Forum XP.Net -Sécurité Informatique-

Bonjour,
Petit problème de cheval de troie qu'AVG 7.1 n'enlève pas ni ad aware voici l'analyse effectuée si il est possible d'avoir la solution pour y remedier en vous remerciant de votre aide !
Attention je suis un novice en informatique donc je comprend vite mais faut m'explique longtemps

Logfile of HijackThis v1.99.1
Scan saved at 10:17:22, on 15/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\Plugins\RazaWebHook.dll
O2 - BHO: (no name) - {29932878-7491-40EF-A016-8DBA5A33E24C} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {B3B9291F-FC4D-4F28-A828-608AB3BAC38C} - C:\WINDOWS\system32\cnetcfgd.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [fenaffiche] C:\Program Files\FenAffiche\FenUnika.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.c ... 040510.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 4493638046
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: pushow99.dll,Runner.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

je regarde ceci .
et te répond des que possible (en début d'aprem.)
Merci d'être passé par le forum.

Voila ce que tu vas faire.
J'essaye d'être le plus simple possible.
Si il y a quelque chose de pas clair n'hésite pas a le dire je détaillerai.

1) Télécharger
-- CCleaner (Choisir Alternative Download) durant l'installation CCleaner "impose"par défaut l'installation de la barre Yahoo décochez la case pour ne pas l'installer inutilement.
-- SpyBot -Search & Destroy
-- Ewido
-- Hijackthis

Installez les et mettez les a jour.
De même pensez à copier (en haut a droite du message bouton télécharger la ptite fléche, ou imprimer.) précisément les instructions qui vous seront données.

2 ) Affichage des dossiers et des extensions de fichiers cachés
Dans l'explorateur Windows (mes documents ou poste de travail par exemple)-> Outils-> Options des dossiers-> Affichage -> "Afficher les fichier et dossiers cachés", cochez la case.
Au même endroit décochez la ligne du dessous-> "Masquer les extensions dont le type de fichier est connu".
"Masquer les fichiers protégés du système d'exploitation"-> décochez la case
appliquer -> OK.
Suite à ces manipulations des fichiers sensibles de votre système seront visibles....faire donc très attention à ne rien supprimer d'important!!!
3 ) Nettoyage des fichiers superflus.
CCleaner
lancez le dans l'onglet nettoyeur gardez les options de base.
Sélectionnez "analyse" puis une fois fait "lancez le nettoyage"

4 ) Mode sans échec
Un démarrage en mode sans échecvous facilitera le nettoyage dans beaucoup de cas. Au démarrage tapotez la touche F8 avant l'apparition du logo de windows. Puis sélectionnez a l'aide des touches haut bas "mode sans échec" et tapez "enter"
Le mode sans échec offre le minimum donc ne soyez pas dérouté par l'apparence de votre bureau c'est normal.
Gardez fermées toutes les fenêtres, ainsi que toutes les applications non nécessaires,

5 ) Le nettoyage
-- Pour commencer faites un scan avec votre antivirus mis a jour.
--SpyBot -Search & Destroy
Puis
--Ewido (pour Windows XP et 2000)
Ewido te propose de sauvegarder un rapport de scan fait le tu nous le collera dans ton prochain message.

6 ) HijackThis
Ouvrir le logiciel et choisir faire un scan seulement.
Dans cette fenêtre
Vous allez cocher les lignes suivantes.
Ensuite lorsque toutes sont conchées cliquer sur "fixer objets"

• O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\Plugins\RazaWebHook.dll
• O2 - BHO: (no name) - {29932878-7491-40EF-A016-8DBA5A33E24C} - (no file)
• O2 - BHO: (no name) - {B3B9291F-FC4D-4F28-A828-608AB3BAC38C} - C:\WINDOWS\system32\cnetcfgd.dll
• O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
• O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\WINDOWS\system32\shdocvw.dll
• O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\WINDOWS\system32\shdocvw.dl
• O20 - AppInit_DLLs: pushow99.dll ,Runner.dll
• O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

Une question cette ligne

• O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Ce sont des restrictions que tu a peut être activé toi même par spybot S&D, si ce n'est pas le cas coche la et fixe la elle aussi.

7 ) Quand c'est terminé chercher et détruire
si il est présent le fichier en gras (attention a l"orthographe soit précis)
C:\WINDOWS\system32\nvsvcd.exe
Vérifie que les fichiers suivants n'existent plus.
Runner.dll
pushow99.dll
Effectue une recherche (Démarrer--> rechercher--> tous les fichiers-->options avancées--> tout cocher, lancer la recherche.)
Si tu les trouve détruis les.

8 ) Redémarre normalement et fait un nouveau rapport HitjackThis à soumettre sur le forum.
ainsi que le rapport généré par Ewido.

Je me permet de te signaler que tu as Shareazza sur ton PC,
sans porter de jugement moral je t'engage a te renseigner sur les risques du P2P.
http://forumxp.net.free.fr/phpBB2/viewtopic.php?t=399
Peut être tout ceci te parrais fastidieux a faire mais j'ai détallé au maximum afin de te rendre la tache le plus simple possible.
N'hésite pas a te faire préciser.

Bonjour
J'ai bien executé toutes les manip expliquées ci dessus mais car il y a un mais mon Cheval de troie y est encore et revient régulièrement au galop détecté par Zone alarm puis par AVG cet intru se nomme WIN32.ALCAN.J
Droper Généric dzd
voici ma dernière analyse par HijackThis
Par contre Exido m'a enlevé deux trojan en mode sans echec mais je n'ai pas conservé ces dernier mais d'après mes recherches se ne sont pas des bestioles bien méchante
Voici la situation a l'heure actuelle et merci pour ces précieux renseignements


Logfile of HijackThis v1.99.1
Scan saved at 16:22:40, on 16/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\LVComsX.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe
C:\Program Files\Logitech\Video\FxSvr2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [fenaffiche] C:\Program Files\FenAffiche\FenUnika.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.c ... 040510.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 4493638046
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

Bonsoir jebri

J'aimerai savoir ou il se trouve exactement et là je n'ai aucune information concréte sur sa localisation.
tu vas faire un scan en ligne de chez Kaspersky.
http://webscanner.kaspersky.fr/
La page d'explications
http://webscanner.kaspersky.fr/index.ph ... R_FAQ_LIST
il détécte bien les bestioles mais ne les nettoye pas.
Garde le rapport c'est avec lui que l'on en saura plus.
Et on pourra l'enlever par la suite.
Merci

A+

Bonjour "Avec la chaleur Mérignacaise decant un bon "Soda US" pour ne pas citer la marque !
Suite a vos instructions voici le raport etabli par scan en ligne Kaspersky en rouge les fichiers qui me genent le plus
je vous laisse juge de la situation

KASPERSKY ON-LINE SCANNER REPORT
Wednesday, May 17, 2006 3:58:32 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 17/05/2006
Kaspersky Anti-Virus database records: 194476

Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases false

Scan Target My Computer
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics
Total number of scanned objects 67507
Number of viruses found 3
Number of infected objects 15
Number of suspicious objects 0
Duration of the scan process 01:55:09

Infected Object Name Virus Name Last Action
C:\Program Files\ccsetup126.exe/stream/data0006 Infected: not-a-virus:RiskTool.Win32.PsKill.n skipped

C:\Program Files\ccsetup126.exe/stream Infected: not-a-virus:RiskTool.Win32.PsKill.n skipped

C:\Program Files\ccsetup126.exe NSIS: infected - 2 skipped

C:\Program Files\Incoming\Nero 7 Ultra Edition.exe/data.rar/cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows skipped

C:\Program Files\Incoming\Nero 7 Ultra Edition.exe/data.rar Infected: not-a-virus:RiskTool.Win32.HideWindows skipped

C:\Program Files\Incoming\Nero 7 Ultra Edition.exe RarSFX: infected - 2 skipped

C:\Program Files\MES PROGRAMMES\Nero 7 Ultra Edition.exe/data.rar/cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows skipped

C:\Program Files\MES PROGRAMMES\Nero 7 Ultra Edition.exe/data.rar Infected: not-a-virus:RiskTool.Win32.HideWindows skipped

C:\Program Files\MES PROGRAMMES\Nero 7 Ultra Edition.exe RarSFX: infected - 2 skipped

C:\System Volume Information\_restore{9BD1E2A9-38A1-4417-9D2D-F598174C7603}\RP285\A0077140.dll Infected: not-a-virus:AdWare.Win32.BHO.aa skipped

C:\System Volume Information\_restore{9BD1E2A9-38A1-4417-9D2D-F598174C7603}\RP285\A0077141.dll Infected: not-a-virus:AdWare.Win32.BHO.aa skipped

C:\TELECHARGEMENTS\Nero 7 fr Ultra Edition plus keygen.zip/Nero 7 Ultra Edition.exe/data.rar/cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows skipped

C:\TELECHARGEMENTS\Nero 7 fr Ultra Edition plus keygen.zip/Nero 7 Ultra Edition.exe/data.rar Infected: not-a-virus:RiskTool.Win32.HideWindows skipped

C:\TELECHARGEMENTS\Nero 7 fr Ultra Edition plus keygen.zip/Nero 7 Ultra Edition.exe Infected: not-a-virus:RiskTool.Win32.HideWindows skipped

C:\TELECHARGEMENTS\Nero 7 fr Ultra Edition plus keygen.zip ZIP: infected - 3 skipped

Scan process completed.

salut jebri.

Les trois premiers correspondes a ccleaner.
ètrange mais déjà vu sur d'autres rapports je ne pense pas qu'il y ai lieu de s'inquiéter.

Pour te débarrasser de ces deux.

Désactive ta restauration systéme.
ensuite réactive là.

Pour les autres il s'agit de "RiskTool" donc des "outils a risques" le tout est amené par Nero 7 fr Ultra Edition plus keygen.

Ce genre de fichier peut être source d'infections diverses, tu n'a aucune guarantie sur sa composition réelle. Je te conseille d'en éliminer toute trace de ton pc.
Pour ceci pas dur, tu desinstalle Nero puis tu suis les traces et supprime tout ce qui est mentionné dans le rapport Kaspersky.
http://forum.zebulon.fr/index.php?showtopic=93281
de plus il existe de nombreux logiciels de qualité égale, gratuits ou/et libres, permettant de remplacer Nero sans aucun problémes.

Quand a ton trojan Alcan, je n'en vois aucune trace.
pourrais tu me donner soit une capture d'écran, soit un rapport de l'un de tes logiciels le mentionant, je voudrais savoir ou il est exactment afin de l'éliminer.

Bonjour ! voici la copie d'ecran que j'ai sur Zone alarm avec le nom du virus et son emplacement lorque et l'emplaacement est identique lorsque avg me prévient
je pense que nous allons y arriver merci encore de votre réponse
Jean Jacques

T'as du oublier la copie d'écran.

Ha ben ça alors je l'ai mis en fichier joint format word elle s'es surement perdu en route pourtant Bordeaux Mérignac la route n'est pas longue
Allez je retente ma chance pour la copie d'ecran

Le format word n'est pas pris en compte.
tu n'as pas eu de refus ? étrange.
Tente comme ceci
http://forumxp.net.free.fr/phpBB2/viewtopic.php?t=45
et si cela marche pas passe le par le mail du site je te le posterai.


Je suis pas de la bas ?
Tu confonds peut être avec Florian.

voici si toute fois la piece jointe n'est pas arrivé les renseignement du virus et son emplacement !
C:\System Volume Information\_restore(9BDD1EA9-38A1-4417-9D2D-F598174C7603)\RP284\A0076911.exe
avec mention infecté echec de la quarantaine
nom du virus Win32.alcan.J

Ces informations viennent du logiciel Zone A1larm !
et parfois mon Anti virus se met en route pour m'informer de la présence d'un cheval de troie ayant le meme nom et refuse la réparation ainsi que la mise en quarantaine ce qui m'oblige a éteindre mon pc pour enlever l'alerte AVG jusqu'a la prochaine réaparition.
Par contre aujoud'hui je n'ai pas eu d'alerte mais touchons du bois et ne crions pas victoire !
Pensez vous avoir trouvé mon problème
A bienôt
Jean Jacques dit 3J
[/b]

Oui il est (où était) dans la restauration systéme .
donc :

Et comme tu l'as en théorie déjà fait c'est pour cela qu'il n'est surement plus détecté.
Sinon désactive puis réactive la restauration systéme.

J'attends de tes nouvelles si d'ici ce week end il y a aucune alarme on considérera que c'est clean.
Merci de me tenir au courant.

Bravo chapeau bas vous etes formidable mais comme tu dis si bien attendons encore un peu !
vous m'avez permis de faire un grand nettoyage dans mon PC !
Vos explications étant tellement bien que moi n'ayant pas de connaissances particulières j'ai réussi grace a vous.
Sachez que je suis pret a recommander votre site pour votre dévouement, votre experience,.
Amitié a toute l'équipe

Ben cela fait plaisir a entendre.
Mais il ne faut pas croire que c'est difficille, c'est surtout une habitude a prendre, et quelques bons reflexes.
Merci a toi car les retours positifs font toujours plaisir.