Bonsoir, j´ai installé antivir ce soir et dès son lancement il me balance un message comme quoi il a trouvé un troyen dans mon répertoire system32. Jme dis bon c´est déjà pas mal, sauf que peu importe ce que je lui dis de faire avec ce fichier, il me rebalancer toujours le même message. Voyez plutôt ...

http://www.enregistrersou[...]620071204192032.jpg

Si vous savez ce que je peux faire, merci d´avance ^^

Liens foireux, un troyen c´est un virus qui ce multiplie, c´est possible que tu ai plein d´alertes...

Désolé pour le lien, voici le bon :

http://www.enregistrersous.com/images2/52697435620071204192032.jpg

Mais en fait à chaque fois c´est des .dll quand l´antivirus se met à sonner :/

C´est parti pour une desinsfection,

- Télécharge VundoFix (by Atribune) sur ton bureau :
http://www.atribune.org/ccount/click.php?id=4

- Clique sur "VundoFix.exe" puis sur "Scan for Vundo"

- Lorsque le scan est terminé, clique sur "Remove Vundo". On te demandera si tu veux supprimer les fichiers, clique sur "Yes" (si le bureau disparaît c’est normal) puis on te demandera si tu veux redémarrer ton PC, clique alors sur OK.
Copie/colle le rapport ici (situé ici : "C:\vundofix.txt")

Salut,

T´avais quoi comme antivirus avant ?

wiwi j´espère pas avoir fait de bêtise en lui proposant cette manip ?

Non, t´as raison.

Je lui ai fait dl vundofix (sur clubic) quand il a dabord posté sur le forum matos info), ça n´a rien donné.

Salut wiwi77.

J´avais Avast avant comme antivirus. Là je suis en train de faire le scan avec vundofix mais il cherche encore depuis tout à l´heure, il marque phase 2 et j´ai l´impression que ça fait "un peu long". Enfin je fais confiance, quand j´aurais fini le scan en espérant qu´il me trouve quelque chose qui remettra mon ordi tel que je le veux, sans alarmes qui sonnent tout le temps, je posterais le rapport.

Merci pour votre aide

Bon ben voilà il a fini et n´a "encore une fois" rien trouvé.

Voici le vundofix.txt :

VundoFix V6.5.4

Checking Java version...

Scan started at 20:52:16 04/12/2007

Listing files found while scanning....

No infected files were found.

Beginning removal...

VundoFix V6.5.4

Checking Java version...

Scan started at 21:03:27 04/12/2007

Listing files found while scanning....

No infected files were found.

VundoFix V6.7.0

Checking Java version...

Scan started at 21:12:10 04/12/2007

Listing files found while scanning....

No infected files were found.

Beginning removal...

Il dit rien qui soit vraiment important je pense

Avast!, comme par hasard,

- Télécharge Hijackthis V 2.02
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Fais un double-clic sur HJTInstall.exe afin de lancer l´installation

- Clique sur Install ensuite sur I Accept

- Clique sur Do a scan system and save log file

- Le bloc-notes s´ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:27:01, on 04/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ElkCtrl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Analog Devices\SoundMAX\smax4.exe
C:\Program Files\Logitech\G-series Software\LGDCore.exe
C:\Program Files\Logitech\G-series Software\LCDMon.exe
C:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
C:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program
Files\Google\GoogleToolbarNotifier\GoogleToolbarNo
tifier.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {43614613-4518-4902-B8A5-002D7B9DE126} - C:\WINDOWS\system32\vtsqn.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {79B3844B-6DAC-4B78-B0B8-C99D8BBDCD50} - C:\WINDOWS\system32\wvutqnm.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d´aide de l´Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program
Files\Google\GoogleToolbarNotifier\2.1.615.5858\sw
g.dll
O2 - BHO: {018f93d1-088a-5f4a-e014-74fd439bb8ce} - {ec8bb934-df47-410e-a4f5-a8801d39f810} - C:\WINDOWS\system32\eqgxmose.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMax] "C:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [2cecfc37] rundll32.exe "C:\WINDOWS\system32\jeyaggpq.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program
Files\Google\GoogleToolbarNotifier\GoogleToolbarNo
tifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ´SERVICE LOCAL´)
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ´SERVICE RÉSEAU´)
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ´SYSTEM´)
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ´Default user´)
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y´z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra ´Tools´ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ´Tools´ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) -
http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) -
http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: wvutqnm - C:\WINDOWS\SYSTEM32\wvutqnm.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - C:\Program Files\MSN Messenger\usnsvc.exe (file missing)

--
End of file - 8664 bytes

Voici donc le rapport Hijackthis, si vous comprenez quelque chose à tout ce charabia :s

C:\WINDOWS\system32\jeyaggpq.dll

Scan le dossier system32 avec Antivir, il devrait le trouver.

Ok je viens de le faire, j´ai eu plusieurs alertes concernant quelques .dll. Certains n´ont pas pu être supprimés car "locked" donc verrouillées ?? ? En tout cas il faut que je reboote l´ordi pour que ceux-là soient supprimés, donc je le fais de suite et vous tiens au courant.

En passant, désolé si je poste quelques messages à la suite comme ça mais j´essaye de faire de mon mieux pour détailler le plus possible

Vaut mieux que tu fasses le scan en mode sans échec.

Bon me revoilà, j´ai rebooté et .... ça sonne toujours

Apparemment ça se produit quand j´ouvre certains trucs, là je viens d´aller dans mon centre de séurité Windows pour voir si le firewall était bien activé et BIP tout de suite. Le message que j´ai là me dit :

C:\WINDOWS\system32\wvutqnm.dll
Is the Trojan horse TR/BHO.Agent.mic

J´ai remarqué que quand je cliquais droit sur l´icone antivir dans la zone de notification, puis sur configure antivir, dans la partie Guard, quand je coche "Scan when writing" ça sonne beaucoup moins souvent, là ça vient d´ailleurs juste de resonner en mettant un message encore une fois avec une dll comportant Vundo dans le nom, et pourtant Vundofix m´a rien trouvé du tout :´(

Télécharge GenProc de jean-chretien1 et narco4 sur ton bureau et dézippe-le:
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
Puis double-clique sur GenProc.bat et poste le contenu du rapport qui s´ouvre.

Voici ce que ça me donne :

Rapport GenProc 0.72 [1] effectué le 04/12/2007 à 22:00:13,70 - SystemRoot = C:\WINDOWS

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C´est tout.

1. Etape 1/ Télécharge :

- VundoFix.exe (par Atribune)
http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

- combofix.exe (par [b]sUBs[/b])
http://download.bleepingccomputer.com/sUBs/ComboFix.exe sur ton Bureau

• • ** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici

https://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/e14bf84d-d2f7-42c3-9fae-2af3db3f806c.mspx?mfr=true (choisis ta session courante "NagasH") *****

1. Etape 2/

• Double-clique VundoFix.exe afin de le lancer

Clique sur le bouton Scan for Vundo
Lorsque le scan est complété, clique sur le bouton "Remove Vundo"
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t´annonce que ton PC va redémarrer; clique OK

Note: Il est possible que VundoFix soit confronté à un fichier qu´il ne peut supprimer. Si tel est le cas, l´outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

• Double clique [b]combofix.exe[/b].

Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra

1. Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c´est tout.

1. Etape 4/

Redémarre normalement et poste :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;

Précise les difficultés que tu as eu (ce que tu n´as pas pu faire...) ainsi que l´évolution de la situation.

Je sais franchement pas quoi faire, demain je vais essayer de réinstaller Avast je pense, et virer Antivir, et refaire l´opération inverse puisque j´ai du temps à perdre demain.

Mais juste histoire de me faire une idée, ce genre de problèmes ne va pas se finir par un formatage hein ? Parce que si c´est le cas ...

Ne remets pas Avast!

Suis la procédure de GenProc.

CCleaner :
http://www.clubic.com/telecharger-fiche14492-ccleaner.html