trojan (impossible a virer)

[stinguerr]

bonjours a tous.

voila après une analyse spybot S&D, celui-ci me trouve un problème qu'il n'arrive pas a régler :

 

Win32.Agent.yr: Réglages (Valeur du registre, nothing done)

HKEY_USERS\S-1-5-21-854245398-1801674531-725345543-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache\*\keygen.exe

 

 

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

 

mon antivirus ne trouve rien, ad award ne trouve rien, AVG Anti-Spyware ne trouve rien non plus ....

que faire??

 

voila se que me rapporte hijackthis (je ne sais pas a quoi sert se rapport mais bon en générale le gens en poste un avec leurs sujet...)

 

Logfile of HijackThis v1.99.1

Scan saved at 12:24:29, on 04/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Fabien\dock\YzDock.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\PDMWorks2004\Vault\pdmwService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

E:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\program files\adobe\acrobatereader\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\PROGRA~1\FlashFXP\IEFlash.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [yzdock] C:\Documents and Settings\Fabien\dock\YzDock.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: PDMWorks Server - SolidWorks Corporation - C:\Program Files\PDMWorks2004\Vault\pdmwService.exe

 

 

merci de vos réponses

[bruce lee]

Bonjour stinguerr et bienvenue sur zebulon

 

Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle l'entrée en gras dans la ligne de la zone de recherche:

 

keygen.exe

 

- rien dans la ligne "Enter string to exclude from results"

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel.

[stinguerr]

voila se qu'il trouve :

 

Windows Registry Editor Version 5.00

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.2.0

 

; Results at 04/03/2007 12:55:45 for strings:

; 'keygen.exe'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]

"E:\\Shareaza\\download\\Solidworks.2006.Crack-BAJWA\\solidworks2006模拟狗解密\\keygen.exe"="keygen"

"E:\\eMule\\Incoming\\solidworks2006模拟狗解密\\keygen.exe"="keygen"

"D:\\telechargements\\applications\\solidworks2006模拟狗解密\\keygen.exe"="keygen"

"D:\\telechargements\\applications\\Macromedia Studio Flash Proffesional 8, Dreamweaver 8, Fireworks 8,\\keygen.exe"="Keymaker"

"D:\\telechargements\\jeux\\call of duty2\\Générateur de clés CD\\Call Of Duty 2 keygen.exe"="Call Of Duty 2 keygen"

 

; End Of The Log...

[bruce lee]

bonjour,

 

 

1/ ouvre le Bloc-notes (Démarrer\Tous les programmes\Accessoires\Bloc-notes)

 

2/ copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

 

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]

"E:\\Shareaza\\download\\Solidworks.2006.Crack-BAJWA\\solidworks2006模拟狗解密\\keygen.exe"=-

"E:\\eMule\\Incoming\\solidworks2006模拟狗解密\\keygen.exe"=-

"D:\\telechargements\\applications\\solidworks2006模拟狗解密\\keygen.exe"=-

"D:\\telechargements\\applications\\Macromedia Studio Flash Proffesional 8, Dreamweaver 8, Fireworks 8,\\keygen.exe"=-

"D:\\telechargements\\jeux\\call of duty2\\Générateur de clés CD\\Call Of Duty 2 keygen.exe"=-

 

-Enregistrez ce fichier reg dans : Bureau

-Nom du fichier : keygen.reg

-Type du fichier : tous les fichiers

-cliquez sur Enregistrer

-quittez le Bloc Notes

 

 

3/ demarre en mode sans echec

 

 

4/ supprime ce qui est en gras:

 

E:\\ Shareaza<== tout le dossier

E:\\ eMule<== tout le dossier

 

Vide ensuite le contenu de ta corbeille

 

D:\\ telechargements<== tout le dossier

 

Vide ensuite le contenu de ta corbeille.

 

 

5/Utilisation du fichier: keygen.reg précedemment créé

- double cliquez sur le fichier (Bureau) / Acceptez l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / validez le message disant que la fusion est terminée.

 

 

6/redemarre en mode normal puis réexecute reg search (avec comme recherche: keygen ) puis poste le résultat.

Modifié le 4 mars 2007 par bruce lee

[stinguerr]

mais si je fais ca je perd toute les donnée qui y sont stockée !!!!!!!!

[bruce lee]

re,

 

1/ emule, shareaza sont des sources a bestioles de plus c'est illegale

 

2/ ta bestiole tu l'as eu "grace" a eux... Ne crois tu pas qu'il vaut mieux virer tous ces P2P (shareaza, emule....etc) a la con qui ne servent qu'a amener des bestioles ?

 

@+

[stinguerr]

il y a des téléchargement léguaux !!!!

je chercherais unet autres solution merci quand meme.........

[bruce lee]

re,

 

Tu télécharges légalement ?

[stinguerr]

parfois oui

[angelique]

le "parfois" dérange la Charte de zebulon