virus Win32:Agent-HKL [Trj]

Bonjour à tous,

Je me suis débarrassée avec succès d'un premier virus (Win32 agent-bsu [trj]) mais voilà que j'ai encore sur les bras un nouveau cheval de troie détecté par Avast le : Win32 agent-bsu [trj]
Son chemin : c:\windows\system32\totour.exe
Pour essayer de gagner du temps avant de vous redemander des conseils, j'ai suivi les mêmes consignes (et dans le même ordre) que pour le précédent virus.

Je vous joins les différents rapports de mes actions :
1er Hijacthis :
Logfile of HijackThis v1.99.1
Scan saved at 07:53:33, on 20/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\ASUSKBService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\jeanjak\Bureau\Win32Agent-HKL [Trj]\test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/ServicesAcces.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\ltsy.dll
O23 - Service: ASUS Keyboard Service (ASUSKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ASUSKBService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

Ensuite le rapport Sdfix :


SDFix: Version 1.104

Run by jeanjak on 20/09/2007 at 08:21

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:


Could Not Remove C:\WINDOWS\SYSTEM32\NTKRNLMP.EXE
Could Not Remove C:\WINDOWS\SYSTEM32\NTKRPAMP.EXE


Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------


[COLOR=RED]Rootkit Srizbi/Agent.EA Registry Value Detected, Use a Rootkit scanner ![/COLOR]


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\WINDOWS\\system32\\windwdnq.exe"="C:\\WINDOWS\\system32\\windwdnq.exe:*:Enabled:Server"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\WINDOWS\\Explorer.EXE"="C:\\WINDOWS\\Explorer.EXE:*:Enabled:Explorer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\WINDOWS\\system32\\windwdnq.exe"="C:\\WINDOWS\\system32\\windwdnq.exe:*:Enabled:Server"

Remaining Files:
---------------
C:\WINDOWS\SYSTEM32\NTKRNLMP.EXE Found
C:\WINDOWS\SYSTEM32\NTKRPAMP.EXE Found

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Program Files\Picasa2\setup.exe
C:\WINDOWS\system32\igflisyi.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\bcdheeld.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\bvfrs32.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\dopesl.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\plstsme.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\vcldmeas.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\windwdnq.exe

Finished!


Le rapport de Navilog

Search Navipromo version 3.0.4 commencé le 20/09/2007 à 8:25:11,67

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 16.09.2007 a 13h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\jeanjak\Application Data ***


*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 09/20/07 at 08:25:14.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ...............
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/20/07 at 08:25:37 (return code = 0).


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !



*** Recherche fichiers ***




*** Recherche cles registre ***



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :






3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 20/09/2007 à 8:25:55,60 ***


Le rapport Ccleaner

20/09/2007 a 8:28:34,25

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\attrib.dll FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !


Le rapport AVG Antyware (mode sans échec)

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 18:54:16 20/09/2007

+ Résultat de l'analyse:



C:\WINDOWS\system32\KB_963491.exe -> Downloader.Delf.bxu : Nettoyé.
C:\WINDOWS\system32\KB02937368.exe -> Dropper.Small.baa : Nettoyé.
C:\WINDOWS\system32\KB63476365.exe -> Dropper.Small.baa : Nettoyé.
C:\WINDOWS\system32\KB60978402.exe -> Not-A-Virus.SpamTool.Win32.Agent.bf : Nettoyé.
C:\Documents and Settings\jeanjak\Cookies\jeanjak@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\WINDOWS\system32\attrib.dll -> Trojan.Agent.aqo : Nettoyé.
C:\WINDOWS\twain_32.exe -> Trojan.Agent.bea : Nettoyé.


Fin du rapport

Et enfin le dernier Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 18:57:39, on 20/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\ASUSKBService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\jeanjak\Bureau\Win32Agent-HKL [Trj]\test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/ServicesAcces.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\ltsy.dll
O23 - Service: ASUS Keyboard Service (ASUSKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ASUSKBService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe




J'attends votre aide avec impatience, car même après toutes ces actions, j'ai toujours mon virus !

D'avance je vous remercie de l'aide que vous allez certainement m'apporter

je t'ai fais utiliser Gmer, rustbfix,clean, et il reviens a chaque fois

Supprime dans C:\WINDOWS\system32\attrib.dll

ensuite

Télécharge F-secure
Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
copie/colle le
si probleme voir l'aide ci dessous --> Tuto F-secure (utilisation)

Bonsoir,

Sous C:\Windows\System32, je n'ai pas de fichier attrib.dll
J'ai juste un fichier Attrib (l'icône c'est un rectangle blanc avec une bande bleue en haut)

Je le supprime ?

Tu vas dire que je pousse un peu mais sur le site F_SECURE il n'y a pas de fichier blbeta.exe à charger (j'ai regardé aussi le tuto)
Il n' y a que des fichiers fsblc.exe !

[ Ce message a été modifié par : : jjf21 le 20-09-2007 20:50 ]

il faut tu telecharge f-secure pas blbeta

Bon,

J'ai quand même supprimé le dossier attrib, même s'il n'avait pas l'extension .dll

Je suis retourner sur le site f-secure (et je t'assure que les copies d'écran du tuto ne sont pas les mêmes que sur le site

J'ai téléchargé un fichier qui s'est placé sur le bureau (fsbl)

Je l'ai lancé et j'ai trois rapports distincts :

les voici :
Fichier : fsbl-20070920190010
09/20/07 21:00:10 [Info]: BlackLight Engine 1.0.64 initialized
09/20/07 21:00:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/20/07 21:00:10 [Note]: 7019 4
09/20/07 21:00:10 [Note]: 7005 0
09/20/07 21:00:15 [Note]: 7007 0

Fichier : fsbl-20070920190408
09/20/07 21:04:08 [Info]: BlackLight Engine 1.0.64 initialized
09/20/07 21:04:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/20/07 21:04:08 [Note]: 7019 4
09/20/07 21:04:08 [Note]: 7005 0
09/20/07 21:04:14 [Note]: 7007 0

Fichier : fsbl-20070920190249
09/20/07 21:02:49 [Info]: BlackLight Engine 1.0.64 initialized
09/20/07 21:02:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/20/07 21:02:49 [Note]: 7019 4
09/20/07 21:02:49 [Note]: 7005 0
09/20/07 21:02:56 [Note]: 7006 0
09/20/07 21:02:56 [Note]: 7011 1620
09/20/07 21:02:56 [Note]: 7026 0
09/20/07 21:02:56 [Note]: 7026 0
09/20/07 21:02:57 [Note]: FSRAW library version 1.7.1022
09/20/07 21:03:21 [Note]: 2000 1012
09/20/07 21:04:00 [Note]: 7007 0


Tu y voies plus clair ?


Ajout du 20-09-2007 à 21:47:

En attendant une réponse j'a irelancé une analyse complète avec AVG Anti-spyware (mais pas en mode sans échec)

Il a encore trouvé 8 objets => j'ai appliqué toutes les actions (supprimer)

Voici le rapport (si ça peut aider )

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 21:43:01 20/09/2007

+ Résultat de l'analyse:



C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012821.exe -> Downloader.Delf.bxu : Nettoyé.
C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012819.exe -> Dropper.Small.baa : Nettoyé.
C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012820.exe -> Dropper.Small.baa : Nettoyé.
C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012823.exe -> Not-A-Virus.SpamTool.Win32.Agent.bf : Nettoyé.
C:\Documents and Settings\jeanjak\Cookies\jeanjak@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.22:C:\Documents and Settings\jeanjak\Application Data\Mozilla\Firefox\Profiles\jnbe4l6f.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.23:C:\Documents and Settings\jeanjak\Application Data\Mozilla\Firefox\Profiles\jnbe4l6f.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.24:C:\Documents and Settings\jeanjak\Application Data\Mozilla\Firefox\Profiles\jnbe4l6f.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.25:C:\Documents and Settings\jeanjak\Application Data\Mozilla\Firefox\Profiles\jnbe4l6f.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012818.dll -> Trojan.Agent.aqo : Nettoyé.
C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012822.exe -> Trojan.Agent.bea : Nettoyé.


Fin du rapport

Télécharger sur le bureau

Otmoveit.exe

= Copier ce texte en gras

c:\windows\system32\totour.exe

= Double-clic sur OTMoveIt.exe
= Dans le cadre de Gauche ==> clic-droit ==> coller
= Clic MoveIt!
= si redémarrage demandé==> Clic : YES
= Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à copier/coller dans la réponse
-------

redémarrer le PC et dire si encore des problèmes


[ Ce message a été modifié par : : jacko17 le 20-09-2007 22:09 ]

Bonjour,

Voici les résultats et j'ai l'impression qu'ils ne sont pas concluants.

OTmoveIt n'a pas demandé de redémarrage

File/Folder c:\windows\system32\totour.exe not found.

Created on 09/21/2007 07:25:22

Et pourtant après le redémarrage, j'ai toujours le virus et toujours sous le même chemin !

Merci d'avance pour la suite

En fasant des recherches j'ai trouvé ceci

- redémarrer en mode sans échec
- effacer cp1041.nls sur c:\
- récupérer un fichier ndis.sys sain (taille 180 ko environ, le corrompu fait 257 ko). On peut aussi dupliquer celui qui est contenu dans c:\windows\system32\dllcache si il est sain.
- placer le nouveau ndis.sys sur c:\windows\system32\drivers
- redémarrer en mode normal

Source

Avant de partir travailler j'ai recherché le fichier ndis.sys pour voir sa taille et il fait
179 Ko

Je fais quand même la manip demandée ?

Merci d'avance

bonjour

fait ceci

Démarrer==> Exécuter ==> Ecrire :regedit

presser :CTRL et F

Ecrire ou copier/coller : totour
clic : Suivant
Si trouvé ==> clic-droit et supprimer
relancer la recherche jusqu'à l'annonce de FIN
---------
Si tu as trouvé quelque chose => redémarrer le Pc

dans tous les cas donner le résultat