[Ulgrim35]

Bonjours ,

Depuis cette après midi, tout les 2 min, Antivirgard m'envois une 20aine de fenetre avec le fichier "c:\windows\sol550.txt". un BDS semble t'il...

j'ai beau le supprimer/mettre en quarantaine, virer la ligne avec HijackThis, lancer ad-Aware, Anti-Vir, etc... rien n'y fait, le virus (si c'en est un) ne veu pas partir

c'est dernier jour, c'était AntivirGard le firewall me bloquais 2 programme qui se lancais lorsque je me connectais à internet:
un TR: "c:\windows\system35\ksacre.exe"
et un autre TR: "C:\WINDOWS\devadwp.exe"
mais depuis que j'ai le pb avec sol550.txt, les 2 autres ne se manifeste plus...

help

-----------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:31, on 21/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\PDFCreatorMessages.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\JawsSystems\Jaws PDF Creator\PDFClient.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\devldr32.exe
C:\PROGRA~1\WANADOO\GestionnaireInternet.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Toaster.exe
C:\PROGRA~1\WANADOO\Inactivity.exe
C:\PROGRA~1\WANADOO\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\WANADOO\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\mik\soft\protection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [PDFCreatorClient] C:\Program Files\JawsSystems\Jaws PDF Creator\PDFClient.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {FD163A9A-A3D8-4F7D-8224-32F81AC29EDA} (VPlayer Control) - http://video.vividas.com/CDN1/5029_paramount/en/web/player/vivid_ocx.jpeg
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\sol550.txt
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - C:\WINDOWS\system32\PDFCreatorMessages.exe

--
End of file - 5872 bytes
_________________
Mik

[VertigO]

Salut,

C'est un fichier txt.. donc un fichier texte. Bizarre.

Ce qui est bizarre aussi est ceci:

[Ulgrim35]

tout est à jours

je l'ai déja fait ca ... mais vais le refaire (sans grande conviction) et poster le rapport.
_________________
Mik

[VertigO]

Oui...

Mais ce qui m'intéresse est le rapport de scan en mode sans échec !
_________________

[Ulgrim35]

ok

après le passe de l'anti virus en mode sans echec, le pb reste inchangé

sinon, j'ai remarqué que les fenetre intempestive se déclanche à chaque fois qu'un programme s'execute (systeme ou par moi même)

------------------Rapport Anti vir - mode sans echec ---------------------

AntiVir PersonalEdition Classic
Report file date: jeudi 22 novembre 2007 07:08

Scanning for 939156 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Administrateur
Computer name: FIX

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 06/09/2007 06:56:32
AVSCAN.DLL : 7.0.6.0 49192 Bytes 06/09/2007 06:56:32
LUKE.DLL : 7.0.5.3 147496 Bytes 06/09/2007 06:56:34
LUKERES.DLL : 7.0.6.1 10280 Bytes 06/09/2007 06:56:34
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 06:00:44
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 06:04:10
ANTIVIR2.VDF : 7.0.0.198 1206272 Bytes 11/11/2007 06:52:58
ANTIVIR3.VDF : 7.0.0.243 190464 Bytes 21/11/2007 15:14:48
AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 06/11/2007 23:22:24
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:28
AVPREF.DLL : 7.0.2.2 25640 Bytes 06/09/2007 06:56:32
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 09/08/2007 08:45:14
AVREG.DLL : 7.0.1.6 30760 Bytes 06/09/2007 06:56:32
AVARKT.DLL : 1.0.0.20 278568 Bytes 06/09/2007 06:56:32
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 06/09/2007 06:56:32
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:44
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 06/09/2007 06:48:46
RCTEXT.DLL : 7.0.62.0 86056 Bytes 06/09/2007 06:48:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 06/09/2007 06:56:34

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: quarantine
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: jeudi 22 novembre 2007 07:08

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'Explorer.EXE' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
Master boot sector HD1
[NOTE] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!

Starting to scan the registry.
C:\WINDOWS\devadwp.exe
[DETECTION] Is the Trojan horse TR/Agent.16384.23
[INFO] The file was moved to '47bb1d2b.qua'!
C:\WINDOWS\devadwp.exe
[DETECTION] Is the Trojan horse TR/Agent.16384.23

The registry was scanned ( '28' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\sol550.txt
[DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.YZB Backdoor server programs
[INFO] The file was moved to '47b11d9d.qua'!
C:\System Volume Information\_restore{E0A512A6-114E-4BB1-BBE4-66E2184502C1}\RP317\A0062726.exe
[DETECTION] Is the Trojan horse TR/Agent.16384.23
[INFO] The file was moved to '47752485.qua'!
Begin scan in 'D:\' <Donnee>


End of the scan: jeudi 22 novembre 2007 08:20
Used time: 1:13:00 min

The scan has been done completely.

6232 Scanning directories
192086 Files were scanned
3 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
3 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
192083 Files not concerned
4764 Archives were scanned
1 Warnings
1 Notes
_________________
Mik

[Ulgrim35]

[VertigO]

Salut,

C'est ok, voila ce qu'on va faire:


/!\ N'exécute un programme que lorsque demandé /!\

1. Clean.zip
- Télécharge clean.zip http://www.malekal.com/download/clean.zip sur ton bureau.
- Fais Clic droit, extraire tout.

2. SmitFraudFix
- Télécharge SmitFraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.zip sur ton bureau.
- Fais Clic droit, extraire tout.

3. AVG AntiSpyware
- Télécharge et installe AVG AntiSpyware http://www.malekal.com/tutorial_AVG_AntiSpyware.php

4. Désinfection
- ATTENTION, Enregistre tout ce qui va suivre dans un fichier texte sur ton bureau car tu n'auras plus accès à internet en mode sans échec.

- Redémarre en mode sans échec. Pour cela, après le bip d'allumage de ton PC, tapotes sur F8. Un menu va s'ouvrir, sélectionne "Mode sans échec".Quand tu y seras, regardes les instructions que tu as enregistré pour connaitre la suite.

- Ouvre le dossier Clean sur ton bureau et double cliques sur clean.cmd
- Dans la fenêtre qui apparait, choisis l'option 2 et laisse le nettoyage commencer.
- Exécute SmitfraudFix en lançant le fichier SmitfraudFix.cmd
- Choisis l'option 2.
- Si deux questions te sont posées, réponds oui.
- A la fin, fais un scan avec AVG antispyware que tu as téléchargé et installé.

Conserver les rapports, et poste les moi (3 au total) dans un prochain message, ainsi qu'un nouveau log HiJackThis.
_________________

[Ulgrim35]

visiblement, ca n'a rien changer...

a noté qu'il m'est impossible de lancer AVGas pour faire une mise a jour (donc, effectuer sans mise à jour d'AVG....)

=================================
------------------ Rapport Clean ------------------------
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 22/11/2007 a 16:30:03,05

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\bdod.bin

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

=======================================
----------- rapport SmitFraudFix v2.253 --------------------------
Rapport fait à 16:32:45,73, 22/11/2007
Executé à partir de D:\mik\soft\protection\aujourd'hui\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS1\Services\Tcpip\..\{56F78B8F-7FAE-4FF6-91C4-4B4601F4DD10}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{56F78B8F-7FAE-4FF6-91C4-4B4601F4DD10}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

=============================
---------------- rapport AVGAS -----------------
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 17:58:40 22/11/2007

+ Résultat de l'analyse:



D:\mule\nero prenium 7 fr + keygen.rar/nero prenium 7 fr + keygen\Nero v7.0 (KeyGen).exe -> Backdoor.Hupigon : Aucune action entreprise.
D:\mule\nero prenium 7 fr + keygen\nero prenium 7 fr + keygen\Nero v7.0 (KeyGen).exe -> Backdoor.Hupigon : Aucune action entreprise.
C:\Program Files\Pinnacle\Hollywood FX 5.1\FX 5.1\keygen.exe -> Downloader.Zlob.bnv : Aucune action entreprise.
D:\mule\Pinnacle Hollywood FX 5.1 Plus Extras Packs for Studio9.zip/Hollywood FX 5.1/FX 5.1/keygen.exe -> Downloader.Zlob.bnv : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@3.adbrite[1].txt -> TrackingCookie.Adbrite : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@www.belstat[1].txt -> TrackingCookie.Belstat : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@cz3.clickzs[2].txt -> TrackingCookie.Clickzs : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@cz3.clickzs[3].txt -> TrackingCookie.Clickzs : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@cz4.clickzs[2].txt -> TrackingCookie.Clickzs : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@cz5.clickzs[1].txt -> TrackingCookie.Clickzs : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@cz6.clickzs[2].txt -> TrackingCookie.Clickzs : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@www.paypal[2].txt -> TrackingCookie.Paypal : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@ads.planetactive[2].txt -> TrackingCookie.Planetactive : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@ads.planetactive[3].txt -> TrackingCookie.Planetactive : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@ads.planetactive[4].txt -> TrackingCookie.Planetactive : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@counter14.sextracker[1].txt -> TrackingCookie.Sextracker : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@sextracker[1].txt -> TrackingCookie.Sextracker : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@news.skype[1].txt -> TrackingCookie.Skype : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@secure.skype[1].txt -> TrackingCookie.Skype : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@site.skype[2].txt -> TrackingCookie.Skype : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@skype[1].txt -> TrackingCookie.Skype : Aucune action entreprise.
C:\Documents and Settings\Sandrine\Cookies\sandrine@site.skype[1].txt -> TrackingCookie.Skype : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@toplist[1].txt -> TrackingCookie.Toplist : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@login.tracking101[1].txt -> TrackingCookie.Tracking101 : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@m.webtrends[1].txt -> TrackingCookie.Webtrends : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@m.webtrends[2].txt -> TrackingCookie.Webtrends : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@m.webtrends[3].txt -> TrackingCookie.Webtrends : Aucune action entreprise.
C:\Documents and Settings\Mik\Cookies\mik@yadro[1].txt -> TrackingCookie.Yadro : Aucune action entreprise.
C:\Documents and Settings\Mik\Local Settings\Temp\Cookies\mik@yadro[2].txt -> TrackingCookie.Yadro : Aucune action entreprise.


Fin du rapport

=====================================
-------------------- rapport HijackThis -------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:53, on 22/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\JawsSystems\Jaws PDF Creator\PDFClient.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\PDFCreatorMessages.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\mik\soft\protection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [PDFCreatorClient] C:\Program Files\JawsSystems\Jaws PDF Creator\PDFClient.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {FD163A9A-A3D8-4F7D-8224-32F81AC29EDA} (VPlayer Control) - http://video.vividas.com/CDN1/5029_paramount/en/web/player/vivid_ocx.jpeg
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\sol550.txt
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - C:\WINDOWS\system32\PDFCreatorMessages.exe

--
End of file - 5795 bytes
_________________
Mik

[VertigO]

Salut,

Voila la source du problème:

[Ulgrim35]

[Ulgrim35]

j'ai réussi à rusé et à faire une MAJ d'AVG AS

donc j'ai refait un scann en mode sans echec et traité (je pensais que c'était automatique) les fichiers infectieux:

voici le rapport:

--------- rapport AVG AS -----------------------
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 06:36:40 23/11/2007

+ Résultat de l'analyse:



D:\System Volume Information\_restore{E0A512A6-114E-4BB1-BBE4-66E2184502C1}\RP317\A0062829.exe -> Backdoor.Hupigon : Nettoyé et sauvegardé (mise en quarantaine).
D:\mule\nero prenium 7 fr + keygen.rar/nero prenium 7 fr + keygen\Nero v7.0 (KeyGen).exe -> Backdoor.Hupigon : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\devadwp.exe -> Downloader.Wixud.j : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Pinnacle\Hollywood FX 5.1\FX 5.1\keygen.exe -> Downloader.Zlob.bnv : Nettoyé et sauvegardé (mise en quarantaine).
D:\mule\Pinnacle Hollywood FX 5.1 Plus Extras Packs for Studio9.zip/Hollywood FX 5.1/FX 5.1/keygen.exe -> Downloader.Zlob.bnv : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Mik\Cookies\mik@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@3.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@adtech[1].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@www.belstat[1].txt -> TrackingCookie.Belstat : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@cz3.clickzs[2].txt -> TrackingCookie.Clickzs : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@cz3.clickzs[3].txt -> TrackingCookie.Clickzs : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@cz4.clickzs[2].txt -> TrackingCookie.Clickzs : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@cz5.clickzs[1].txt -> TrackingCookie.Clickzs : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@cz6.clickzs[2].txt -> TrackingCookie.Clickzs : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@ads.planetactive[2].txt -> TrackingCookie.Planetactive : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@ads.planetactive[3].txt -> TrackingCookie.Planetactive : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@ads.planetactive[4].txt -> TrackingCookie.Planetactive : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@counter14.sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@news.skype[1].txt -> TrackingCookie.Skype : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@secure.skype[1].txt -> TrackingCookie.Skype : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@site.skype[2].txt -> TrackingCookie.Skype : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@skype[1].txt -> TrackingCookie.Skype : Nettoyé.
C:\Documents and Settings\Sandrine\Cookies\sandrine@site.skype[1].txt -> TrackingCookie.Skype : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@login.tracking101[1].txt -> TrackingCookie.Tracking101 : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@m.webtrends[1].txt -> TrackingCookie.Webtrends : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@m.webtrends[3].txt -> TrackingCookie.Webtrends : Nettoyé.
C:\Documents and Settings\Mik\Cookies\mik@yadro[1].txt -> TrackingCookie.Yadro : Nettoyé.
C:\Documents and Settings\Mik\Local Settings\Temp\Cookies\mik@yadro[2].txt -> TrackingCookie.Yadro : Nettoyé.


Fin du rapport

-------------------------------------------

sinon, je n'arrive toujours pas à télécharger F-secur Blacklignt...
_________________
Mik

[VertigO]

Good !

Désolé pour le lien, quand j'ai écrit l'instruction, il fonctionnait...

Voici le lien du site ou tu peux télécharger Blacklight: http://www.f-secure.com/blacklight/try_blacklight.html
_________________

[Ulgrim35]

fonctionne toujours pas

il semblerai que F-Secur soit commercialisé maintenant et qu'il faut télécharger la version complet de F-Secur2008... (81Mo)

je viens de voir qu'il y avait une annalise en ligne... je vais essayer pour voir et vous tiens au courant
_________________
Mik

[VertigO]

Ah bon ? Faudrait que je me mette à la page

Vas sur le site http://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : C:\WINDOWS\system32\sol550.txt
- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici - ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens!
Aide : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId662799

Ne passe pas ton temps à faire le scan en ligne, sauf si c'est avec F-Secure Blacklight Anti-Rootkit..
_________________

[Ulgrim35]

-------------------- resultat du scan ---------------------
A-Squared - Found nothing
AntiVir - Found BDS/Agent.YZB
ArcaVir - Found nothing
Avast - Found nothing
AVG Antivirus - Found nothing
BitDefender - Found Backdoor.Agent.YZB
ClamAV - Found nothing
CPsecure - Found nothing
Dr.Web - Found Trojan.Proxy.1739
F-Prot Antivirus - Found nothing
F-Secure - Anti-Virus Found nothing
Fortinet - Found nothing
Ikarus - Found Backdoor.Agent.YZB
Kaspersky Anti-Virus - Found Trojan.Win32.Qhost.zs
NOD32 - Found nothing
Norman Virus Control - Found nothing
Panda Antivirus - Found nothing
Rising Antivirus - Found nothing
Sophos Antivirus - Found Mal/Generic-A
VirusBuster -Found nothing
VBA32 - Found nothing
_________________
Mik