Trojan dans un fichier systeme avant l'installation d'un anti-virus

Bonjour,

L'ordi de mes parents est infesté par un ou des chevaux de troie. Il possède un firewall (Kerio) mais pas d'antivirus donc j'ai mis Antivir ce matin, qui a trouvé les choses suivantes :
- Trojan Horse TR/Vgten.A.4
- HEUR/MAlware
Ce sont les 2 qui reviennent le plus souvent. J'ai aussi trouvé :
- tmp1.tmp.exe
- TR/Spy.Agent.272384
- HEUR-DBLEXT/Crypted
- TR/BHO.0.2
- TR/Proxy.wopla.AG4
- TR/Crypt.NSPM.Gen

Comme il m'a été conseillé je dis à Antivir de les ignorer et non de les éliminer car cela pourrait éliminer des fichers système.
Il faut que je trouve des patchs qui élimineront ces trojans, mais le problème, c'est que j'ai beau chercher sur le net je n'en trouve aucun! Ces virus semblent inconnus... je ne sais pas quoi faire, me voilà bloqué, avez-vous une solution??
Merci pour vos réponses!

salut et bienvenue sur la toile

Télécharger sur le bureau
Hijackthis
= clic droit dessus ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
=Double-clic dessus
= Clic Do a system scan and save the log
= copier le rapport, le coller dans la réponse
Si problème voir l’aide ci-dessou :
aide hijackthis

télécharger sur le bureau
Navilog1.exe
= double-clic dessus pour l'installer et le lancer
Quand installé
= taper F
= Appuyer sur une touche jusqu' à arriver aux options
= Choisir option 1 ( = taper 1 )
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

un rapport : fixnavi.txt
dans ==> C :
le copier/coller dans la réponse
--------------------------------------------------------------------------------------------------------------------------------------
Télécharge sur ton bureau Clean (zip)
= Clic droit sur Clean.zip et Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
=double-clic Dossier Clean
= double-clic Clean. ( avec comme symbole une roue dentée)
= Option 1 = taper 1
= copier/coller le rapport dans la réponse

bonjour

je dis à Antivir de les ignorer et non de les éliminer car
cela pourrait éliminer des fichers système.

en aucun cas

car tes fichiers infectés sont soit dans sytem ou dans system32
mais ce ne sont pas des fichiers légitimes
----
donc commence par les faire éliminer par ton anti-virus

Bonjour,
Hier, j'ai suivi les instructions sur ce forum : http://www.infos-du-net.com/forum/268460-11-trojan-fichier-systeme-installation-anti-virus
On y a passé qqch comme 10h... et le problème demeure...
Concernant ton message Land3, on m'a dit de ne pas les éliminer directement par mon antivirus de peur de supprimer des fichiers windows indispensables, et c'est pour ça que je n'ai osé le faire...
J'avoue que je suis inquiet de ne pas pouvoir m'en débarrasser... HEEEEEELP!!! PLEASE!!!

ok pour le hijack


[ Ce message a été modifié par : : land3 le 05-06-2007 09:35 ]

Voici le rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 09:21:23, on 05/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\PTV339\IRMONITOR.EXE
C:\PROGRA~1\Webshots\webshots.scr
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Documents and Settings\Home\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PTV339 Remote Controller Service.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xtsqkrm.dll
O20 - AppInit_DLLs:
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe


Ajout du 05-06-2007 à 09:33:

ok merci qd même.

si tu repasses ici

Télécharger sur le bureau
Lspfix

= fermer les programmes
= déconnecter internet
= double-clc sur Lspfix .zip
= double-clc sur Lspfix .exe
= cocher I Know what I'm doing
= du coté Keep il y a des DLL

= si xtsqkrm.dll
emo.dll présentes

= la sélectionner et appuyer >> pour la faire passer du côté Remove
= clic Finish
------------------------
puis
Télécharger sur le bureau
VirtumondoBegone

=Double clic sur VirtumundoBeGone.exe
=clic Continue ==> clic Start
=clic Oui
=A la fin si Vundo est présent , le PC s’éteint et redémarre

Si Ecran bleu et message : Erreur fatale .. pas de problème

=Poster le rapport VBG.TXT qui est sur le bureau
---------

mettre les rapports et un nouveau hijack

Voici le rapport VGB.TXT


[06/05/2007, 10:36:22] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Home\Bureau\VirtumundoBeGone.exe" )
[06/05/2007, 10:36:33] - Detected System Information:
[06/05/2007, 10:36:33] - Windows Version: 5.1.2600, Service Pack 2
[06/05/2007, 10:36:33] - Current Username: Home (Admin)
[06/05/2007, 10:36:33] - Windows is in NORMAL mode.
[06/05/2007, 10:36:33] - Searching for Browser Helper Objects:
[06/05/2007, 10:36:33] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[06/05/2007, 10:36:33] - Finished Searching Browser Helper Objects
[06/05/2007, 10:36:33] - Finishing up...
[06/05/2007, 10:36:33] - Nothing found! Exiting...


Rapport Hijack

Logfile of HijackThis v1.99.1
Scan saved at 10:38:24, on 05/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\PTV339\IRMONITOR.EXE
C:\PROGRA~1\Webshots\webshots.scr
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\Home\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PTV339 Remote Controller Service.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs:
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe



Pour info le PC n'a pas redémarré.

pour le non redémarrage = normal , il n'a rien trouvé
--------
dit ce que trouve encire antivir et où

Ba il trouve TR/Agent.AOJ.17 dans C:\WINDOWS\system32\xtsqkrm.dll