Virus Win32:Agent-RS[Trj] impossible d'enlever

Bonjour,

Cela fait une semaine que j'ai ce virus (Win32:Agent-RS[Trj]) et je n'arrive pas à l'enlever. J'ai trouvé le logiciel HijackThis grace au fil déjà en ligne mais le virus est toujours la. Je pense que je dois faire quelque chose de travers ...

Voici mon log :

Logfile of HijackThis v1.99.1
Scan saved at 10:23:25, on 11/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\PROGRA~1\Keyboard\Ikeymain.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\windows\system32\heipsrcoqn.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AOL 9.0b\aoltray.exe
C:\Crystal XP\YzToolbar\YzToolbar.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\RESID'LAND.RESID-N70UOWELH\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = C:\Program Files\AOL Toolbar\welcome.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UIUCU] C:\DOCUME~1\RESID'~1.RES\LOCALS~1\Temp\UIUCU.EXE -CLEAN_UP -S
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [heipsrcoqn] c:\windows\system32\heipsrcoqn.exe -start
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - Startup: Y'z Toolbar.lnk = ?
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0b\aoltray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Program Files\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci d'avance si vous pouvez m'aider.

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

ton ordi n'est pas à jour
ça fait un moment que le SP2 est sorti

à part ça , il n'y a plus vraiment de problème
sauf :
C:\windows\system32\heipsrcoqn.exe
O4 - HKLM\..\Run: [heipsrcoqn] c:\windows\system32\heipsrcoqn.exe -start

de cette manière :
# Pour supprimer les lignes, vous refaites tout depuis le début, mais au lieu de séléctionner le log, vous le fermez, et interessez-vous à la fenêtre de scan.

# Cochez alors les lignes que l'utilisateur vous aura dit de supprimer, puis cliquez sur le bouton "Fix Checked", une alerte s'affiche alors à l'écran, cliquez sur "Oui"
ces deux lignes que tu peux supprimer en mode sans échec avec Hijackthis

salut


[ Ce message a ete modifié par : : GrosSabots le 11-05-2006 16:39 ]

Merci je vais supprimer ces 2 lignes et je te dirais.

Par contre pour la mise à jour de mon ordi, j'ai arrêté de les faire car un jour elles mon planté l'ordi et j'ai du faire une restauration du système et depuis je n'ai plus refais de mise à jour. on est obligé de les faire ?? si oui y a t il un risque que mon ordi replante ?

Salut

Bonjour sangor,aprés avoir suprimer ces deux ligne tu nous dira si tu as encore des problemes.
Tiens nous au courant.
Bonne aprés midi.

Bonjour Gladiateur,

Oui j'ai encore le virus mais j'ai l'impression qui ces déplacé, avant je l'avais dans c:\windows\system32\msclock32.dll\[UPX] et maintenant avast me le trouve dans c:\documentsandsettings\residland.RESIDN70UOWELH\localsettings\Temp\_avast4_\unp105625590.tmp\[UPX]

que dois je faire ?

salut

Une fois ceci fait, relance HijackThis, et supprime cette ligne (coche la case correspondante et clique sur "Fix Checked"):

O4 - HKLM\..\Run: [UIUCU] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\UIUCU.EXE -CLEAN_UP -S

Ensuite rends-toi dans "C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp" (le chemin doit normalement être "C:\Documents and Settings\Propriétaire\Local Settings\Temp" et vide-le totalement, c' est-à-dire supprime tout ce qui se trouve dans ce dossier. Assure-toi d' avoir bien supprimé en particulier le fichier "UIUCU.EXE".
en mode sans échec (touche F8 au demarrage du PC)
affiche avant les fichier caché de windows

pour voir les dossiers cachées voici la méthode

• tu ouvre poste de travail
• en haut clique sur outils
• options des dossiers onglet affichage
• après tu cherche fichiers et dossiers cachés
• et tu coche afficher les fichiers et les dossiers cachés

pour rendre un fichier ou un dossier caché ou pour qu'il ne le soit plus voici la méthode

• clique droit sur le fichier ou le dossier en question
• dans le menu qui se déroule appuie sur propriétés
• une fenêtre apparaît et en bas tu coche/décoche l'option caché

telecharge aussi adware et spybot (fais les mises a jour)
Comment-se-debarrasser-des-spywares


ATTENTION tu as 2 antivirus ! Il faut en désactiver un ou tu choisi avast ou Antivir , mais les 2 ne doivent pas etre actif sur ton PC !!!


[ Ce message a ete modifié par : : mariam le 11-05-2006 18:11 ]

Je viens de relancer avast et apparament je n'ai plus le virus, un GRAND MERCI à tous.

Mariam tu me dit de télécharger adware et spybot j'avais déjà ces logiciels mais c'est vrai que je ne fais pas systematiquement les mises à jour, chose que je vais faire maintenant. Par contre pour antivir ca fais un an que je n'arrive pas à le virer de mon ordi il ne fonctionne pas mais il est là. que dois je faire.

tu peux le garder, mais ce qu'on veut dire c'est qu'il ne faut pas qu'ils fonctionnent en même temps
Si tu as du mal à le désinstaller, désactive le, c'est tout et laisse tourner avast

salut

ok sangor
dans ce cas utilise regcleaner pour le supprimer ANTIVIR (mais normalement par ajout suppression de programme , tu n'y est pas parvenu ?)

tu as un tuto ici pour l'utilisation de regcleaner
Demonstration-en-image

tu as pu supprimer UIUCU.EXE ? ainsi que la ligne 04 ? remets un log pour verifier
bonne soirée a vous


[ Ce message a ete modifié par : : mariam le 11-05-2006 19:25 ]

Recoucou à tous,

Ok demain matin je mettrais un log, mais là je ne peux pas car je suis rentée chez moi et mon problème se trouve sur mon ordi au travail.

Pour Antivir je suis passée par suppression de programme et il est toujours là.

Bonne soirée à tous.