] sélectionnez [Exécuter un examen Complet],
• Après le scan, appuyer sur >>>>> [Supprimer la sélection].
>> Redémarrer si nécessaire..
► Postez le rapport de Malwarebytes.

_____________________________________________________________

Téléchargez RSIT (de random/random) sur votre bureau :
http://images.malwareremoval.com/random/RSIT.exe
• Double cliquez sur RSIT.exe,
• Appuyez sur [Continue] à l'écran « Disclaimer »,
• RSIT téléchargera HijackThis (s’il n’est pas installé) -> acceptez la licence,
>> le rapport Log.txt va s'ouvrir à l'écran..

► Postez ce rapport, aussi disponible dans C:\RSIT\..

Merci pour votre rapidité ....
voici mon scan RSIT (pour Ced_King)

Logfile of random's system information tool 1.06 (written by random/random)
Run by Eric at 2009-09-12 13:59:27
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
System drive C: has 10 GB (23%) free of 45 GB
Total RAM: 3070 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:59:32, on 12/09/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Users\Eric\LOCALS~1\APPLIC~1\MICROS~1\comrepl.exe
C:\Windows\System32\rundll32.exe
D:\Program Files\AVG\AVG8\avgtray.exe
D:\Program Files\RocketDock\RocketDock.exe
C:\Windows\system32\wbem\unsecapp.exe
D:\Téléchargement\RSIT.exe
C:\Program Files\trend micro\HijackThis\Eric.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: load=C:\Users\Eric\LOCALS~1\APPLIC~1\MICROS~1\comrepl.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [AVG8_TRAY] D:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [RocketDock] "D:\Program Files\RocketDock\RocketDock.exe"
O4 - HKLM\..\Policies\Explorer\Run: [ClipSrv] C:\Users\Eric\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\Windows\System32\drivers\clipsrv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Cisvc] C:\Users\Eric\AppData\Local\Temp\cisvc.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MstInit] C:\Users\Eric\LOCALS~1\APPLIC~1\mstinit.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [MstInit] C:\Users\Eric\LOCALS~1\APPLIC~1\mstinit.exe /waitservice (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systèmes SolidWorks Corp. - D:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - D:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

* Télécharge OTM (OldTimer) sur ton Bureau.
* clique droit ( executer en tant qu'admin.) sur OTM.exe afin de le lancer.
* Copie (Ctrl+C) le texte suivant ci-dessous :

:processes
explorer.exe

:driver
ao0ie9b2

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"=- 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"ClipSrv"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 
"ClipSrv"=-
"Cisvc"=-

:files
C:\Users\Eric\LOCALS~1\APPLIC~1\MICROS~1\comrepl.exe 
C:\Users\Eric\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe
C:\Windows\System32\drivers\clipsrv.exe 
C:\Users\Eric\AppData\Local\Temp\cisvc.exe
C:\Users\Eric\AppData\Roaming\mstinit.exe 
C:\Windows\esentutl.exe 
C:\Windows\mstinit.exe 
C:\Windows\system32\drivers\ao0ie9b2.sys 

:commands
[purity]
[emptytemp]
[reboot]

Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

* Clique maintenant sur le bouton MoveIt! puis ferme OTM.

---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

* Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

Merci à toi
Juste une question : ta manipulation est t'elle similaire au tutoriel fournis par mike juste precedement ?
Car je sais utilisé Hijackthis sans problème ....et j'ai déja Ccleaner, Malwarebytes.

Merci à vous deux ....

ta manipulation est t'elle similaire au tutoriel fournis par mike juste precedement ?

--> Je n'avais pas vu ! A toi de choisir car il aurait du normalement édité son message puisque j'étais intervenu avant..
- La méthode qu'a choisi Mike est celle-ci : http://www.malekal.com/Trojan_Agent_iob.php

- Celle que je te propose est a peu près la même, juste qu'au lieu de supprimer les fichiers manuellement un par un, là tu as juste a cliquer sur un bouton...

J'ai suivi le premier tuto de Mike....

Voici les rapport :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2784
Windows 6.0.6001 Service Pack 1

12/09/2009 15:30:57
mbam-log-2009-09-12 (15-30-57).txt

Type de recherche: Examen rapide
Eléments examinés: 87013
Temps écoulé: 4 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ieudinit (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\spool (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Eric\AppData\Roaming\ieudinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Eric\AppData\Roaming\Microsoft\mstinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Eric\AppData\Roaming\spoolsv.exe (Trojan.Agent) -> Quarantined and deleted successfully.


après redémarrage nouveau test :


Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2784
Windows 6.0.6001 Service Pack 1

12/09/2009 15:41:09
mbam-log-2009-09-12 (15-41-09).txt

Type de recherche: Examen rapide
Eléments examinés: 87043
Temps écoulé: 4 minute(s), 17 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\esent utl (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\CmSTP (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Eric\AppData\Roaming\Microsoft\mstinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Eric\AppData\Roaming\esentutl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Eric\Local Settings\Application Data\cmstp.exe (Trojan.Agent) -> Quarantined and deleted successfully.




et voici le rapport de RSIT :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Eric at 2009-09-12 15:44:34
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
System drive C: has 10 GB (23%) free of 45 GB
Total RAM: 3070 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:44:40, on 12/09/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Users\Eric\AppData\Local\Temp\clipsrv.exe
D:\Program Files\AVG\AVG8\avgtray.exe
D:\Program Files\RocketDock\RocketDock.exe
C:\Windows\system32\wbem\unsecapp.exe
D:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
D:\Téléchargement\RSIT.exe
C:\Program Files\trend micro\HijackThis\Eric.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: load=C:\Users\Eric\AppData\Roaming\MICROS~1\clipsrv.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [AVG8_TRAY] D:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [RocketDock] "D:\Program Files\RocketDock\RocketDock.exe"
O4 - HKLM\..\Policies\Explorer\Run: [Mstsc] C:\Users\Eric\AppData\Roaming\MICROS~1\mstsc.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\Users\Eric\AppData\Local\Temp\clipsrv.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MstInit] C:\Users\Eric\AppData\Roaming\MICROS~1\mstinit.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [MstInit] C:\Users\Eric\AppData\Roaming\MICROS~1\mstinit.exe /waitservice (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systèmes SolidWorks Corp. - D:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - D:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

J'ai suivi le premier tuto de Mike....

--> Bonne chance à vous 2 ;-))

Ced_kings si tu pouvais me regeneré ce que je doit copié collé dans OTM.exe à l'aide de mon nouveau rapport RSIT je t'en serais reconaissant.

---> C'est Non !

Je pensais que l'on étais sur un forum d'entraide...

tu m'as dit que je pouvais choisir...
J'ai tester la 1ere méthode ça n'a pas marché, j'aimerais vraiment tester la tienne...

C'est vraiment pas un problème de personne je suis sur que vous êtes tous les deux très qualifié dans ce sujet.

Merci d'avance et dsl pour le dérangement

Je pensais que l'on étais sur un forum d'entraide...

--> Qui te dit le contraire ?

tu m'as dit que je pouvais choisir...

--> C'est bien ce que j'ai dis et tu as fais ton choix, non ?

J'ai tester la 1ere méthode ça n'a pas marché, j'aimerais vraiment tester la tienne...

--> Et après, t'iras tester la méthode à dédétraqué hein ?

Forum telecharger.01net.com

ben je vois pas ou est le mal ?
Cela fait un mois que je parcours les forum, que je scan mon pc et je tourne en rond alors je teste ce que l'on veux bien me donner mais je prends des précautions,j'essaye de comparer un peu... car je ne peux pas savoir si la personne est qualifié ou pas et si mon pc sera encore capable de redémarrer.(je viens de voir que tu as déjà posté plus de 2000 réponse sur ce forum donc je te fait confiance...)

Le but c'est de trouvé une solution.
Comment pourrais-je savoir quelles méthodes est la meilleur sans les testés.

De plus je ne pensais pas avoir des réponses si rapidement et donc à faire un choix entre plusieurs méthodes....


Je comprendrais que tu veux laisser la conversation s'en finir là.
Continu à faire ce que tu fais c'est sympa d'aider les gens gratuitement.

a+ peut être

Stinger,
Cette infection, comme c'est souvent le cas, ne ce supprime pas en une intervention.
Ça peut prendre quelques interventions.

Aussi, lorsque vous commencez une désinfection avec quelqu'un, vous ne devriez faire autre chose, que les procédures qui sont proposée par ce désinfecteur.
De suivre plusieurs autre procédures simultanément, peut compliquer les choses, pour vous et l'intervenant.

Pour info ..
C'est la première fois que j'essaie de désinfecté pareil truc.
Je ne me contentais que d'enlever, dans un premier temps, les lignes infectées dans hijackthis et de supprimer les fichiers qui leurs correspondaient, suivit d'un jet malwarebytes et d'un RSIT, pour vérifier ce qui restait de cette infection. Tout ce qu'il y a de plus basique ..quoi .

Ced_King qui a plus d'expérience que moi, a probablement eu à gérer cette infection à quelques reprises.

Vous devriez continuer avec Ced_King ..

OK, je ne ferais plus cette erreur.

Mais je crois que j'ai réussi à m'en débarrasser grâce au lien fourni par Ced_King :http://www.malekal.com/Trojan_Agent_iob.php

Qui décrit exactement comme ton tutoriel sauf qu'il faillait d'abord terminer le processus :

# Regardez nom du fichier à la fin de la ligne et notez le.

* Exemple : F3 - REG:win.ini: load=C:\Users\Phil\AppData\Roaming\MICROS~1\cisvc.exe

# Menu Démarrer / exécuter et tape : taskmgr puis clic sur OK.
# Onglet processus, cherchez le nom du fichier que vous avez noté.
# Sélectionnez le et clicquez sur fin de tâches en bas.

je pense que c'est pour sa que le virus revenais même apres la suppression par HijackThis...

J'ai ensuite exécuté tes scans qui sont pour le moment vierges ^^.


Je repasserais dans 3/4 jours pour vous signaler si le virus n'est pas revenu et pour clôturer le sujet.

En tout cas merci pour votre aide.

Tout est OK
merci