Probleme pour mettre en quarantenne et supprimer un Trojan

bonjours,
voila je tourne sur win XP avec comme anti virus avast. J'ai également spybot, zonealarm et bitdefender( qui est désactivé).J'ai installé tous ces logiciels sauf bitdef apres mon infection par Win32:BHO-KD [Trj]. Apres un scan, je n'arrive pas ni a suprimer le fichier ni a le mettre en quarentaine. J'ai suivit le chemin que m'indiquait avast:c:\windows\system32\avifil.dll\[UPX] et je n'arrive pas a suprimer ce fichier .

J'ai effectué le scan avec hijack this et voila le résultat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:07:08, on 21/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\RaUI.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Balou\Bureau\abcde.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {3977B160-9B07-4E06-8EB6-3D2FD043E121} - C:\WINDOWS\system32\avifil.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\WINDOWS\RaUI.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?dd581102fb2b417bbaa8d254431c33fa
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?dd581102fb2b417bbaa8d254431c33fa
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189331147375
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1189331135890
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender9\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 10443 bytes

Aidez moi s'il vous plait j'en ai marre que mon ordinateur rame

Bonjour Balou et bienvenue

Pour commencer sache que ceci est une slaoperie que je te recommande de désinstaller : SweetIMBarForIE

As-tu essayé de supprimer, c:\windows\system32\avifil.dll en mode sans échec ?
Si non, essaie, pour y accéder :

Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisis "mode sans echec" attends un peu..
Puis va supprimer le fichier, vide ta corbeille et redémarre ton PC normalement.

D'abords merci pour ton aide mais malhereusement la manipulation pour supprimer avifil n'a pas fonctionné et de plus le programme SweetIMBarForIE n'apparait pas dans la liste des programme pouvant etres modifiés ou supprimés

j'aimerais également te demander comment fait-on pour trouver des pilotes et les installers ? Car je n'ai pas de CD d'instalation pour un lecteur DVD qu'on m'a donné et ça m'embete un peu . merci .

Bonjour balou

Fais ceci pour virer les deux intrus

Télécharge OTMoveIt sur ton bureau
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

Double clic sur OTMoveIt.exe
Sélectionne et copie les lignes ci-dessous

C:\Program Files\Macrogaming\
C:\windows\system32\avifil.dll

Retourne dans OTMoveit, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller".
Clic sur le boutton rouge Moveit et ferme OTMoveIt
Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir l'exécution, si c'est le cas, clic sur "Yes"
Copie et colle le rapport qu'il va te générer ici stp. Le rapport d'OTMoveit se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles


Ensuite, pour rechercher des pilotes automatiquement, tu as divers sites effectuant cela pour toi, regarde ici
https://kerio.probb.fr/ameliorer-tester-optimiser-et-mettre-a-jour-f14/scanner-votre-pc-a-la-recherche-de-nouveaux-pilotes-t137.htm

A++

salut et merci a toi de t'occuper si gentiment de moi Merci pour les pilotes .j'avais trop la haine.
Ou sinon voila ce que tu m'a demandé :
C:\Program Files\Macrogaming\SweetIMBarForIE\Cache moved successfully.
C:\Program Files\Macrogaming\SweetIMBarForIE moved successfully.
C:\Program Files\Macrogaming\SweetIM\update moved successfully.
C:\Program Files\Macrogaming\SweetIM\logs moved successfully.
C:\Program Files\Macrogaming\SweetIM\data\contentdb moved successfully.
C:\Program Files\Macrogaming\SweetIM\data moved successfully.
C:\Program Files\Macrogaming\SweetIM\conf\users moved successfully.
C:\Program Files\Macrogaming\SweetIM\conf moved successfully.
C:\Program Files\Macrogaming\SweetIM moved successfully.
C:\Program Files\Macrogaming moved successfully.
LoadLibrary failed for C:\windows\system32\avifil.dll
C:\windows\system32\avifil.dll NOT unregistered.
File move failed. C:\windows\system32\avifil.dll scheduled to be moved on reboot.

Created on 01/22/2008 21:51:29

Ok, ça semble bon, as-tu bien redémarré ton PC, si non fais-le.
Ensuite vérifie dans ce dossier C:\_OTMoveIt\MovedFiles que tu vois bien ce dossier avifil.dll

J'ai redemmaré mon ordinnateur tout a l'heure apres le test mais je n'ai pas trouvé le dossier que tu m'indique et je crois que je n'ai jamais vu mon ordinnateur ramer autant . Je Croit que c'est a cause de la mise a jour des pilotes?

T'es sûr d'avoir installé le bon pilote au moins ?

non mais ça y ai c'était une archive de pilote qui était incomplete ou un truck comme mais maitenant c'est redevenu normale.
Merci mais est-ce que le virus est supprimé a présent ?

et au fait je croit que ça ne marche pas pour les périphériques sans pilote actuelement : c_a_d que étant donné que je n'est jamais installé le lecteur DVD sur mon ordinnateur le site ne le prend pas en compte dans la configuration de mon PC

Regarde sur le lien que je t'ai indiqué tout à l'heure et prends un site qui te permet de faire la recherche de pilote manuellement

Pour le virus, si tu as fait ce que je t'ai indiqué il a du être viré. Rescanne ton PC, masi tu ne devrais plus avoir d'alerte de ton anti-virus, mis à part dans le dossier où le fichier à du être déplacé ce qui est normal

ahhhhhhhhhhhhhhhhhh
maledidtion il est encore la j'en ai marre . Le fichier n'a pas était déplacé. Il est toujours dans c:\windows\system32\avifil.dll\[UPX]
et losque je le scan j'ai toujours le trojan. Et le dossier n'a pas était créé dans C:\_OTMoveIt\MovedFiles

Fais ceci

¤ Télécharge ceci sur ton bureau : ton antivirus peut détecter un virus c'est normal, désactive-le, le temps de la manipulation
----> http://www.suspectfile.com/systemscan/ ou ici http://www.mediafire.com/?7x9nwwdlhnr

Coche la case " I have read and agree" et clic sur "Proceed"

Décoche toutes les cases et ne coche que les 4 ci-dessous ;
- Recent Files Days old (mets 120)
- AutoPLay
- Hidden objects
- Suspicious Fils (Upack, ..)


Dès que c'est fait clic sur "Scan now" puis patiente.
ATTENTION, le scan peut durée plusieurs minutes, lors du scan si ton antivirus t'alerte d'un virus, tu refuses de le supprimer et/ou de le mettre en quarantaine sans quoi le logiciel va beuger.
Une fois le scan terminé un rapport va s'ouvrir, sauvegarde-le puis envoie le moi à cette adresse :

Dis-le moi quand tu as envoyé le rapport sur mon adresse e-mail, car j'ai des problèmes de messagerie, je reçois pas tous les messages.

voila ça y je te l'ai envoyé, Moi je vais me pieuter alors a+

Ok, c'est pas très propre et ton infection date de plusieurs mois

A faire dans l'ordre :

* Passe un coup de CCleaner (erreur + nettoyage)


* Vérifie que dans ton pare-feu il n'y a rien d'inconnu. Si une ligne t'est inconnue ou suspecte, mets des croix rouges ou supprime la. Tu risques rien et c'est important ça doit pas être correctement paramètrè.


* Fais un clic droit sur Poste de travail, propriétés, restauration du système, coche la case Désactiver la restauration du système et clic sur Appliquer.


* Télécharge OTMoveIt sur ton bureau
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

Double clic sur OTMoveIt.exe
Sélectionne et copie les lignes ci-dessous

C:\WINDOWS\61769.exe
C:\WINDOWS\98910.exe
C:\WINDOWS\VF2E.INI
C:\WINDOWS\system32\drivers\iloczaxy.dat
C:\WINDOWS\temp\tdfC.tmp
C:\DOCUME~1\Balou\LOCALS~1\Temp\jwcyhtbw.dat
C:\DOCUME~1\Balou\LOCALS~1\Temp\~DF7AD3.tmp
C:\DOCUME~1\Balou\LOCALS~1\Temp\~DF627A.tmp
C:\DOCUME~1\Balou\LOCALS~1\Temp\nso21.tmp
C:\WINDOWS\system32\WhoisCL.exe
C:\WINDOWS\system32\avifil.dll

Retourne dans OTMoveit, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller".
Clic sur le boutton rouge Moveit et ferme OTMoveIt
Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir l'exécution, si c'est le cas, clic sur "Yes"
Copie et colle le rapport qu'il va te générer ici stp. Le rapport d'OTMoveit se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles


* Fais un clic droit sur Poste de travail, propriétés, restauration du système, décoche la case Désactiver la restauration du système et clic sur Appliquer puis OK.


* Fais ce scan anti-virus en ligne avec Kaspersky et colle le rapport ici dès qu'il a terminé.
Tout est expliqué sur le lien ci-desous
----> https://kerio.probb.fr/chasser-les-virus-et-spywares-de-votre-systeme-f1/kaspersky-antivirus-en-ligne-tuto-t678.htm

A++