Bsoir à toutes & à tous.

Hier, j'ai eu la mauvaise idée de copier des fichiers en provenance des ordinateurs de mon lycée jusqu'au mien.

J'ai branché ma carte de téléphone portable à mon Pc à mon retour chez moi et antivir m'a détecté ce trojan. (le trojan s'était déjà copié dans System32 même sans ouvrir la carte)

Il l'a supprimé sans problème, j'ai donc par la suite effectué une analyse complète du système avec Antivir à jour en mode sans échec et il ne m'a rien trouvé, AVG Anti spyware non plus d'ailleurs. (ces deux programmes sont à jour, comme mon XP)

Donc j'ai traîné tranquilement sur mon PC hier soir sans avoir aucune pub ou aucun ralentissement et là ce soir, j'allume mon pc, je vais prendre une douche et lors de mon retour Antivir m'affiche une alerte:

http://www.hiboox.com/lang-fr/image.php?img=0cb64i3y.jpg

Voilà ce maudit trojan qui revient.

Re-analyse AVG & antivir en mode sans échec mais rien.

Comment puis-je être sûr que mon PC est propre ?

Dois-je poster un rapport HJT ?

Merci d'avance !

En fait ce qui m'inquiète c'est surtout que selon l'emplacement du trojan sur le screen, il se situerait dans les dossiers de restauration

Aucune info complémentaire sur ce trojan disponible sur google non plus.

Au cas ou;

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:29:32, on 13/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
G:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Damien\Bureau\s2kctl15b103\S2kCtl.exe
G:\Program Files\SpeedFan\speedfan.exe
G:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
G:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
G:\Program Files\Last.fm\LastFmHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
G:\Program Files\SDFix\SDFix\catchme.exe
C:\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.01net.com/telecharger/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "G:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Last.fm Helper.lnk = G:\Program Files\Last.fm\LastFMHelper.exe
O4 - Startup: S2kCtl.lnk = C:\Documents and Settings\Damien\Bureau\s2kctl15b103\S2kCtl.exe
O4 - Startup: speedfan.lnk = G:\Program Files\SpeedFan\speedfan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187914841718
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1190233042687
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - G:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - G:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - G:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - G:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Salut,

Il faut purger ta restauration de système :

Désactives ta restauration système :

Clique droit sur poste de travail / propriétés / onglet restauration du système : coche la case "désactiver la restauration système sur tous les lecteurs."
Clique sur "Appliquer", et "ok".

Puis réactive ta restauration système :

Clique droit sur poste de travail / propriétés / onglet restauration du système : décoche la case "désactiver la restauration système sur tous les lecteurs."
Clique sur "Appliquer", et "ok".

Ensuite crée un nouveau point de restauration :

Menu démarrer / tous les programmes / accessoires / outils système / restauration du système / "créer un nouveau point de restauration"

Télécharge Deckard's System Scanner (DSS) sur ton bureau :
http://www.techsupportforum.com/sectools/Deckard/dss.exe
Exécute-le et laisse se faire le scan. Puis poste le rapport.

De préférence sur un site d'hébergement sinon c'est l'enfer pour l'analyse ...

Scan en cours

Pour l'instant le plus dur c'est de trouver un site d'hébergement qui n'oblige pas à créer un compte

http://up.sur-la-toile.com/sdu8]extra.txt

Hoplà voilà qui est fait.

Honte à moi, un fichier infecté était resté en quarantaine.

Pour moi c'est okay. T'as plus de souci ?

Non, en fait je n'avais pas de problèmes mais le fait de savoir qu'une daube pouvait être présente dans mon PC me dérangeait

Merci à toi, bonne soirée & longue vie au forum PC