Se connecter / S'enregistrer
Votre question

Comment supprimer le cheval de troie Trojan Downloader win32 Agent dfhk

Tags :
  • Agent
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Avril 2010 10:05:17

bonjour , j'ai grandement besoin de votre aide voila a chaque fois que j'allume

mon pc mon antivirus KASPERSKY détecte ce virus cheval de Troie Trojan Downloader win32.Agent.dfhk

et il m'est impossible de le supprimer.

Merci pour votre aide

Autres pages sur : supprimer cheval troie trojan downloader win32 agent dfhk

13 Avril 2010 10:20:04

Salut,


on va regarder cela ...


fais ce qui suit pour avoir un diagnostique précis de la situation :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 062 ( important ! ) .

  • clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ... ( cela peut-être relativement long )

  • Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...
    Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag)


    Puis ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

    13 Avril 2010 12:06:19

    Merci pour ton aide, mais depuis que j'essaie de déposer le fichier sur http://www.cijoint.fr/ dès que je clic sur : "cliquer ici pour déposer le fichier"
    la page disparait et j'ai une erreur sur la page,

    La connexion a été réinitialisée

    La connexion avec le serveur a été réinitialisée pendant le chargement de la page.


    * Le site est peut-être temporairement indisponible ou surchargé. Réessayez plus
    tard ;

    * Si vous n'arrivez à naviguer sur aucun site, vérifiez la connexion
    au réseau de votre ordinateur ;

    * Si votre ordinateur ou votre réseau est protégé par un pare-feu ou un proxy,
    assurez-vous que Firefox est autorisé à accéder au Web.

    J'ai désactivé le pare feu windows, aucun proxy, Firefox ouvre bien les pages WEB ????

    que faire ? merci

    Contenus similaires
    13 Avril 2010 12:22:49

    Re,

    peut-être que le prb vient du site lui-même, ou peut-être d'un add-on de FF ( comme noscript ) ...

    Donc essaye de faire l'uplaod depuis Internet Explorer pour voir ...



    Sinon essaye avec cet autre site d'uplaod > http://www.cjoint.com/
    13 Avril 2010 12:54:31

    Problème identique avec Internet Explorer !


    Internet Explorer ne peut pas afficher cette page Web

    Causes les plus probables :
    Vous n’êtes pas connecté à Internet.
    Le site Web rencontre des problèmes.
    Il se peut que l’adresse contienne une erreur de frappe.

    Essayez la chose suivante : Diagnostiquer les problèmes de connexion

    Je suis vraiment embêté

    13 Avril 2010 14:06:17

    re,


    très infecté ! ....




    parcontre ce n'est pas le rapport que j'attendais !


    tu as fait une "analyse détaillé / MD5" alors que j'ai demander un scan 'normal' ! .... donc recommence stp et suit bien les instructions ! ... ;) 


    j'attends le nouveau rapport obtenu et je te donnerai la suite ....
    13 Avril 2010 15:32:38

    re,

    infection assez complexe ....


    il me faut d'autres info avant de commencer :



    Télécharge SystemLook de jpshortstuff sur ton bureau :

    http://images.malwareremoval.com/jpshortstuff/SystemLoo...


    * Double-clique sur "SystemLook.exe" pour lancer l'outil .

    -> Copies/colle le texte ci-dessous dans la fenêtre :


    :dir
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009
    C:\Program Files\Windows Live\Messenger
    C:\Program Files\Skype\Phone



    * Clique sur le bouton [Look] pour lancer l'examen .

    Laisse travailler ...

    * Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

    -> Poste ce rapport dans ta prochaine réponse pour analyse ...


    ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )



    Edit : si le rapport est trop long , uplaod le ...
    13 Avril 2010 16:27:20

    j'ai bien téléchargé SystemLook.txt - et copié collé :

    dir
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009
    C:\Program Files\Windows Live\Messenger
    C:\Program Files\Skype\Phone

    dès que je clic sur Look voici le message d'erreur qui s'affiche!

    L'application ou la DLL c\windows\system32\gudokge.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation.

    puis notepad++.exe s'ouvre avec des NUL-NUL-NUL etc etc



    13 Avril 2010 16:30:34

    re,

    supprime Systemlook et reprends depuis le téléchargement ...

    essaye de nouveau et dis moi ....

    si cela foire de nouveau , prévient moi ....
    13 Avril 2010 16:44:53

    pas de changement, cela commence à m'inquiéter réellement
    13 Avril 2010 17:35:13

    re,


    Citation :
    cela commence à m'inquiéter réellement



    no stress ... :) 


    on va faire sans se rapport ....


    donc on attaque ...


    /!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================


    dans l'ordre :


    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    O2 - BHO: (no name) - {1C622189-5C40-4AC5-AC51-830C7CF95FC7} . (.Hewlett-Packard Limited - OSEC Licence Manager.) -- c:\windows\system32\fcqycap.dll
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At1.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At10.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At100.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At101.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At102.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At103.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At104.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At105.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At106.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At107.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At108.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At109.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At11.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At110.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At111.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At112.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At113.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At114.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At115.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At116.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At117.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At118.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At119.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At12.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At120.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At121.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At122.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At123.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At124.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At125.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At126.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At127.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At128.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At129.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At13.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At130.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At131.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At132.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At133.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At134.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At135.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At136.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At137.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At138.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At139.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At14.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At140.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At141.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At142.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At143.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At144.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At145.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At146.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At147.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At148.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At149.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At15.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At150.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At151.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At152.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At153.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At154.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At155.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At156.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At157.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At158.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At159.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At16.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At160.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At161.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At162.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At163.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At164.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At165.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At166.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At167.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At168.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At169.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At17.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At170.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At171.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At172.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At173.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At174.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At175.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At176.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At177.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At178.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At179.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At18.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At180.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At181.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At182.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At183.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At184.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At185.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At186.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At187.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At188.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At189.job
    O44 - LFC:[MD5.00000000000000000000000000000000] - 13/04/2010 - 10:06:24 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\log.txt
    O58 - SDL:[MD5.00000000000000000000000000000000] - 14/04/2008 - 2:50:38 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\prmiewvz.sys



    > Puis Lance ZHPFix depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres .

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



    ==============================

    2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
    image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gi...
    *Une fois la console installée,
    image > http://img.photobucket.com/albums/v706/ried7/whatnext.p...
    Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --


    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici : C:\Combofix.txt


    Réactive bien tes défenses .


    > Uplaod moi le rapport Combofix pour analyse et attends la suite ..
    13 Avril 2010 18:53:36

    J'ai bien fait tout se que tu m'a dit, et l'ordi à la fin a redémarrer seul, mais la seul chose que j'ai comme Combofix.txt cet :

    omboFix 10-04-13.02 - cholzer 13/04/2010 18:27:59.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.x.xxxxx.xx.xxxx.xx.xxxx.2241 [GMT 2:00]
    Lancé depuis: C:\Documents and Settings\cholzer\Bureau\ComboFix.exe
    AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4DXXXX-0793-XXXX-XXXX-E25XXXXXXXC0}

    Est-ce juste ?



    13 Avril 2010 19:05:32

    bon ....




    faut suivre correctement les manipes sinon tu ne pourras pas t'en sortir !!!!


    il me manque le rapport de ZHPFix ....

    pour Combo il y as eu un prb ! .... es tu administrateur du PC ? ....


    Pour le moment :

    1- donc donne moi le rapport de ZHPFix ...


    ===================

    2- Refais un scan ZHPDiag .

    * Coche bien toutes les options sauf les 045 et 061 cette fois .

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...








    13 Avril 2010 20:01:07

    bien ...



    la suite dans l'ordre :



    1- Supprime le ComboFix que tu as sur ton PC en faisant ainsi :


    Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

    ComboFix /uninstall

    ( laisse l'espace entre "Combofi"x et "/uninstall" )

    -> Valide ... l'outil se relancera et se supprimera de lui-même.


    ======================

    2- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    [MD5.9EEBF503F9E525CD8A23B23E746E8399] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp .exe [41480]
    [MD5.DFAD822967D7276721C776284ABA459D] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp .exe [41480]
    [MD5.567922F505A82FA7D49072627745449F] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp .exe [41480]
    [MD5.D4DA04996A048039459EDD020085C584] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp .exe [41484]
    [MD5.7861D7AB10CC61E5C5C5B35B14A472E4] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp .exe [41484]
    [MD5.4DE41D8618F3D924C0FDB6298DE75CD2] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [41476]
    [MD5.00525AAAE1282DF8396B4FA422840430] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Canon\imagePROGRAFStatusMonitor\cnwida.exe [41476]
    O2 - BHO: (no name) - {1C622189-5C40-4AC5-AC51-830C7CF95FC7} . (.Hewlett-Packard Limited - OSEC Licence Manager.) -- c:\windows\system32\fcqycap.dll
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At19.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At190.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At191.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At192.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At193.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At194.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At195.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At196.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At197.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At198.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At199.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At2.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At20.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At200.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At201.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At202.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At203.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At204.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At205.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At206.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At207.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At208.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At209.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At21.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At210.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At211.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At212.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At213.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At214.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At215.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At216.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At217.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At218.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At219.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At22.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At220.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At221.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At222.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At223.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At224.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At225.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At226.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At227.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At228.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At229.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At23.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At230.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At231.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At232.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At233.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At234.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At235.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At236.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At237.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At238.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At239.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At24.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At240.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At241.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At242.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At243.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At244.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At245.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At246.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At247.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At248.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At249.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At25.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At250.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At251.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At252.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At253.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At254.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At255.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At256.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At257.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At258.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At259.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At26.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At260.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At261.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At262.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At263.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At264.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At27.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At28.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At29.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At3.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At30.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At31.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At32.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At33.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At34.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At35.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At36.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At37.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At38.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At39.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At4.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At40.job
    O44 - LFC:[MD5.00000000000000000000000000000000] - 13/04/2010 - 10:06:24 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\log.txt
    O44 - LFC:[MD5.00525AAAE1282DF8396B4FA422840430] - 8/04/2010 - 16:42:46 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ICO .exe [41476]
    O44 - LFC:[MD5.00525AAAE1282DF8396B4FA422840430] - 8/04/2010 - 16:42:46 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ICO.EXE [41476]
    O44 - LFC:[MD5.DFAD822967D7276721C776284ABA459D] - 8/04/2010 - 21:10:31 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\6IPM37r.com [41480]
    O61 - LFC:Last File Created 8/04/2010 - 21:10:31 ---A- C:\Documents And Settings\All Users\Application Data\6IPM37r.exe [41480]
    O61 - LFC:Last File Created 8/04/2010 - 21:10:31 ---A- C:\Documents And Settings\cholzer\Local Settings\Application Data\6IPM37r.exe [41480]



    > Puis Lance ZHPFix depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres .

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le juste après avoir posté le rapport!


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
    13 Avril 2010 20:31:31

    re,

    CE N EST PAS LE BON RAPPORT !

    si tu lis bien la manipe , il est ici > C:\Program files\ZHPDiag\ZHPFixReport.txt

    13 Avril 2010 20:51:38

    mouais ....



    tu ne l'aurais pas fait 2 fois la manipe par hazard ? ....




    bref, faut qu'on avance car l'infection elle , gagne du terrain ...



    fais ceci :


    * Télécharge l'archive suivante sur ton bureau > http://www.cijoint.fr/cj201004/cijRSO2das.zip

    * extrait son contenu sur ton bureau ( clique droit dessus / "extraire ici" )

    ske.exe = ComboFix.exe préalablement renommé pour contrer l'infection .

    > reprned la manipe de ComboFix que je t'ai donné en utilisant " ske.exe " .


    Poste moi le rapport obtenu pour analise ....

    13 Avril 2010 22:14:06

    Bien ....



    Fais exactement ce qui suit :



    1- Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Rends toi sur cette page > http://www.cijoint.fr/cj201004/cijLPJUqNq.txt

  • Copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

  • Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ... ( sauvegarde le bien sur le bureau )


    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ske.exe ( "ComboFix" ) .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

    14 Avril 2010 09:37:47

    hello,


    recommence !


    tu n'as pas fait la minpe correctement !


    peut-être une erreur au niveau du nom que tu as donné au script ... il faut impérativement le nommé CFScript ( à la lettre et majuscule près )

    il faut aussi que se soit un .txt ( et pas un autre type de documment )



    j'attends le nouveau rapport obtenu ...

    14 Avril 2010 10:34:06

    Impec ...


    on avance ... mais quelques saltés s'accrochent ...



    recommence la même manipe , mais en copiant ceci dans CFScript > http://www.cijoint.fr/cj201004/cijeTYqqTE.txt



    Poste moi le nouveau rapport obtenu stp et attends la suite ....
    14 Avril 2010 11:18:40

    oki ,

    c'est déjà mieux ....


    on poursuit .... dans l'ordre :


    1- Ouvre le bloc-notes (menu démarrer/accessoire/bloc-note) et fais un copier coller de ce qui est en citation ci-dessous ( copie tout d'un trait ) :


    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"




    * Sauvegarder le document sur ton bureau :
    Va sur "fichier"/"enregistrer sous" :
    ---> Nom du fichier, tu tapes : fix.reg
    Type de fichier, tu choisis : "tous les fichiers"
    -> clique sur "enregistrer"

    !! Déconnecte toi et ferme toutes tes applications en cours !!

    * Double clique sur fix.reg qui est sur ton bureau => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"

    Si c'est bien le cas, clique sur "oui"


    Redémarre ensuite le PC !

    ==============================

    2- Refais un scan ZHPDiag .

    * Attention : cette fois au niveau des options coche tout sauf les 045 et 061 !

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


    ==============================

    3- Télécharge gmer sur le bureau :

    > http://cjoint.com/?eolsjkUSJc

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * Double-clique sur ..._gmer.exe pour lancer l'outil.
    * Met toi bien sur l'onglet "rootkit", puis clique sur [scan] .
    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le contenu du rapport stp ...








    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS