Salut,

je crois que je me suis fait infecté par un spyware ou malware (je sais pas trop la différence) du nom de TR/FakeAV.bak.2.

est-ce que vous connaissez? antivir n'a pas l'air de savoir quoi faire. et windows n'arrête pas de me dire que je suis infecté.
qu'est ce que je dois faire?

merci

A.

Bonjour

si tu as un rapport d'antivir, poste le s'il te plait.

Télécharge random's system information tool (RSIT) par random/random et sauvegarde le sur ton Bureau

* Double-clic sur RSIT.exe pour l'exécuter.
* Clique sur le bouton "Continue" sur la fenêtre d'avertissement.
* Une fois le scan terminé, tu auras deux rapports qui seront ouverts : log.txt et info.txt (c:\rsit)
* Poste les dans ta prochaine réponse

Note : un rapport hijackthis est contenu dans le rapport log.txt

Si tes rapports sont trop long utilise ce site : http://www.miraclesalad.com/webtools/clip.php
Copie/coller ton rapport et clique sur le bouton Paste to new clipboard
Donne le lien dans ta prochaine réponse.
Il est de type : http://www.miraclesalad.com/webtools/clip.php?clip=XXXX ou xxxx est un numéro.

bonjour,

voici le rapport Antivir.
je lance l'autre scan tout de suite.




Avira AntiVir Personal
Report file date: jeudi 16 octobre 2008 10:58

Scanning for 1686590 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: TOINOU

Version information:
BUILD.DAT : 8.1.0.331 16934 Bytes 12/08/2008 11:46:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 22/07/2008 13:38:27
AVSCAN.DLL : 8.1.4.0 40705 Bytes 22/07/2008 13:38:27
LUKE.DLL : 8.1.4.5 164097 Bytes 22/07/2008 13:38:30
LUKERES.DLL : 8.1.4.0 12033 Bytes 22/07/2008 13:38:30
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 22:11:07
ANTIVIR2.VDF : 7.0.7.12 4066816 Bytes 08/10/2008 08:35:33
ANTIVIR3.VDF : 7.0.7.45 241664 Bytes 15/10/2008 19:24:34
Engineversion : 8.2.0.4
AEVDF.DLL : 8.1.0.6 102772 Bytes 15/10/2008 19:24:45
AEscript.DLL : 8.1.1.8 319866 Bytes 15/10/2008 19:24:44
AESCN.DLL : 8.1.1.3 123252 Bytes 15/10/2008 19:24:42
AERDL.DLL : 8.1.1.2 438644 Bytes 18/09/2008 14:15:42
AEPACK.DLL : 8.1.2.4 369014 Bytes 15/10/2008 19:24:42
AEOFFICE.DLL : 8.1.0.28 196987 Bytes 15/10/2008 19:24:40
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18/09/2008 14:15:39
AEHELP.DLL : 8.1.1.2 115062 Bytes 15/10/2008 19:24:39
AEGEN.DLL : 8.1.0.41 319861 Bytes 15/10/2008 19:24:38
AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 19:24:37
AECORE.DLL : 8.1.2.6 172406 Bytes 15/10/2008 19:24:35
AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 19:24:34
AVWINLL.DLL : 1.0.0.12 15105 Bytes 22/07/2008 13:38:27
AVPREF.DLL : 8.0.2.0 38657 Bytes 22/07/2008 13:38:27
AVREP.DLL : 8.0.0.2 98344 Bytes 03/08/2008 20:47:31
AVREG.DLL : 8.0.0.1 33537 Bytes 22/07/2008 13:38:27
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 22/07/2008 13:38:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 22/07/2008 13:38:31
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 22/07/2008 13:38:22
RCTEXT.DLL : 8.0.52.0 86273 Bytes 22/07/2008 13:38:22

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: medium
Deviating risk categories........: +GAME,+JOKE,+PCK,+SPR,

Start of the scan: jeudi 16 octobre 2008 10:58

Starting search for hidden objects.
'87276' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'vsserv.exe' - '1' Module(s) have been scanned
Scan process 'unsecapp.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'bdss.exe' - '1' Module(s) have been scanned
Scan process 'mcrdsvc.exe' - '1' Module(s) have been scanned
Scan process 'livesrv.exe' - '1' Module(s) have been scanned
Scan process 'xcommsvr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'YzShadow.exe' - '1' Module(s) have been scanned
Scan process 'UberIcon Manager.exe' - '1' Module(s) have been scanned
Scan process 'RocketDock.exe' - '1' Module(s) have been scanned
Scan process 'mfijanul.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'brastk.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'bdagent.exe' - '1' Module(s) have been scanned
Scan process 'ipoint.exe' - '1' Module(s) have been scanned
Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned
Scan process 'sm56hlpr.exe' - '1' Module(s) have been scanned
Scan process 'RTHDCPL.EXE' - '1' Module(s) have been scanned
Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned
Scan process 'cxifavkz.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'symlcsvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'MsMpEng.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
50 processes with 50 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '67' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\Antoine Larkin\Local Settings\Temp\Binaries2.cab5
[0] Archive type: CAB (Microsoft)
--> wscui.cpl
[DETECTION] Is the TR/FakeAV.bak.2 Trojan
[NOTE] The file was moved to '49650379.qua'!
C:\Documents and Settings\Antoine Larkin\Local Settings\Temporary Internet Files\Content.IE5\89IBSL27\Binaries2[1].cab
[0] Archive type: CAB (Microsoft)
--> wscui.cpl
[DETECTION] Is the TR/FakeAV.bak.2 Trojan
[NOTE] The file was moved to '496505ef.qua'!
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcrst.dll
[WARNING] The file could not be opened!


End of the scan: jeudi 16 octobre 2008 12:06
Used time: 1:08:36 Hour(s)

The scan has been done completely.

9495 Scanning directories
341763 Files were scanned
2 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
2 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
341758 Files not concerned
14556 Archives were scanned
3 Warnings
2 Notes
87276 Objects were scanned with rootkit scan
0 Hidden objects were found

Désactive L'antivirus, antispyware....

• Télécharge OTMoveIt de OldTimer.
  
• Sauvegarde le sur ton Bureau.
  
• Double-Clique sur OTMoveIt.exe pour le lancer.
  
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :
  
  

  Citation:

  [kill explorer] C:\Documents and Settings\Antoine Larkin\Local Settings\Temporary Internet Files\Content.IE5\89IBSL27\Binaries2[1].cab C:\Documents and Settings\Antoine Larkin\Local Settings\Temporary Internet Files\Content.IE5\89IBSL27\Binaries2.cab EmptyTemp Purity [start explorer]

  
  
  
  
• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
  
• Clique sur le bouton rougeMoveit[b]!.
  
• Ferme [b]OTMoveIt.
  

Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Poste le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles

voici le rapport de OTMoveIt:

Explorer killed successfully
< C:\Documents and Settings\Antoine Larkin\Local Settings\Temporary Internet Files\Content.IE5\89IBSL27\Binaries2[1].cab >
File/Folder C:\Documents and Settings\Antoine Larkin\Local Settings\Temporary Internet Files\Content.IE5\89IBSL27\Binaries2[1].cab not found.
File/Folder C:\Documents and Settings\Antoine Larkin\Local Settings\Temporary Internet Files\Content.IE5\89IBSL27\Binaries2.cab not found.
< EmptyTemp >
Temp folders emptied.
IE temp folders emptied.
< Purity >
Explorer started successfully

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10162008_150949

Oh mon dieu ton pc est pourri d'infection....

On va essayer de nettoyer tout ça. Tu as une infection par support amovible (clé usb ou disque dur externe) tu as plusieurs rogues, troyens etc..

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Tu peux suivre le tutorial SDFix pour t'aider :http://www.malekal.com/tutorial_SDFix.php

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

* Redémarre ton ordinateur
* Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.

Déroule la liste des instructions ci-dessous :

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
* Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log de RSIT avec

Ca rassure de savoir que mon ordi est pourri! lol

voici le rapport SDFix


SDFix: Version 1.236
Run by Antoine Larkin on 16/10/2008 at 16:17

Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\Antoine Larkin\Bureau\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\DOCUME~1\ANTOIN~1\COOKIES\HAQEWUJE.LIB - Deleted
C:\DOCUME~1\ANTOIN~1\COOKIES\DEZU.VBS - Deleted
C:\WINDOWS\mslagent\2_mslagent.dll - Deleted
C:\WINDOWS\mslagent\mslagent.exe - Deleted
C:\WINDOWS\mslagent\uninstall.exe - Deleted
C:\Program Files\akl\akl.dll - Deleted
C:\Program Files\akl\akl.exe - Deleted
C:\Program Files\akl\uninstall.exe - Deleted
C:\Program Files\akl\unsetup.exe - Deleted
C:\Program Files\Inet Delivery\inetdl.exe - Deleted
C:\Program Files\Inet Delivery\intdel.exe - Deleted
C:\Program Files\XP_Antispyware\AVEngn.dll - Deleted
C:\Program Files\XP_Antispyware\htmlayout.dll - Deleted
C:\Program Files\XP_Antispyware\Uninstall.exe - Deleted
C:\Documents and Settings\All Users\Documents\vinerifuk.dat - Deleted
C:\Documents and Settings\All Users\Documents\lujyxaqoq.dl - Deleted
C:\Documents and Settings\All Users\Documents\ovapakady.pif - Deleted
C:\Documents and Settings\All Users\Documents\urek.vbs - Deleted
C:\Program Files\Fichiers communs\igury.com - Deleted
C:\Program Files\Fichiers communs\codijeg.dat - Deleted
C:\Program Files\Fichiers communs\urek.dat - Deleted
C:\Program Files\Fichiers communs\degygidam.pif - Deleted
C:\Program Files\Fichiers communs\ufecyrir.pif - Deleted
C:\Program Files\Fichiers communs\odude.scr - Deleted
C:\Documents and Settings\Antoine Larkin\Application Data\ogilar.bin - Deleted
C:\Documents and Settings\Antoine Larkin\Application Data\ubidy.bin - Deleted
C:\Documents and Settings\Antoine Larkin\Application Data\xomefar.bin - Deleted
C:\Documents and Settings\Antoine Larkin\Application Data\okycirymo.pif - Deleted
C:\Documents and Settings\Antoine Larkin\Application Data\avaryr.vbs - Deleted
C:\WINDOWS\a.bat - Deleted
C:\WINDOWS\system32\wini104552663.exe - Deleted
C:\WINDOWS\zip1.tmp - Deleted
C:\WINDOWS\zip2.tmp - Deleted
C:\WINDOWS\zip3.tmp - Deleted
C:\WINDOWS\zipped.tmp - Deleted
C:\WINDOWS\a.bat - Deleted
C:\WINDOWS\base64.tmp - Deleted
C:\WINDOWS\bdn.com - Deleted
C:\WINDOWS\FVProtect.exe - Deleted
C:\WINDOWS\iTunesMusic.exe - Deleted
C:\WINDOWS\mssecu.exe - Deleted
C:\WINDOWS\system32\akttzn.exe - Deleted
C:\WINDOWS\system32\anticipator.dll - Deleted
C:\WINDOWS\system32\awtoolb.dll - Deleted
C:\WINDOWS\system32\bdn.com - Deleted
C:\WINDOWS\system32\brastk.exe - Deleted
C:\WINDOWS\system32\bsva-egihsg52.exe - Deleted
C:\WINDOWS\system32\dpcproxy.exe - Deleted
C:\WINDOWS\system32\drivers\svchost.exe - Deleted
C:\WINDOWS\system32\emesx.dll - Deleted
C:\WINDOWS\system32\h@tkeysh@@k.dll - Deleted
C:\WINDOWS\system32\hoproxy.dll - Deleted
C:\WINDOWS\system32\hxiwlgpm.dat - Deleted
C:\WINDOWS\system32\hxiwlgpm.exe - Deleted
C:\WINDOWS\system32\medup012.dll - Deleted
C:\WINDOWS\system32\medup020.dll - Deleted
C:\WINDOWS\system32\msgp.exe - Deleted
C:\WINDOWS\system32\msnbho.dll - Deleted
C:\WINDOWS\system32\mssecu.exe - Deleted
C:\WINDOWS\system32\msvchost.exe - Deleted
C:\WINDOWS\system32\mtr2.exe - Deleted
C:\WINDOWS\system32\mwin32.exe - Deleted
C:\WINDOWS\system32\netode.exe - Deleted
C:\WINDOWS\system32\newsd32.exe - Deleted
C:\WINDOWS\system32\ps1.exe - Deleted
C:\WINDOWS\system32\psof1.exe - Deleted
C:\WINDOWS\system32\psoft1.exe - Deleted
C:\WINDOWS\system32\regc64.dll - Deleted
C:\WINDOWS\system32\regm64.dll - Deleted
C:\WINDOWS\system32\Rundl1.exe - Deleted
C:\WINDOWS\system32\smp\msrc.exe - Deleted
C:\WINDOWS\system32\sncntr.exe - Deleted
C:\WINDOWS\system32\ssurf022.dll - Deleted
C:\WINDOWS\system32\ssvchost.com - Deleted
C:\WINDOWS\system32\ssvchost.exe - Deleted
C:\WINDOWS\system32\sysreq.exe - Deleted
C:\WINDOWS\system32\taack.dat - Deleted
C:\WINDOWS\system32\taack.exe - Deleted
C:\WINDOWS\system32\temp#01.exe - Deleted
C:\WINDOWS\system32\thun.dll - Deleted
C:\WINDOWS\system32\thun32.dll - Deleted
C:\WINDOWS\system32\VBIEWER.OCX - Deleted
C:\WINDOWS\system32\vbsys2.dll - Deleted
C:\WINDOWS\system32\vcatchpi.dll - Deleted
C:\WINDOWS\system32\winlogonpc.exe - Deleted
C:\WINDOWS\system32\winsystem.exe - Deleted
C:\WINDOWS\system32\WINWGPX.EXE - Deleted
C:\WINDOWS\userconfig9x.dll - Deleted
C:\WINDOWS\winsystem.exe - Deleted



Folder C:\Program Files\akl - Removed
Folder C:\Program Files\Inet Delivery - Removed
Folder C:\Program Files\XP_Antispyware - Removed
Folder C:\WINDOWS\mslagent - Removed
Folder C:\WINDOWS\system32\smp - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-16 16:31:42
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\DOCUME~1\ANTOIN~1\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 10 Mar 2008 5,903,928 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Mon 2 Apr 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 28 Feb 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Mon 13 Oct 2008 299,008 ...H. --- "C:\Documents and Settings\Antoine Larkin\Mes documents\ESSEC\ThŠse pro\~WRL2139.tmp"
Sun 14 May 2006 23,552 A..H. --- "C:\Documents and Settings\Antoine Larkin\Mes documents\HEI\cours H4\chantier de merde!\~WRL1849.tmp"
Sat 11 Jun 2005 117,248 A..H. --- "C:\Documents and Settings\Antoine Larkin\Mes documents\HEI\cours H4\fuck la charpente!\charpente\~WRL1411.tmp"
Fri 3 Jun 2005 616,960 A..H. --- "C:\Documents and Settings\Antoine Larkin\Mes documents\HEI\cours H4\fuck la charpente!\charpente\~WRL1563.tmp"
Sat 11 Jun 2005 538,624 A..H. --- "C:\Documents and Settings\Antoine Larkin\Mes documents\HEI\cours H4\fuck la charpente!\charpente\~WRL3320.tmp"
Mon 14 Jun 2004 666,112 A..H. --- "C:\Documents and Settings\Antoine Larkin\Mes documents\HEI\cours H4\fuck la charpente!\charpente\rapport charpente 2004 lyon\~WRL3839.tmp"
Sun 14 May 2006 23,552 A..H. --- "C:\Documents and Settings\Antoine Larkin\Local Settings\Application Data\Microsoft\Messenger\antoine_larkin@hotmail.fr\Sharing Folders\largo_nico@hotmail.com\chantier de merde!\~WRL1849.tmp"
Sat 11 Jun 2005 117,248 A..H. --- "C:\Documents and Settings\Antoine Larkin\Local Settings\Application Data\Microsoft\Messenger\antoine_larkin@hotmail.fr\Sharing Folders\largo_nico@hotmail.com\fuck la charpente!\charpente\~WRL1411.tmp"
Fri 3 Jun 2005 616,960 A..H. --- "C:\Documents and Settings\Antoine Larkin\Local Settings\Application Data\Microsoft\Messenger\antoine_larkin@hotmail.fr\Sharing Folders\largo_nico@hotmail.com\fuck la charpente!\charpente\~WRL1563.tmp"
Sat 11 Jun 2005 538,624 A..H. --- "C:\Documents and Settings\Antoine Larkin\Local Settings\Application Data\Microsoft\Messenger\antoine_larkin@hotmail.fr\Sharing Folders\largo_nico@hotmail.com\fuck la charpente!\charpente\~WRL3320.tmp"
Mon 14 Jun 2004 666,112 A..H. --- "C:\Documents and Settings\Antoine Larkin\Local Settings\Application Data\Microsoft\Messenger\antoine_larkin@hotmail.fr\Sharing Folders\largo_nico@hotmail.com\fuck la charpente!\charpente\rapport charpente 2004 lyon\~WRL3839.tmp"

Finished!

bien une tres grosse partie de supprimer

télécharge MalwareByte's Anti-Malware et installe le.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
- Assure toi qu'il se soit bien mis à jour avant de passer à la suite.

- Redémarre en mode sans échec :

o Redémarre ton ordinateur
o Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
o A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
o Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
o Choisis ton compte.



* Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.

* Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera.


puis

* Double-clic sur RSIT.exe pour l'exécuter.
* Clique sur le bouton "Continue" sur la fenêtre d'avertissement.
* Une fois le scan terminé, tu auras deux rapports qui seront ouverts : log.txt et info.txt (c:\rsit)
* Poste les dans ta prochaine réponse


Note : un rapport hijackthis est contenu dans le rapport log.txt

Si tes rapports sont trop long utilise ce site : http://www.miraclesalad.com/webtools/clip.php
Copie/coller ton rapport et clique sur le bouton Paste to new clipboard
Donne le lien dans ta prochaine réponse.
Il est de type : http://www.miraclesalad.com/webtools/clip.php?clip=XXXX ou xxxx est un numéro.

ca y est j'ai fait le scan complet

voila le rapport
http://www.miraclesalad.com/webtools/clip.php?clip=243e

et voici le rapport de RSIT.exe:

http://www.miraclesalad.com/webtools/clip.php?clip=243f

je dois faire quoi maintenant?

- Assure toi qu'Antivir est bien à jour, vérifie la date d'update.

-- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier.

- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l'onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.

Redémarre en mode normal.

Poste le rapport ici.

je crois bien que j'en ai encore!!!

voila le rapport antivir:



Avira AntiVir Personal
Report file date: jeudi 16 octobre 2008 23:51

Scanning for 1688451 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: TOINOU

Version information:
BUILD.DAT : 8.1.0.331 16934 Bytes 12/08/2008 11:46:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 22/07/2008 13:38:27
AVSCAN.DLL : 8.1.4.0 40705 Bytes 22/07/2008 13:38:27
LUKE.DLL : 8.1.4.5 164097 Bytes 22/07/2008 13:38:30
LUKERES.DLL : 8.1.4.0 12033 Bytes 22/07/2008 13:38:30
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 22:11:07
ANTIVIR2.VDF : 7.0.7.12 4066816 Bytes 08/10/2008 08:35:33
ANTIVIR3.VDF : 7.0.7.51 266752 Bytes 16/10/2008 18:33:12
Engineversion : 8.2.0.5
AEVDF.DLL : 8.1.0.6 102772 Bytes 15/10/2008 19:24:45
AEscript.DLL : 8.1.1.9 319867 Bytes 16/10/2008 18:33:14
AESCN.DLL : 8.1.1.3 123252 Bytes 15/10/2008 19:24:42
AERDL.DLL : 8.1.1.2 438644 Bytes 18/09/2008 14:15:42
AEPACK.DLL : 8.1.2.4 369014 Bytes 15/10/2008 19:24:42
AEOFFICE.DLL : 8.1.0.28 196987 Bytes 15/10/2008 19:24:40
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18/09/2008 14:15:39
AEHELP.DLL : 8.1.1.2 115062 Bytes 15/10/2008 19:24:39
AEGEN.DLL : 8.1.0.41 319861 Bytes 15/10/2008 19:24:38
AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 19:24:37
AECORE.DLL : 8.1.2.6 172406 Bytes 15/10/2008 19:24:35
AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 19:24:34
AVWINLL.DLL : 1.0.0.12 15105 Bytes 22/07/2008 13:38:27
AVPREF.DLL : 8.0.2.0 38657 Bytes 22/07/2008 13:38:27
AVREP.DLL : 8.0.0.2 98344 Bytes 03/08/2008 20:47:31
AVREG.DLL : 8.0.0.1 33537 Bytes 22/07/2008 13:38:27
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 22/07/2008 13:38:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 22/07/2008 13:38:31
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 22/07/2008 13:38:22
RCTEXT.DLL : 8.0.52.0 86273 Bytes 22/07/2008 13:38:22

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: medium
Deviating risk categories........: +GAME,+JOKE,+PCK,+SPR,

Start of the scan: jeudi 16 octobre 2008 23:51

Starting search for hidden objects.
'70097' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'vsserv.exe' - '1' Module(s) have been scanned
Scan process 'bdss.exe' - '1' Module(s) have been scanned
Scan process 'WINWORD.EXE' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'unsecapp.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'mcrdsvc.exe' - '1' Module(s) have been scanned
Scan process 'livesrv.exe' - '1' Module(s) have been scanned
Scan process 'xcommsvr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'YzShadow.exe' - '1' Module(s) have been scanned
Scan process 'UberIcon Manager.exe' - '1' Module(s) have been scanned
Scan process 'RocketDock.exe' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'bdagent.exe' - '1' Module(s) have been scanned
Scan process 'ipoint.exe' - '1' Module(s) have been scanned
Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned
Scan process 'sm56hlpr.exe' - '1' Module(s) have been scanned
Scan process 'RTHDCPL.EXE' - '1' Module(s) have been scanned
Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'symlcsvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'MsMpEng.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
49 processes with 49 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '65' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\Antoine Larkin\Bureau\SDFix\backups\backups.zip
[0] Archive type: ZIP
--> backups/AVEngn.dll
[DETECTION] Is the TR/Fakealert.QF Trojan
--> backups/brastk.exe
[DETECTION] Is the TR/Spy.Wsnpoem.KD.13 Trojan
--> backups/uninstall.exe
[DETECTION] Is the TR/Fakealert.QE Trojan
--> backups/wini104552663.exe
[DETECTION] Is the TR/Fakealert.QE Trojan
[NOTE] The file was moved to '495ab8b8.qua'!
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcrst.dll
[WARNING] The file could not be opened!
C:\System Volume Information\_restore{A79A63B2-12C5-45E2-947D-4B99E5669977}\RP233\A0077605.exe
[DETECTION] Is the TR/Fakealert.QE Trojan
[NOTE] The file was moved to '4927c00a.qua'!
C:\System Volume Information\_restore{A79A63B2-12C5-45E2-947D-4B99E5669977}\RP233\A0077625.dll
[DETECTION] Is the TR/Fakealert.QF Trojan
[NOTE] The file was moved to '4927c00e.qua'!
C:\System Volume Information\_restore{A79A63B2-12C5-45E2-947D-4B99E5669977}\RP233\A0077627.exe
[DETECTION] Is the TR/Fakealert.QE Trojan
[NOTE] The file was moved to '4927c012.qua'!
C:\System Volume Information\_restore{A79A63B2-12C5-45E2-947D-4B99E5669977}\RP233\A0077635.exe
[DETECTION] Is the TR/Fakealert.QE Trojan
[NOTE] The file was moved to '4927c015.qua'!
C:\System Volume Information\_restore{A79A63B2-12C5-45E2-947D-4B99E5669977}\RP233\A0077644.exe
[DETECTION] Is the TR/Spy.Wsnpoem.KD.13 Trojan
[NOTE] The file was moved to '4927c01a.qua'!
C:\System Volume Information\_restore{A79A63B2-12C5-45E2-947D-4B99E5669977}\RP233\A0077698.dll
[DETECTION] Is the TR/Fakealert.QF Trojan
[NOTE] The file was moved to '4927c020.qua'!
C:\System Volume Information\_restore{A79A63B2-12C5-45E2-947D-4B99E5669977}\RP233\A0077701.exe
[DETECTION] Is the TR/Spy.Wsnpoem.KD.13 Trojan
[NOTE] The file was moved to '4927c026.qua'!
C:\System Volume Information\_restore{A79A63B2-12C5-45E2-947D-4B99E5669977}\RP233\A0077748.exe
[DETECTION] Is the TR/Fakealert.QE Trojan
[NOTE] The file was moved to '4927c029.qua'!
C:\System Volume Information\_restore{A79A63B2-12C5-45E2-947D-4B99E5669977}\RP233\A0077755.exe
[DETECTION] Is the TR/Fakealert.QE Trojan
[NOTE] The file was moved to '4927c02c.qua'!


End of the scan: vendredi 17 octobre 2008 00:44
Used time: 52:27 Minute(s)

The scan has been done completely.

9517 Scanning directories
324860 Files were scanned
13 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
10 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
324844 Files not concerned
14343 Archives were scanned
3 Warnings
10 Notes
70097 Objects were scanned with rootkit scan
0 Hidden objects were found



faut-il que je recommence?

L'antivirus signale juste des points de restauration infectés ce qui est normal nous les purgerons en dernier, Antivir risque de te signaler ses points par un message d'alerte de type
C:\System Volume Information\_restore{A79A63B2-12C5-45E2-947D-4B99E5669977}\RP233\A0077755.exe
si tu en as supprimes-les.


tu as une infection par support amovible qui provient de ta clé usb ou autre support amovible :
tu dois les controles ou les brancher pendant ce processus qui va suivre, sinon l'infection se réinstallera.


Désinfection supports amovibles :
Branche tous tes disques amovibles ( clés usb, disque dur externe etc. ) !

Télécharge FlashDisinfector sur ton bureau.

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

-Laisse connecté ton disque

-Exécute le FlashDisinfector.exe qui se trouve sur ton bureau

Note : Flash_Disinfector va créer un fichier caché nommé "autorun.inf" sur chacun des disques amovibles branchés sur votre ordinateur au moment du scan. Ne détruisez pas ces fichiers... car ces derniers vous protègeront d'une éventuelle future infection par disques amovibles.

- PUIS

SURTOUT ne pas double-cliquer sur le disque dans le poste de travail

-Ouvre le poste de travail
-Clic sur le menu outils en haut à droite puis options des dossiers
-Dans la nouvelle fenêtre, clique sur l'onglet Affichage en haut
-Coche dans la liste "Afficher les fichiers cachés"
-Décoche "masquer les fichier protégés du système d’exploitation (recommandée)"
-Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
-Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur – surtout ne double-clique pas dessus!!!
-Choisis ouvrir dans le menu déroulant.
-Cherche un fichier autorun.inf (si tu vois créer par flash-disinfector c'est normal) et des fichiers :

RavMonE.exe ou MS32DLL.DLL.VBS ou autorun.vbs
deskinf.pif
AdobeR.exe


-[b]Si présents, supprime-le en faisant un clic droit puis supprimer.[/b]
-Répète l'opération sur tous les disques ou clés usb se trouvant dans le poste de travail.


Sauvegarde base de registre :

Sauvegarde ta base de registre avec Erunt
Aide : http://www.zebulon.fr/dossiers/57-6-sauvegarder-base-de-registre.html


Création d'un fichier *.reg :

Crée un fichier Bloc Notes avec le texte qui se trouve dans l'encadré ci-dessous (copie/colle):
Démarrer/exécuter tape notepad

Citation:

REGEDIT4 [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3b14c895-a2c3-11dc-837a-9afccfca62e3}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3b3d13f6-ee88-11dc-83a0-00030d504578}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{564c1102-d22c-11db-82ba-00030d504578}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6a595377-ae52-11dc-8384-00030d504578}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dbb41333-aa5a-11dc-837f-00030d504578}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe883763-e595-11dc-8397-00030d504578}]

• Enregistre ce fichier dans : Bureau
  
• Nom du fichier : fix.reg
  
• Type : tous les fichiers !!
  
• Clique sur Enregistrer
  
• Quitte le Bloc Note

Utilisation du fichier: fix.reg :
Double clique sur le fichier (Bureau) / Accepte l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valide le message disant que la fusion est terminée.

Redemarre ton PC

puis


Analyse avec Virus TOTAL :


Rends toi sur ce lien : Virus Total
Aide : virus total
# Clique sur Parcourir
# Rends toi jusque sur ce fichier si tu le trouves :
C:\WINDOWS\ypyqiv.bat
# Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
# Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
# Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
# Une nouvelle fenêtre de ton navigateur va apparaître puis post le resultat.


Recommence la même opération avec les fichiers :
C:\Program Files\Fichiers communs\bepom.bat
C:\Documents and Settings\Antoine Larkin\Application Data\ojyvipa.com
C:\Documents and Settings\All Users\Application Data\janazena.bat


Hijackthis

Ouvre hijakcthis

Clique sur le bouton "Open the miscs tools section"
Dans la fenêtre qui vient de s'ouvrir clique sur le bouton "Open Uninstall manager"
Dans cette fenêtre sur ta droite, clique sur le bouton "Save List" , un rapport sera crée et appelé "uninstall_list.txt" , sauvegarde le sur ton bureau.
Ouvre le et poste moi le contenu du rapport dans ta prochaine réponse.

bonjour,

Désolé pour ce long silence.

je viens de tenter de supprimer le ficher autorun.inf que j'ai bien trouvé dans mes disques durs mais j'ai alors un message d'erreur me disant que le ficher spécifié est introuvable.


est ce que je n'aurais pas tout intéret de formater mon disque dur EXTERNE? je n'ai rien dessus de bien important.

si ton disque dur externe était branché au moment ou flash desinfector a été executé
le fichier autorun détecté doit être surement celui de cet outil.