Pc infecté par TR/Agent.AN.2070 et autres ...Fermé

Question

Bonjour, 
je suis bien obligé d'avouer que depuis hier j'ai bien besoin des lumières des membres de ce forum. En effet je suis infecté par plusieurs troyens et autres trucs de ce genre

quelques noms que j'ai pu noté dans les différents messages d'alerte de mon antivirus Avira Antivir Personnal : 
Worm.win32.netsky
html/FakeAlert.AUD
Tr/Agent.An.2070 et 2071
Trojan SPM/LX
Rootkit.Gen

l'un des symptômes qui me fait courir vers vous est qu'en démarrant ce matin le pc  a buggué, ensuite plus d'image sur le bureau en fond d'écran et désormais Google Chrome ne fonctionne plus ou alors déclenche l'antivirus ! Bref que du bonheur !

Bon appétit à ceux qui vont me lire dans les prochaines minutes

merci d'avance pour toutes les remarques constructives qui me seront faites

Je mets le rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:12:07, on 14/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Google\Update\1.2.183.23\GoogleCrashHandler.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SFR\Media Center\MediaCenter.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SFR\Media Center\httpd\httpd.exe
C:\Program Files\SFR\Media Center\httpd\httpd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\UTILISATEUR\Bureau\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://notrepetitloulou.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon32.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - c:\program files\shareazaazawebhook32.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [smss32.exe] C:\WINDOWS\system32\smss32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Neuf Media Center] "C:\Program Files\SFR\Media Center\MediaCenter.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [smss32.exe] C:\WINDOWS\system32\smss32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: wwwzuc32.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Download with &Shareaza - res://c:\program files\shareazaazawebhook32.dll/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O15 - Trusted Zone: http://*.buy-security-essentials.com
O15 - Trusted Zone: http://*.download-soft-package.com
O15 - Trusted Zone: http://*.download-software-package.com
O15 - Trusted Zone: http://*.get-key-se10.com
O15 - Trusted Zone: http://*.is-software-download.com
O15 - Trusted Zone: http://*.buy-security-essentials.com (HKLM)
O15 - Trusted Zone: http://*.get-key-se10.com (HKLM)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab
O16 - DPF: {BAC761D3-DFFD-4DB4-A01D-173346E090A7} (CPlayFirstzenerchiControl Object) - http://gamerival.oberon-media.com/gameshell/games/channel--110371637/lc--en/room--55e6f4ca-d942-4f14-9634-d4d7621841df/online/zenerchi/en/ZenerchiWeb.1.0.0.10.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamerival.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Google Update Service (gupdate1c99cda7d2e26f0) (gupdate1c99cda7d2e26f0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/UTILIS~1/LOCALS~1/Temp/msohtmlclip1/01/clip_image002.gif

ep44 · Answer

Bonjour  

 Relance HijackThis et clique sur "Do a system scan only"  
Ensuite recherche ces lignes si présentent et coches les cases   

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon32.exe         
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)    
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - c:\program files\shareazaazawebhook32.dll        
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)    
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)    
O4 - HKLM\..\Run: [smss32.exe] C:\WINDOWS\system32\smss32.exe          
O4 - HKCU\..\Run: [smss32.exe] C:\WINDOWS\system32\smss32.exe    
O4 - Startup: wwwzuc32.exe  
O15 - Trusted Zone: [[http://]]*.buy-security-essentials.com    
O15 - Trusted Zone: [[http://]]*.download-soft-package.com    
O15 - Trusted Zone: [[http://]]*.download-software-package.com    
O15 - Trusted Zone: [[http://]]*.get-key-se10.com    
O15 - Trusted Zone: [[http://]]*.is-software-download.com    
O15 - Trusted Zone: [[http://]]*.buy-security-essentials.com (HKLM)    
O15 - Trusted Zone: [[http://]]*.get-key-se10.com (HKLM)    
O16 - DPF: {BAC761D3-DFFD-4DB4-A01D-173346E090A7} (CPlayFirstzenerchiControl Object) - http://gamerival.oberon-media.com/    
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamerival.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab     


Une fois coché, ferme toutes les fenêtres et applications et clique sur "Fix checked"   

Ensuite   

&#9674;&#9674;&#9674;Télécharge OTM (de Old_Timer) sur ton Bureau,&#9674;&#9674;&#9674;
&#9830; Double-clique sur OTM.exe pour lancer le programme,
&#9830; Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :

:files  
C:\WINDOWS\system32\smss32.exe    
C:\Documents and Settings\All Users\Application Data\wwwzuc32.exe       

:Commands  
[emptytemp]  
[Reboot]  

  
 
  &#9830;  Clique sur MoveIt! pour lancer la suppression,
  &#9830; Le résultat apparaîtra dans le cadre Results.
  &#9830; Clique sur Exit pour fermer le programme.
  &#9830; Poste le rapport qui est situé ici : C:\\_OTM\MovedFiles
  &#9830; Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.


Utiliser https://www.cjoint.com/  pour poster les rapports.
Merci 
Ensuite pour continuer une recherche plus approfondie   

&#9674;&#9674;&#9674; Télécharge OTL sur ton Bureau. &#9674;&#9674;&#9674;

       &#9830; Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et de le laisser travailler.
       &#9830; Lorsque la fenêtre apparaît, cochez Rapport minimal sous Rapport en haut de la fenêtre.
       &#9830; Coche les cases Recherche Lop et Recherche purity. en bas de la fenêtre:
       &#9830; Sous la zone Personnalisation, copie/colle ceci :

    netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT




      &#9830;Clique sur le bouton Analyse. Ne chance aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
       &#9830; Une fois l'analyse terminée, cela ouvrira deux fenêtres du Bloc-notes Windows : OTL.txt et Extras.txt. Ils sont sauvegardés au même endroit que OtL.
       &#9830; Copie/colle (Éditer -> Sélectionner Tout, Éditer -> Copier) le contenu des deux fichiers ici, un par message stp.

Utiliser https://www.cjoint.com/  pour poster les rapports.
Merci 
C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.

Liroxi · Answer

merci 
je vais manger un bout en ville et je m'occupe de tout ça !

ep44 · Answer

ok @+

Liroxi · Answer

voici le rapport pour OTM

https://www.cjoint.com/?fosUoCzeNz

je poursuis ...

Liroxi · Answer

rapport OTL.txt

https://www.cjoint.com/?fotcTh7Avr

Liroxi · Answer

rapport Extras.txt

https://www.cjoint.com/?foteHKe4D2

merci pour tes réponses

maintenant j'attends

je voulais juste te dire que google chrome ne fonctionne toujours pas et que pendant l'analyse de OTL deux fois l'antivirus s'est déclenché pour TR/Rootkit.Gen.
Une fois pendant scanning driver : Parport ...
et l'autre Looking for newly created files : C :\Windows\System32\drivers\jyrpusb.sys

je ne sais pas si cela peut être utile ...

Liroxi · Answer

encore une chose j'ai plus de son sur le pc !!??

apparement problème périphérique audio y a t il un lien ?

ep44 · Answer

Pour commencer on va nettoyer le PC jusqu'au bout ensuite nous verrons les autres soucis.

Pour la suite :


&#9830; Relance OTL.exe.

&#9830; Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):


:OTL
O4 - Startup: C:\Documents and Settings\UTILISATEUR\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe ()  
[2010/05/13 20:25:31 | 000,000,004 | ---- | M] () -- C:\Documents and Settings\UTILISATEUR\Application Data\avdrn.dat       
[2010/05/13 20:25:34 | 000,000,016 | ---- | C] () -- C:\Documents and Settings\LocalService\Application Data\qvjsge.dat  
[2010/05/13 20:25:31 | 000,000,004 | ---- | C] () -- C:\Documents and Settings\UTILISATEUR\Application Data\avdrn.dat 
[2008/01/20 17:59:00 | 000,000,544 | ---- | C] () -- C:\WINDOWS\_delis32.ini

:Commands
[emptytemp]
[start explorer]
[Reboot]

&#9830; Puis clique sur le bouton Correction en haut de la fenêtre.
&#9830; Laisse le programme travailler, redémarre une fois le fix terminé.
&#9830; Enfin, poste un nouveau log OTL2  (cette fois, ne coche pas les cases LOP Check et Purity).



Ensuite :

&#9674;&#9674;&#9674; Télécharge  Ccleaner &#9674;&#9674;&#9674;

&#9830; Aide toi de ce tuto pour l'utiliser 
http://www.swl1f.net/viewtopic.php?f=14&t=69



&#9674;&#9674;&#9674; Télécharge Malwarebytes &#9674;&#9674;&#9674;

Une aide pour l'installation 
http://www.swl1f.net/viewtopic.php?f=14&t=68


&#9830; Installe le 
&#9830; Lance malwarebytes
&#9830; Clique pour commencer sur Mise à jour et ensuite sur Rechercher des mises à jour
&#9830; Coche "Exécuter un examen complet"
&#9830; Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
&#9830; Clique sur Supprimer la sélection
&#9830; Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
&#9830; Fait copier coller et poste le rapport 

Utiliser https://www.cjoint.com/  pour poster les rapports.
Merci

liroxi · Answer

Rapport OTL2

https://www.cjoint.com/?fowNd371Vz

il est vrai que je venais de voir cette m.... de wwwzuc32 dans mon menu démarrage !! et je suis bien content de voir qu'il a disparu après cette premiere manoeuvre

poursuivons poursuivons ...

liroxi · Answer

rapport Malwarbytes

https://www.cjoint.com/?fpjyuyc4EW

il ne me reste plus qu'à attendre de nouvelles instructions ...

Liroxi · Answer

En tous les cas j'ai récuperé du son : pb avec le mélangeur audio wave de noyau microsoft ! j'ai simplement remis le pilote à jour dans mon profil matériel. Par contre pour les virus et autres cochonneries que dois je faire ?

Liroxi · Answer

pour l'instant plus signe de vie des virus et autres ! mais ont ils disparu ? comment le savoir ?

ep44 · Answer

Bonjour, 

Alors certaine suppression ont été faite mais il nous faut encore faire quelques vérification.

&#9674;&#9674;&#9674;Télécharge Rootrepeal,&#9674;&#9674;&#9674;

 &#9830; Dézippe-le sur le Bureau (Fais un clic droit sur l'archive et choisis extraire vers> Bureau),
    &#9830; Double-clique sur Rootrepeal.exe (sous Vista, il faut faire un clic droit sur le fichier, et Excécuter en tant qu'administrateur),
   &#9830; Clique sur l'onglet File et choisis Scan. L'analyse peut durer quelques minutes,
   &#9830; Clique sur "Save report". Enregistre le rapport sur le Bureau en lui donnant le nom Rootrepeal.txt,
    &#9830; Ouvre ce rapport, fais CTRL+A pour tout sélectionner, CTRL+C pour copier son contenu, CTRL+V pour coller ce rapport dans ta prochaine réponse,
   

Utiliser https://www.cjoint.com/  pour poster les rapports.
Merci  

Page : https://sites.google.com/site/rootrepeal/

Liroxi · Answer

rapport rootrepeal

https://www.cjoint.com/?fqm7OKJDng

ep44 · Answer

ok 

Peut tu faire ce qui suit stp

&#9674;&#9674;&#9674; Télécharge ZHPDiag de Nicolas Coolman&#9674;&#9674;&#9674;

&#9830; Sauvegarde-le sur le Bureau.

&#9830; Double-clique sur ZHPDiag.exe afin de lancer ZHPDiag.
&#9830; Coche toutes les options et clique sur le bouton Lancer le diagnostic.
&#9830; Lorsque l'analyse sera terminée, un fichier au format texte s'affiche dans la zone résultat de droite.
  &#9830; Clique sur le bouton Sauvegarder le fichier sous et valide ZHPDiag.Txt, si tu souhaites le conserver.
 &#9830; Copie le résultat dans le Presse-Papier de Windows.
  &#9830; Colle le résultat dans le forum avec ta prochaine réponse.


Utiliser https://www.cjoint.com/  pour poster les rapports.
Merci

Liroxi · Answer

d'accord ! mais qu'est ce que ma connection internet est lente !!! depuis mon attaque de méchants troyens et autres

liroxi · Answer

rapport ZHP

https://www.cjoint.com/?fqrUqCDzjR

ep44 · Answer

très bien voici la suite :

 &#9674;&#9674;&#9674;Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)  &#9674;&#9674;&#9674;

Miroir: 
https://www.androidworld.fr/ 

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 &#9830; Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

 &#9830; Double-clique sur l'icône Ad-remover située sur ton Bureau. 
 &#9830; Sur la page, clique sur le bouton « Scanner » 
 &#9830; Confirme lancement du scan 
 &#9830; Laisse travailler l'outil. 
 &#9830; Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 


 

Ensuite 

&#9674;&#9674;&#9674; Télécharge  Ccleaner &#9674;&#9674;&#9674;

&#9830; Aide toi de ce tuto pour l'utiliser 
http://www.swl1f.net/viewtopic.php?f=14&t=69



&#9674;&#9674;&#9674; Télécharge Malwarebytes &#9674;&#9674;&#9674;

Une aide pour l'installation 
http://www.swl1f.net/viewtopic.php?f=14&t=68


&#9830; Installe le 
&#9830; Lance malwarebytes
&#9830; Clique pour commencer sur Mise à jour et ensuite sur Rechercher des mises à jour
&#9830; Coche "Exécuter un examen complet"
&#9830; Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
&#9830; Clique sur Supprimer la sélection
&#9830; Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
&#9830; Fait copier coller et poste le rapport 

Utiliser https://www.cjoint.com/  pour poster les rapports.
Merci

liroxi · Answer

rapport ad-report

https://www.cjoint.com/?fquwmYaZ5e

ep44 · Answer

Tu pourras relancer AD-Remover et choisir la touche "Nettoyer", poste également le rapport qui en découle.

liroxi · Answer

rapport ad-report nettoyage

https://www.cjoint.com/?fqwBQo4TxD

merci et bonne nuit 
je laisse tourner maleware cette nuit et je post demain

ep44 · Answer

très bien, 
dans ce cas à demain :)

liroxi · Answer

rapport maleware : encore une infection Rootkit Agent !

https://www.cjoint.com/?frhXn3eykd

ep44 · Answer

Bonjour, 

Pas de soucis pour ce rootkit trouvé il est dans tes points de restauration qu'il faudra supprimer par la suite.

Pour la suite il faut faire une vérification.

&#9674;&#9674;&#9674; Fait un scan en ligne avec Kaspersky &#9674;&#9674;&#9674;
   
&#9830; Une fois la fenêtre du scanner en ligne ouverte :
&#9830; Prendre connaissance de ce qui est indiqué dans la partie "information" et clique sur "j'accepte".
(Si tu es sur IE, on va te demander de télécharger un contrôle Active X, accepte)
 
&#9830;   Le "téléchargement et la mise à jour du programme" se lance .
 
&#9830; Ensuite la "mise à jour de la base de données" se fait, patiente jusqu'à ce que se soit fini ( ceci peut-être relativement long ).
 
&#9830; Une fois fini, le scanner est prêt.
&#9830; Dans l'onglet "Analyser" clique sur Poste de travail afin de faire une analyse complète du système
Une fois le scan terminé, le résultat s'affiche.
     
&#9830; Clique sur "enregistrer rapport" pour faire une sauvegarde de ce dernier et post-le.

Poste le rapport de Kaspersky.

liroxi · Answer

j'ai commencé l'analyse , rapport demain matin.

en tous les cas un grand merci pour ton aide !

liroxi · Answer

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
 Tuesday, May 18, 2010
 Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
 Kaspersky Online Scanner version: 7.0.26.13
 Last database update: Monday, May 17, 2010 16:24:22
 Records in database: 4119521
--------------------------------------------------------------------------------

Scan settings:
	scan using the following database: extended
	Scan archives: yes
	Scan e-mail databases: yes

Scan area - My Computer:
	A:\
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\

Scan statistics:
	Objects scanned: 184776
	Threats found: 1
	Infected objects found: 0
	Suspicious objects found: 1
	Scan duration: 03:30:18


File name / Threat / Threats count
C:\Documents and Settings\UTILISATEUR\Local Settings\Application Data\Identities\{BE9ECEE3-46E7-4ABE-A5D7-B2094FA3BBF5}\Microsoft\Outlook Express\Éléments supprimés.dbx	Suspicious: Trojan-Spy.HTML.Fraud.gen	1

Selected area has been scanned.

ep44 · Answer

Bonjour, 

Vide ta boite mail Outlook Express.


Fait ensuite un scan avec ton Antivirus et post ton rapport.

liroxi · Answer

euh ... quand tu dis vider la boite mail c'est supprimer tous les messages (reception, envoi et corbeille) ou bien juste l'un des trois ? car c'est ma copine qui utilise outlook express (perso j'utilise thunderbird) et donc je veux bien être sur avant de faire une bétise

désolé d'insister

ep44 · Answer

Je pense que ce sont dans le éléments supprimés ;)

liroxi · Answer

j'ai relu le rapport et on dirait que c'est dans éléments supprimés non ?

ep44 · Answer

oui ;)

liroxi · Answer

Je lance le scan
et je post demain matin

bonne nuit

désolé pour les questions et réponses croisées !!!

liroxi · Answer

Avira AntiVir Personal
Date de création du fichier de rapport : mardi 18 mai 2010  22:24

La recherche porte sur 2129107 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : WINDOWS-0B48B5C

Informations de version :
BUILD.DAT               : 9.0.0.75      21698 Bytes  22/01/2010 23:14:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  19/11/2009 18:48:02
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 10:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 11:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 10:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 18:48:02
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 18:48:02
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 18:23:26
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 18:14:40
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 21:03:34
VBASE005.VDF            : 7.10.6.82   2494464 Bytes  15/04/2010 18:05:46
VBASE006.VDF            : 7.10.6.83      2048 Bytes  15/04/2010 18:05:47
VBASE007.VDF            : 7.10.6.84      2048 Bytes  15/04/2010 18:05:47
VBASE008.VDF            : 7.10.6.85      2048 Bytes  15/04/2010 18:05:47
VBASE009.VDF            : 7.10.6.86      2048 Bytes  15/04/2010 18:05:47
VBASE010.VDF            : 7.10.6.87      2048 Bytes  15/04/2010 18:05:49
VBASE011.VDF            : 7.10.6.88      2048 Bytes  15/04/2010 18:05:49
VBASE012.VDF            : 7.10.6.89      2048 Bytes  15/04/2010 18:05:49
VBASE013.VDF            : 7.10.6.90      2048 Bytes  15/04/2010 18:05:49
VBASE014.VDF            : 7.10.6.123    126464 Bytes  19/04/2010 17:55:12
VBASE015.VDF            : 7.10.6.152    123392 Bytes  21/04/2010 17:55:16
VBASE016.VDF            : 7.10.6.178    122880 Bytes  22/04/2010 17:55:27
VBASE017.VDF            : 7.10.6.206    120320 Bytes  26/04/2010 17:55:28
VBASE018.VDF            : 7.10.6.232     99328 Bytes  28/04/2010 17:55:34
VBASE019.VDF            : 7.10.7.2     155648 Bytes  30/04/2010 17:55:42
VBASE020.VDF            : 7.10.7.26    119808 Bytes  04/05/2010 05:33:38
VBASE021.VDF            : 7.10.7.51    118272 Bytes  06/05/2010 05:33:38
VBASE022.VDF            : 7.10.7.75    404992 Bytes  10/05/2010 05:33:44
VBASE023.VDF            : 7.10.7.100    125440 Bytes  13/05/2010 10:48:59
VBASE024.VDF            : 7.10.7.119    177664 Bytes  17/05/2010 10:47:51
VBASE025.VDF            : 7.10.7.120      2048 Bytes  17/05/2010 10:47:51
VBASE026.VDF            : 7.10.7.121      2048 Bytes  17/05/2010 10:47:51
VBASE027.VDF            : 7.10.7.122      2048 Bytes  17/05/2010 10:47:51
VBASE028.VDF            : 7.10.7.123      2048 Bytes  17/05/2010 10:47:51
VBASE029.VDF            : 7.10.7.124      2048 Bytes  17/05/2010 10:47:51
VBASE030.VDF            : 7.10.7.125      2048 Bytes  17/05/2010 10:47:51
VBASE031.VDF            : 7.10.7.126     26112 Bytes  18/05/2010 10:47:51
Version du moteur       : 8.2.1.242
AEVDF.DLL               : 8.1.2.0      106868 Bytes  23/04/2010 17:55:30
AESCRIPT.DLL            : 8.1.3.29    1343866 Bytes  13/05/2010 10:48:56
AESCN.DLL               : 8.1.6.1      127347 Bytes  13/05/2010 10:48:55
AESBX.DLL               : 8.1.3.1      254324 Bytes  23/04/2010 17:55:30
AERDL.DLL               : 8.1.4.6      541043 Bytes  16/04/2010 18:07:31
AEPACK.DLL              : 8.2.1.1      426358 Bytes  19/03/2010 20:32:48
AEOFFICE.DLL            : 8.1.1.0      201081 Bytes  13/05/2010 10:48:55
AEHEUR.DLL              : 8.1.1.27    2670967 Bytes  08/05/2010 05:33:41
AEHELP.DLL              : 8.1.11.3     242039 Bytes  01/04/2010 19:31:11
AEGEN.DLL               : 8.1.3.9      377203 Bytes  13/05/2010 10:48:55
AEEMU.DLL               : 8.1.2.0      393588 Bytes  23/04/2010 17:55:29
AECORE.DLL              : 8.1.15.3     192886 Bytes  13/05/2010 10:48:54
AEBB.DLL                : 8.1.1.0       53618 Bytes  23/04/2010 17:55:29
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 08:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  03/11/2009 11:42:28
AVREP.DLL               : 8.0.0.7      159784 Bytes  21/02/2010 20:36:31
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 15:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 15:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 10:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 15:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 08:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 15:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  03/11/2009 11:42:27
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  19/11/2009 18:48:01

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, E:, F:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : mardi 18 mai 2010  22:24

La recherche d'objets cachés commence.
'125991' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'httpd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'httpd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ULCDRSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TomTomHOMEService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPZipm12.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSCamS32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DevSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleCrashHandler.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DTLite.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MediaCenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'44' processus ont été contrôlés avec '44' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'E:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'F:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '54' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\UTILISATEUR\Mes documents\Downloads\orientation\EnsDet2.rar
  [0] Type d'archive: RAR
    --> EnsDet3.cab
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\Documents and Settings\UTILISATEUR\Mes documents\Downloads\orientation\EnsDet3.rar
  [0] Type d'archive: RAR
    --> EnsDet4.cab
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\Documents and Settings\UTILISATEUR\Mes documents\Downloads\orientation\EnsDet4.rar
  [0] Type d'archive: RAR
    --> EnsDet5.cab
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\WINDOWS\system32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\_OTL\MovedFiles\05142010_223206\C_Documents and Settings\UTILISATEUR\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bredolab.AA.86
Recherche débutant dans 'E:\'
Recherche débutant dans 'F:\' <Données>

Début de la désinfection :
C:\_OTL\MovedFiles\05142010_223206\C_Documents and Settings\UTILISATEUR\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bredolab.AA.86
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c6a0ba0.qua' !


Fin de la recherche : mardi 18 mai 2010  23:48
Temps nécessaire:  1:16:49 Heure(s)

La recherche a été effectuée intégralement

  15633 Les répertoires ont été contrôlés
 638815 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 638812 Fichiers non infectés
   6057 Les archives ont été contrôlées
      8 Avertissements
      2 Consignes
 125991 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

ep44 · Answer

Bonjour,

Comment ce comporte ton PC ?
As tu encore des soucis ?

liroxi · Answer

google chrome fonctionne correctement 
j'ai retrouvé du son
et mon adsl est de nouveau opérationnel de façon très satisfaisante

de plus plus d'alertes anti trojan

conclusion : tout va bien

merci pour tout c'était la première fois que je venais vers vous et j'avoue que j'ai été super bien pris en main

merci ep44 ! explications très claires, procédure très simple .

ep44 · Answer

Bon très bien et très content pour toi ;)


Pour finir 


Pour commencer il te faut désinstaller tout les outils que nous avons utilisés.
Pour cela je vais te faire utiliser un outil que tu devras supprimer à la suite.
Une fois l'outil passé recherche tout de même dans Ajout et suppression de programmes mais aussi dans Program files.

  &#9830; Ferme toutes les applications en cours.
 &#9674;&#9674;&#9674;Télécharge ToolsCleaner2&#9674;&#9674;&#9674; sur ton Bureau.


 &#9830; Double clique sur ToolsCleaner2.exe >
puis Recherche
et sur Suppression
Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau


Ensuite utilise ce logiciel pour faire un peu de ménage sur ton PC, logiciel que tu pourras garder et utiliser régulièrement pour l'entretien de ton système.


&#9674;&#9674;&#9674;Télécharge Cleaner par Atribune.&#9674;&#9674;&#9674; 
 Tu pourras garder ce logiciel pour une utilisation régulière.


      Double-clique ATF-Cleaner.exe afin de lancer le programme.
      &#9830; Sous l'onglet Main, choisis : Select All
      &#9830; Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

     &#9830; Clique Firefox au haut et choisis : Select All
     &#9830; Clique le bouton Empty Selected
      NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

     &#9830; Clique Opera au haut et choisis : Select All
     &#9830; Clique le bouton Empty Selected
      NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
&#9830;
Clique Exit, du menu principal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. 


&#9830;Désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration sain.

Pour cela fait ce qui suit :



    Désactivation :
&#9830; 1° Cliquer droit sur le "Poste de travail"
&#9830; 2° Propriétés
&#9830; 3° Onglet "Restauration du système"
&#9830; 4° Coche la case "Désactiver la Restauration du système sur tous les lecteurs"
&#9830; 5° Clique sur Appliquer
&#9830; 6° Patiente jusqu'à tu vois ce message, puis clique sur Oui.


Il te faut ensuite réactiver ta restauration.

 Activation :
&#9830; 1° Suivre le même chemin
&#9830; 2° Décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
&#9830; 3° Clique sur Appliquer
&#9830; 4° Attends que cela soit à nouveau sur "surveillance" puis Ok. Redémarre l'ordinateur..


Une fois redémarré 
Installe un parefeu qui te protégera correctement :
Je te conseil ZoneAlarm https://www.malekal.com/tutoriel-zonealarm-firewall/

ou Sunbelt (anciennement Kério) regarde ici  http://www.sunbeltsoftware.com/home-home-office/sunbelt-personal-firewall/

    &#9830; N'installe qu'un seul parefeu !!
      et bien sur qu'un seul antivirus
      Si tu double ces protections ton PC auras des ralentissement car les logiciels vont entrer en conflits de priorités et au final mal te protéger.

      Vérifie les mises à jour de java
       &#9674;&#9674;&#9674; Télécharge JavaRa (de Paul McLain et Fred de Vries ) &#9674;&#9674;&#9674;

    &#9830; Décompresse le fichier sur ton Bureau (clic droit > Extraire tout)
    &#9830; Double-clique sur le répertoire JavaRa obtenu.
    &#9830; Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
   &#9830; Clique sur Search For Updates.
    &#9830; Sélectionne Update Using jucheck.exe puis clique sur Search.
    &#9830; Autorise le processus à se connecter si il te l'est demandé, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
    &#9830; Quand l'installation est terminée, reviens à l'écran de JavaRa et clique sur Remove Older Versions
    &#9830; Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok
    &#9830;Ferme l'application.

Note : S'il y a un soucis, poste le rapport :%SystemDrive%\JavaRa.log (%systemdrive% étant la partition où est installée Windows; C:\ en général)


N'oublie pas de faire régulièrement les mises à jour de tes  logiciels avant chaque scan.


Fait aussi les mises à jour de ton système
Windows update : ici  http://www.update.microsoft.com/windowsupdate/v6/default.aspx
Fait toutes les mises à jour que WIndows te propose y compris IE, elles sont importantes pour la sécurité de ton PC mais aussi pour sa stabilité.


    Ensuite quelques conseils

      Un peu de prévention  :
      Il te faut aussi  connaitre les dangers du peer to peer et du web.
      Prend le temps de lire Les liens que je te donne car tu verras que ton PC court de grands risques en utilisant ces logiciels, les téléchargements embarquent des virus, qui peuvent être très difficile à déloger mais aussi ils peuvent engendrer de grave soucis sur ton PC.
      Il y a aussi le côté légal qui ne faut oublier, et il faut prendre connaissance des risques.
      http://www.libellules.ch/...
http://www.zencomputer.fr/securite/eviter_les_infections/
    



  le navigateur

      Essaye le navigateur Firefox plus sur/securisé qu IE
      Firefox n'utilise pas le dangereux protocole ActiveX
   &#9830;Téléchargement:  Firefox http://www.mozilla-europe.org/fr/products/firefox/
 &#9830; Tutorial pour le sécuriser: ici https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

      Important
      Surfez avec les droits administrateurs sur le net te rend vulnérable, il faut donc utiliser un autre compte que celui de l'administrateur. 



     Pour que ton pc retrouve un peu de jeunesse

    &#9830; Pense à lancer une petite défragmentation afin d'optimiser les temps d'accès du disque dur.
    &#9830; Utilise CCleaner régulièrement, pour un nettoyage régulier.
    &#9830; Gère tes services grâce à ces 2 liens.

Tu pourras  libérer des ressources systèmes et améliorer la sécurité de ton PC.
  ici http://speedweb1.free.fr/frames2.php?page=service3 et  ici  http://speedweb1.free.fr/frames2.php?page=service4

Il faut faire attention à ta navigation sur le net, les habitudes de surf ont fait que ta machine c'est retrouvé avec des malwares qui malheureusement peuvent faire beaucoup de dégâts.

liroxi · Answer

bon je crois que j'ai parlé trop vite car depuis que je t'ai écris j'ai eu 4 alertes de trojan avec Avira

Dans le fichier 'C:\System Volume Information\_restore{3CA3DAEC-9643-49EC-B392-C161F1CB2054}\RP549\A0091014.exe'
un virus ou un programme indésirable 'TR/Dldr.Bredolab.AA.86' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Dans le fichier 'C:\System Volume Information\_restore{3CA3DAEC-9643-49EC-B392-C161F1CB2054}\RP549\A0091014.exe'
un virus ou un programme indésirable 'TR/Dldr.Bredolab.AA.86' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Dans le fichier 'C:\System Volume Information\_restore{3CA3DAEC-9643-49EC-B392-C161F1CB2054}\RP549\A0091014.exe'
un virus ou un programme indésirable 'TR/Dldr.Bredolab.AA.86' [trojan] a été détecté.
Action exécutée : Refuser l'accès



Dans le fichier 'C:\System Volume Information\_restore{3CA3DAEC-9643-49EC-B392-C161F1CB2054}\RP549\A0091014.exe'
un virus ou un programme indésirable 'TR/Dldr.Bredolab.AA.86' [trojan] a été détecté.
Action exécutée : Refuser l'accès



Que dois je faire ?

appliquer les consignes du dernier message ?

désolé d et'ennuyer encore et encore ... j'attends ta réponse avant de commencer.

liroxi · Answer

mince j'ai vraiment parlé trop vite .. plus de son de nouveau sur des sites comme deezer par exemple !

ep44 · Answer

Bonsoir, 

Avira as trouvé des points de restauration infectieux 
Il te faut suivre les instructions que je tes donnés quand à la suppression de tes points de restauration.

Pour le son regarde ceci 

Clique droit sur Poste de travail  ensuite Gérer puis Gestionnaires de périphériques.
Regarde dans le contrôleur audio si tu n'as pas de point d'exclamation jaune.

As tu plus du tout de son, ou est-ce juste sur certain site ? 
As essayé un autre navigateur ?

liroxi · Answer

pour le son c'est de nouveau ok depuis que j'ai fait un coup de Ccleaner (astuce lu sur un autre message du site) pour vider le cache internet j'imagine qu'une saloperie si glisse de temps en temps ! et mise  à jour de java bref de ce côté c'est bon (pour l'instant)

par contre j'ai de nouveaux problèmes :
- quand j'execute msconfig rien ne se passe
- google chrome ne marche plus 
- les 2  grandes nouveautés sont que de temps en temps avec internet explorer j'ai des fenetres "autres" qui s'ouvrent style "alerte une attaque virale votre ordi doit etre scanné de toute urgence" ou bien un site de fesses ou un site de n'importe quoi !! bref ça soule
et encore avec IE ou même firefox j'ai un message d'erreur quand je ferme une fenêtre : l'instruction à "0x00000000" emploie l'adresse mémoire "0x00000000". La mémoire ne peut être "read".

je suis désolé je pensais que tu avais réussi à me sortir de ce merdier mais apprement l'ennemi est coriace !!

veux tu bien encore m'aider.

par contre je vais suivre tes intructions pour les points de restauration

ep44 · Answer

Alors on pousse la recherche ;)

&#9674;&#9674;TéléchargeDDS de sUBs DDS de sUBs sur ton Bureau.  

L'outil ne nécessite pas d'installation.   

 	&#9830; Lance-le en cliquant sur l'icône dds.scr   
 	&#9830; Le scan ne doit pas dépasser trois minutes.   
 	&#9830; Un premier rapport va s'ouvrir que tu enregistreras sous DDS.txt par défaut sur le bureau.   
 	&#9830; Il te sera demandé si tu veux faire le scan optionnel.   
 	&#9830; Accepte par Oui   
 	&#9830; Un nouveau rapport s'ouvre que tu enregistres sous Attach.txt sur le bureau.   
 	&#9830; Tu ne le fourniras que si nécessaire.   
 	&#9830; Poste le rapport DDS.txt

liroxi · Answer

merci d'avance

https://www.cjoint.com/?fvbLDLqAqy

ep44 · Answer

Bonsoir, 

ce rapport est propre.


on essaye ce scan :
Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
    * Double-clique sur RSIT.exe afin de lancer RSIT.
    * Clique sur Continue à l'écran Disclaimer.
    * Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

--> Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Note : Les deux rapports sont également sauvegardés C:\rsit

liroxi · Answer

rapport log

https://www.cjoint.com/?fvvFdztHwk

rapport info

https://www.cjoint.com/?fvvGGPA0fX


quand je suis sur IE 8 souvent une autre fenetre s'ouvre avec google comme page c'est bizarre non ?

ep44 · Answer

Bonjour,  

Pour ta page qui s'ouvre je ne vois rien ! 
Il te faudrait ne plus utiliser ce P2P qui ne fera que t'apporter des soucis. 
Il te faut virer tout ces logiciels de ton PC ainsi que toutes traces. 

Ensuite fait ce qui suit  

&#9674;&#9674;&#9674;Télécharge OTM (de Old_Timer) sur ton Bureau,&#9674;&#9674;&#9674;
&#9830; Double-clique sur OTM.exe pour lancer le programme,
&#9830; Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :

:reg 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{0042bb82-61ae-9c6e-955e-4e02c0c976f9}]   

:services 
 a0reydg0 

:files 
C:\WINDOWS\system32\drivers\a0reydg0.sys  
C:\WINDOWS\system32\wtigchsfbuulkfv.dll DllStart  

:Commands 
[emptytemp] 
[Reboot]  

 &#9830;  Clique sur MoveIt! pour lancer la suppression,
  &#9830; Le résultat apparaîtra dans le cadre Results.
  &#9830; Clique sur Exit pour fermer le programme.
  &#9830; Poste le rapport qui est situé ici : C:\\_OTM\MovedFiles
  &#9830; Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

Utiliser https://www.cjoint.com/  pour poster les rapports. 
Merci 


Ensuite va dans ton Panneau de configuration puis ajout et suppression de programme et fait un peu de ménage car tu dois avoir tout un tas de chose qui ne te serve plus. 
Fait aussi un tour dans C:\Program files et fait un peu de ménage. 

Oublie pas de suivre ces instructions /!\IMPORTANT/!\ 
https://forums.commentcamarche.net/forum/affich-17725293-pc-infecte-par-tr-agent-an-2070-et-autres?page=2#38 
Supprime aussi tout les logiciels que nous avons utilisé passe un coup de CCleaner et AFT Cleaner et redémarre ton PC et dit moi si c'est mieux ! 
C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.

liroxi · Answer

rapport OTM
https://www.cjoint.com/?fwmSnSKtTk

liroxi · Answer

j'ai enlevé les logiciels et suivi la procédure sauf que je ne peux pas mettre à jour windows 

windows update n'est pas accessible  : j'ai essayé d erésoudre ce probleme mais rien à faire
à partir de IE8 la page ne veut pas se charger

liroxi · Answer

j'ajoute que parfois j'ai encore des pages qui s'ouvrent seules (pub ou autres)

ep44 · Answer

ok on passe à autre choses 

  &#9674; &#9674; &#9674; Télécharge Combofix depuis l'un des liens ci-dessous: &#9674; &#9674; &#9674;

      Lien 1
      Lien 2

      &#9830; IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau

    &#9830; Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

    &#9830; Fait un double clic sur combofix.exe et suit les invites.

    &#9830; Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.

 &#9830; Suit les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

     &#9674; &#9674;  Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

&#9830; Une fois fait clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

&#9830; Lorsque l'outil aura terminé, il affichera un rapport, copie le contenu de C:\ComboFix.txt dans votre prochaine réponse.

liroxi · Answer

excellent programme merci beaucoup. J'ai récupéré Windows update et google chrome

le rapport : https://www.cjoint.com/?fwxG1RWtRY

je me reserve le droit de vous écrire demain pour signaler si tout va bien car la dernière fois j'ai répondu trop vite et je me suis porté la poisse

liroxi · Answer

par contre quand je fais "executer" msconfig est aux abonnés absent !

je voulais faire comme il etait dit dans l'article pour les services ... mais j ene sai spas si tout cela à un lien avec nos problèmes précèdents (je mets nos problèmes car j'ai l'impression d eles avoir bien partagés) 

merci mille fois pour tout

ep44 · Answer

Bonjour, 
Pour commencer désinstalle DAEMON Tools 

Pour msconfig essaye ceci :

Pour commencer regarde si tu le trouve ici
C:\Windows\system32\msconfig.exe

Si non 
Télécharge ceci :
 https://www.ldlc.com/  

une fois téléchargé décompresse-le dans le dossier C:\Windows\system32
Ensuite fait msconfig dans Démarrer > Exécuter.

liroxi · Answer

tout d'abord merci de t'occuper encore de moi,
ensuite tout va bien pour les problèmes rencontrées jusqu'à présent. Si je peux me permettre je voudrais savoir si combixfix est à utiliser fréquemment ou bien si c'est un logiciel spécifique au problème rencontré

pour msconfig j'avais déjà lu cette soluce mais sans résultat positif pour moi !

faut il que je marque comme "résolu" mon pb de trojan et que je crée un autre topic pour mon pb "msconfig"

j'ai bien l'impression que mon OS est ben fatigué et qu'une réparation serait la bienvenue non ?

comment faire également pour que je sois toujours en lien avec toi au cas où j'aurai d'autres soucis (si tu le veux bien)

ep44 · Answer

Re,  

Pour combofix non il ne faut pas l'utiliser comme un outil de nettoyage c'est un outil très spécifique est à utiliser avec prudence donc il te faut le supprimer pour cela relance le logiciel OTL puis clique sur  CleanUp 

Tu peux effectivement faire une réparation de ton Système si tu as un CD. 
Fait bien une réparation  
Voici un super tuto  
http://www.informatruc.com/reparer-windows-xp/ 

Sinon pour msconfig as tu essayé son remplacement ?  
Pour ma part tu pêux me trouver soit ici soit sur mon site que tu trouveras sur mon profil ;)

C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.

liroxi · Answer

excellent merci ppour ta réponse (au sujet de ton site)

par contre je ne comprends pas le "remplacement" de msconfig ?

ep44 · Answer

Je t'ai donné de quoi remplacer msconfig deux post plus haut ;)
Quand tu vas le décompresser dans C:\Windows\system32  il va te demander si tu veux le remplacer dans ce cas accepte.

liroxi · Answer

d'accord j'avais pas compris dans ce sens là mais malheureusement cela ne change rien car je l'avais déjà tenté !

ep44 · Answer

ok alors tente une réparation de ton système avec le CD d'installation.
Suit bien ce tuto
http://www.informatruc.com/reparer-windows-xp/  

@+ ;)

Pc infecté par TR/Agent.AN.2070 et autres ...

58 réponses

Newsletters