infection avec antivir qui débloque ..

[invite970731af]

Bonjour a tous,
Je pense avoir ete infecte recement car depuis hier je ne peux plus me connecter a internet et quand je veux scanner mon disk avec antivir, l'ordi s'eteint tout seul au bout de quelques min.
ad aware n'y a rien changé ...
merci de votre aide

Voici mon rapport HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 15:28:19, on 06/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\Explorer.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Grabuge\LOCALS~1\T emp\Rar$EX00.948\HijackThis.ex e

R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelpe r.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jus ched.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIV ERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck. exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor _X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_ X84-X85.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDT ray.exe" /s
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\ EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv .dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\ REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1113162866242
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.d ll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.e xe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\v smon.exe
-----

[JPL]

Si tu avais lu attentivement la procédure proposée : http://forums.futura-sciences.com/thread69698.html tu aurais vu que les logs doivent être postés en pièce jointe. Penses-y pour la suite.

[Cyrrus]

Bonsoir triplebuse, JPL,

Ton log hijackthis est propre. Nous allons toutefois vérifier que tu n'as pas d'infection plus camouflé :

- Télécharge rootkit revealer :
http://www.sysinternals.com/Files/RootkitRevealer.zip
- Lance le et clique sur Scan
- A la fin du scan clique sur File>Save et choisis un endroit ou l'enregistrer.
- Poste le contenu du fichier dans ton prochain message en pièces jointes.

Bonne soirée
Cyrrus

[invite970731af]

Merci pour vos reponses,
désolé pour le "log", la prochaine fois je ferais attention .
je scan le pc le temps de charger sur un autre ordi le logiciel et je vous tiens au courant.

[A voir en vidéo sur Futura]

[invite970731af]

Bonsoir,
voila j'ai fait le scan j'envoie le resultat en piece jointe
Merci a+

[invite970731af]

rebonsoir,
j'ai egalement fait un scan avec ewido ( squarred plante l'ordi...)
voici le rapport en piece jointe

[igor51]

Bonjour triplebuse,

oula on t'a oublié !!

je m'occuperai de toi dans l'aprem, à part si quelqu'un d'autre passe par la avant.

Bonne journée,

Igor

[igor51]

Rebonjour,

voici la procédure a faire en entier :

Télécharge ATF Cleaner par Atribune.

-Télécharger jv16:
http://telechargement.zebulon.fr/201...owertools.html

-pour plus de détails=>son tutorial:
http://www.zebulon.fr/articles/base-de-registre-3.php

1/ Rédémarre en mode sans échec :

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

2/ Affichage de tous les dossiers/fichiers :

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
2. Cocher la case : Afficher les fichiers et dossiers cachés
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
5. Cliquer Appliquer puis OK

3/ Suppression des programmes :

Via "ajout/suppression des programmes", dans le panneau de configuration, désinstalle si présent les programmes suivants :

Starware

4/Suppression manuelle des dossiers/fichiers :

Supprime manuellement les fichiers/dossiers en gras suivants si pésent :

C:\Documents and Settings\Grabuge\Application Data\Starware

5/ Utilisation d'ATF-Cleaner :

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

6/ Passage d'Ewido :

• Du mode Sans Échec, lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
  
• Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  

7/ Utilisation JV16 :

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"
puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

8/ Redémarre en mode normal

9/ Scanne en ligne :

Fais un scan en ligne avec Kaspersky WebScanner
Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
Le scan va commencer.

10/ Prochaine réponse :

Tu posteras les rapports suivant :

-le log d'ewido
-le rapport du scan en ligne
-un nouveau log hijackthis fait en mode normal

Les rapports sont à poster en pièce jointe

Bonne journée,

Igor

Edit: Déplace Hijackthis dans un dossier tel que C:\Program Files\hijackthis