virus Win32:Agent-HKL [Trj] yeni bir virüs ve çözümü

mihtar · 23-09-2007, 00:02

virus Win32:Agent-HKL [Trj]

Modéré par : » neo0286 - pkable - SETI - sickness
( 1 | 2 ) Suivant >>>

Auteur

Résultats ( Réponses reçues: 16 )

jjf21
Envoyé le 20-09-2007 à 19:16

Inscrite le 02-04-2007

De Bourgogne
Messages :
28

Hors ligne

Bonjour à tous,

Je me suis débarrassée avec succès d'un premier virus (Win32 agent-bsu [trj]) mais voilà que j'ai encore sur les bras un nouveau cheval de troie détecté par Avast le : Win32 agent-bsu [trj]
Son chemin : c:\windows\system32\totour.exe
Pour essayer de gagner du temps avant de vous redemander des conseils, j'ai suivi les mêmes consignes (et dans le même ordre) que pour le précédent virus.

Je vous joins les différents rapports de mes actions :
1er Hijacthis :
Logfile of HijackThis v1.99.1
Scan saved at 07:53:33, on 20/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\ASUSKBService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\jeanjak\Bureau\Win32Agent-HKL [Trj]\test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/ServicesAcces.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\ltsy.dll
O23 - Service: ASUS ***board Service (ASUS***boardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ASUSKBService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati Hot*** Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

Ensuite le rapport Sdfix :

SDFix: Version 1.104

Run by jeanjak on 20/09/2007 at 08:21

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

Trojan Files Found:

Could Not Remove C:\WINDOWS\SYSTEM32\NTKRNLMP.EXE
Could Not Remove C:\WINDOWS\SYSTEM32\NTKRPAMP.EXE

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

Remaining Services:
------------------

Rootkit Srizbi/Agent.EA Registry Value Detected, Use a Rootkit scanner !

Authorized Application *** Export:

[H***_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\WINDOWS\\system32\\windwdnq.exe"="C:\\WINDOWS \\system32\\windwdnq.exe:*:Enabled:Server"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\WINDOWS\\Explorer.EXE"="C:\\WINDOWS\\Explorer .EXE:*:Enabled:Explorer"

[H***_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\WINDOWS\\system32\\windwdnq.exe"="C:\\WINDOWS \\system32\\windwdnq.exe:*:Enabled:Server"

Remaining Files:
---------------
C:\WINDOWS\SYSTEM32\NTKRNLMP.EXE Found
C:\WINDOWS\SYSTEM32\NTKRPAMP.EXE Found

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Program Files\Picasa2\setup.exe
C:\WINDOWS\system32\igflisyi.exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\bcdheeld. exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\bvfrs32.e xe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\dopesl.ex e
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\plstsme.e xe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\vcldmeas. exe
C:\_OTMoveIt\MovedFiles\WINDOWS\system32\windwdnq. exe

Finished!

Le rapport de Navilog

Search Navipromo version 3.0.4 commencé le 20/09/2007 à 8:25:11,67

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 16.09.2007 a 13h00 by IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\jeanjak\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
F-Secure Blacklight > F-Secure Blacklight

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 09/20/07 at 08:25:14.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ...............
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/20/07 at 08:25:37 (return code = 0).

*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

*** Recherche fichiers ***

*** Recherche cles registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

3)Recherche Certificats :

Certificat Egroup absent !

*** Analyse Terminé le 20/09/2007 à 8:25:55,60 ***

Le rapport Ccleaner

20/09/2007 a 8:28:34,25

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\attrib.dll FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

Le rapport AVG Antyware (mode sans échec)

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 18:54:16 20/09/2007

+ Résultat de l'analyse:

C:\WINDOWS\system32\KB_963491.exe -> Downloader.Delf.bxu : Nettoyé.
C:\WINDOWS\system32\KB02937368.exe -> Dropper.Small.baa : Nettoyé.
C:\WINDOWS\system32\KB63476365.exe -> Dropper.Small.baa : Nettoyé.
C:\WINDOWS\system32\KB60978402.exe -> Not-A-Virus.SpamTool.Win32.Agent.bf : Nettoyé.
C:\Documents and Settings\jeanjak\Cookies\jeanjak@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\WINDOWS\system32\attrib.dll -> Trojan.Agent.aqo : Nettoyé.
C:\WINDOWS\twain_32.exe -> Trojan.Agent.bea : Nettoyé.

Fin du rapport

Et enfin le dernier Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 18:57:39, on 20/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\ASUSKBService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\jeanjak\Bureau\Win32Agent-HKL [Trj]\test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/ServicesAcces.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\ltsy.dll
O23 - Service: ASUS ***board Service (ASUS***boardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ASUSKBService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati Hot*** Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

J'attends votre aide avec impatience, car même après toutes ces actions, j'ai toujours mon virus !

D'avance je vous remercie de l'aide que vous allez certainement m'apporter

ProfilconfigCiter

jacko17
Envoyé le 20-09-2007 à 20:21

Inscrit le 29-06-2007

18 ans.

De l'élitre pétanqcubiede5l ( chevalier de la chope )
Messages :
5548

En ligne

je t'ai fais utiliser Gmer, rustbfix,clean, et il reviens a chaque fois

Supprime dans C:\WINDOWS\system32\attrib.dll

ensuite

Télécharge F-secure
Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
copie/colle le
si probleme voir l'aide ci dessous --> Tuto F-secure (utilisation)

ProfilconfigEmail www Citer

jjf21
Envoyé le 20-09-2007 à 20:45

Inscrite le 02-04-2007

De Bourgogne
Messages :
28

Hors ligne

Bonsoir,

Sous C:\Windows\System32, je n'ai pas de fichier attrib.dll
J'ai juste un fichier Attrib (l'icône c'est un rectangle blanc avec une bande bleue en haut)

Je le supprime ?

Tu vas dire que je pousse un peu mais sur le site F_SECURE il n'y a pas de fichier blbeta.exe à charger (j'ai regardé aussi le tuto)
Il n' y a que des fichiers fsblc.exe !

[ Ce message a été modifié par : : jjf21 le 20-09-2007 20:50 ]

ProfilconfigCiter

jacko17
Envoyé le 20-09-2007 à 20:55

Inscrit le 29-06-2007

18 ans.

De l'élitre pétanqcubiede5l ( chevalier de la chope )
Messages :
5548

En ligne

il faut tu telecharge f-secure pas blbeta

ProfilconfigEmail www Citer

jjf21
Envoyé le 20-09-2007 à 21:11

Inscrite le 02-04-2007

De Bourgogne
Messages :
28

Hors ligne

Bon,

J'ai quand même supprimé le dossier attrib, même s'il n'avait pas l'extension .dll

Je suis retourner sur le site f-secure (et je t'assure que les copies d'écran du tuto ne sont pas les mêmes que sur le site

J'ai téléchargé un fichier qui s'est placé sur le bureau (fsbl)

Je l'ai lancé et j'ai trois rapports distincts :

les voici :
Fichier : fsbl-20070920190010
09/20/07 21:00:10 [Info]: BlackLight Engine 1.0.64 initialized
09/20/07 21:00:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/20/07 21:00:10 [Note]: 7019 4
09/20/07 21:00:10 [Note]: 7005 0
09/20/07 21:00:15 [Note]: 7007 0

Fichier : fsbl-20070920190408
09/20/07 21:04:08 [Info]: BlackLight Engine 1.0.64 initialized
09/20/07 21:04:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/20/07 21:04:08 [Note]: 7019 4
09/20/07 21:04:08 [Note]: 7005 0
09/20/07 21:04:14 [Note]: 7007 0

Fichier : fsbl-20070920190249
09/20/07 21:02:49 [Info]: BlackLight Engine 1.0.64 initialized
09/20/07 21:02:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/20/07 21:02:49 [Note]: 7019 4
09/20/07 21:02:49 [Note]: 7005 0
09/20/07 21:02:56 [Note]: 7006 0
09/20/07 21:02:56 [Note]: 7011 1620
09/20/07 21:02:56 [Note]: 7026 0
09/20/07 21:02:56 [Note]: 7026 0
09/20/07 21:02:57 [Note]: FSRAW library version 1.7.1022
09/20/07 21:03:21 [Note]: 2000 1012
09/20/07 21:04:00 [Note]: 7007 0

Tu y voies plus clair ?

Ajout du 20-09-2007 à 21:47:

En attendant une réponse j'a irelancé une analyse complète avec AVG Anti-spyware (mais pas en mode sans échec)

Il a encore trouvé 8 objets => j'ai appliqué toutes les actions (supprimer)

Voici le rapport (si ça peut aider )

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 21:43:01 20/09/2007

+ Résultat de l'analyse:

C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012821.exe -> Downloader.Delf.bxu : Nettoyé.
C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012819.exe -> Dropper.Small.baa : Nettoyé.
C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012820.exe -> Dropper.Small.baa : Nettoyé.
C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012823.exe -> Not-A-Virus.SpamTool.Win32.Agent.bf : Nettoyé.
C:\Documents and Settings\jeanjak\Cookies\jeanjak@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.22:C:\Documents and Settings\jeanjak\Application Data\Mozilla\Firefox\Profiles\jnbe4l6f.default\coo kies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.23:C:\Documents and Settings\jeanjak\Application Data\Mozilla\Firefox\Profiles\jnbe4l6f.default\coo kies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.24:C:\Documents and Settings\jeanjak\Application Data\Mozilla\Firefox\Profiles\jnbe4l6f.default\coo kies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.25:C:\Documents and Settings\jeanjak\Application Data\Mozilla\Firefox\Profiles\jnbe4l6f.default\coo kies.txt -> TrackingCookie.Weborama : Nettoyé.
C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012818.dll -> Trojan.Agent.aqo : Nettoyé.
C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012822.exe -> Trojan.Agent.bea : Nettoyé.

Fin du rapport

ProfilconfigCiter

jacko17
Envoyé le 20-09-2007 à 22:09

Inscrit le 29-06-2007

18 ans.

De l'élitre pétanqcubiede5l ( chevalier de la chope )
Messages :
5548

En ligne

Télécharger sur le bureau

Otmoveit.exe

= Copier ce texte en gras

c:\windows\system32\totour.exe

= Double-clic sur OTMoveIt.exe
= Dans le cadre de Gauche ==> clic-droit ==> coller
= Clic MoveIt!
= si redémarrage demandé==> Clic : YES
= Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à copier/coller dans la réponse
-------

redémarrer le PC et dire si encore des problèmes

[ Ce message a été modifié par : : jacko17 le 20-09-2007 22:09 ]

ProfilconfigEmail www Citer

jjf21
Envoyé le 21-09-2007 à 07:31

Inscrite le 02-04-2007

De Bourgogne
Messages :
28

Hors ligne

Bonjour,

Voici les résultats et j'ai l'impression qu'ils ne sont pas concluants.

OTmoveIt n'a pas demandé de redémarrage

File/Folder c:\windows\system32\totour.exe not found.

Created on 09/21/2007 07:25:22

Et pourtant après le redémarrage, j'ai toujours le virus et toujours sous le même chemin !

Merci d'avance pour la suite

ProfilconfigCiter

jacko17
Envoyé le 21-09-2007 à 07:48

Inscrit le 29-06-2007

18 ans.

De l'élitre pétanqcubiede5l ( chevalier de la chope )
Messages :
5548

En ligne

En fasant des recherches j'ai trouvé ceci

- redémarrer en mode sans échec
- effacer cp1041.nls sur c:\
- récupérer un fichier ndis.sys sain (taille 180 ko environ, le corrompu fait 257 ko). On peut aussi dupliquer celui qui est contenu dans c:\windows\system32\dllcache si il est sain.
- placer le nouveau ndis.sys sur c:\windows\system32\drivers
- redémarrer en mode normal

Source

ProfilconfigEmail www Citer

jjf21
Envoyé le 21-09-2007 à 08:31

Inscrite le 02-04-2007

De Bourgogne
Messages :
28

Hors ligne

Avant de partir travailler j'ai recherché le fichier ndis.sys pour voir sa taille et il fait
179 Ko

Je fais quand même la manip demandée ?

Merci d'avance

ProfilconfigCiter

land3
Envoyé le 21-09-2007 à 09:15

Inscrit(e) le 28-06-2006
Messages :
6622

Hors ligne

bonjour

fait ceci

Démarrer==> Exécuter ==> Ecrire :regedit

presser :CTRL et F

Ecrire ou copier/coller : totour
clic : Suivant
Si trouvé ==> clic-droit et supprimer
relancer la recherche jusqu'à l'annonce de FIN
---------
Si tu as trouvé quelque chose => redémarrer le Pc

dans tous les cas donner le résultat

23-09-2007, 00:02	#1 (permalink)
mihtar Junior Member Bağlantı Tarihi: Oct 2005 Mesajlar: 12 Teşekkür: 0 0 Mesajda 0 Teşekkürü var.	virus Win32:Agent-HKL [Trj] yeni bir virüs ve çözümü virus Win32:Agent-HKL [Trj] Modéré par : » neo0286 - pkable - SETI - sickness ( 1 \| 2 ) Suivant >>> Auteur Résultats ( Réponses reçues: 16 ) jjf21 Envoyé le 20-09-2007 à 19:16 Inscrite le 02-04-2007 De Bourgogne Messages : 28 Hors ligne Bonjour à tous, Je me suis débarrassée avec succès d'un premier virus (Win32 agent-bsu [trj]) mais voilà que j'ai encore sur les bras un nouveau cheval de troie détecté par Avast le : Win32 agent-bsu [trj] Son chemin : c:\windows\system32\totour.exe Pour essayer de gagner du temps avant de vous redemander des conseils, j'ai suivi les mêmes consignes (et dans le même ordre) que pour le précédent virus. Je vous joins les différents rapports de mes actions : 1er Hijacthis : Logfile of HijackThis v1.99.1 Scan saved at 07:53:33, on 20/09/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\SuperCopier2\SuperCopier2.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\OpenOffice.org 2.2\program\soffice.exe C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN C:\WINDOWS\ASUSKBService.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\Documents and Settings\jeanjak\Bureau\Win32Agent-HKL [Trj]\test.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/ServicesAcces.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\ltsy.dll O23 - Service: ASUS *board Service (ASUSboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ASUSKBService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati Hot Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe Ensuite le rapport Sdfix : SDFix: Version 1.104 Run by jeanjak on 20/09/2007 at 08:21 Microsoft Windows XP [version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Trojan Files Found: Could Not Remove C:\WINDOWS\SYSTEM32\NTKRNLMP.EXE Could Not Remove C:\WINDOWS\SYSTEM32\NTKRPAMP.EXE Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Rootkit Srizbi/Agent.EA Registry Value Detected, Use a Rootkit scanner ! Authorized Application * Export: [H**_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe::enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe::Enabled:Windows Live Messenger 8.1" "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe::Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\WINDOWS\\system32\\windwdnq.exe"="C:\\WINDOWS \\system32\\windwdnq.exe::Enabled:Server" "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe::Enabled:Windows Messenger" "C:\\WINDOWS\\Explorer.EXE"="C:\\WINDOWS\\Explorer .EXE::Enabled:Explorer" [H*_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe::enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe::Enabled:Windows Live Messenger 8.1" "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe::Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\WINDOWS\\system32\\windwdnq.exe"="C:\\WINDOWS \\system32\\windwdnq.exe::Enabled:Server" Remaining Files: --------------- C:\WINDOWS\SYSTEM32\NTKRNLMP.EXE Found C:\WINDOWS\SYSTEM32\NTKRPAMP.EXE Found File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes: C:\Program Files\Picasa2\setup.exe C:\WINDOWS\system32\igflisyi.exe C:\_OTMoveIt\MovedFiles\WINDOWS\system32\bcdheeld. exe C:\_OTMoveIt\MovedFiles\WINDOWS\system32\bvfrs32.e xe C:\_OTMoveIt\MovedFiles\WINDOWS\system32\dopesl.ex e C:\_OTMoveIt\MovedFiles\WINDOWS\system32\plstsme.e xe C:\_OTMoveIt\MovedFiles\WINDOWS\system32\vcldmeas. exe C:\_OTMoveIt\MovedFiles\WINDOWS\system32\windwdnq. exe Finished! Le rapport de Navilog Search Navipromo version 3.0.4 commencé le 20/09/2007 à 8:25:11,67 !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! !!! Poster ce rapport sur le forum pour le faire analyser !!! !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!! Fix lancé depuis C:\Program Files\navilog1 Mise a jour le 16.09.2007 a 13h00 by IL-MAFIOSO Microsoft Windows XP [version 5.1.2600] Internet Explorer : 6.0.2900.2180 Recherche Programmes installes * * Recherche dossiers dans C:\WINDOWS * * Recherche dossiers dans C:\Program Files * * Recherche dossiers dans C:\Documents and Settings\All Users\Application Data * * Recherche dossiers dans C:\Documents and Settings\jeanjak\Application Data * * Recherche avec BlackLight Engine/F-secure * BlackLight Engine est un produit de F-secure, pour + d'infos : F-Secure Blacklight > F-Secure Blacklight F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR ====================================== Copyright 2005-2006 F-Secure Corporation. All rights reserved. This is a beta version. It will expire on 1st of October, 2007. Version information: 2.2.1064. [+] Started on 09/20/07 at 08:25:14. [+] Initializing ... [+] Starting scan, press Ctrl-C to abort. [+] Scanning for hidden items ............... [+] Scan complete. [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming. [+] Exited on 09/20/07 at 08:25:37 (return code = 0). * Recherche avec GenericNaviSearch * !!! Tous Ces résultats peuvent révéler des fichiers légitimes !!! !!! A verifier impérativement avant toute suppression manuelle !!! * Scan C:\WINDOWS\system32 * Fichiers trouvés : Aucun Fichier trouvé ! Fichiers suspects : Aucun Fichier suspect trouvé ! * Recherche fichiers * * Recherche cles registre * * Module de Recherche complémentaire * (Recherche fichiers spécifiques) 1)Recherche fichiers connus: 2)Recherche Heuristique : 3)Recherche Certificats : Certificat Egroup absent ! * Analyse Terminé le 20/09/2007 à 8:25:55,60 * Le rapport Ccleaner 20/09/2007 a 8:28:34,25 * Recherche des fichiers dans C: * Recherche des fichiers dans C:\WINDOWS\ * Recherche des fichiers dans C:\WINDOWS\system32 C:\WINDOWS\system32\attrib.dll FOUND * Recherche des fichiers dans C:\Program Files * Fin du rapport ! Le rapport AVG Antyware (mode sans échec) --------------------------------------------------------- AVG Anti-Spyware - Rapport d'analyse --------------------------------------------------------- + Créé à: 18:54:16 20/09/2007 + Résultat de l'analyse: C:\WINDOWS\system32\KB_963491.exe -> Downloader.Delf.bxu : Nettoyé. C:\WINDOWS\system32\KB02937368.exe -> Dropper.Small.baa : Nettoyé. C:\WINDOWS\system32\KB63476365.exe -> Dropper.Small.baa : Nettoyé. C:\WINDOWS\system32\KB60978402.exe -> Not-A-Virus.SpamTool.Win32.Agent.bf : Nettoyé. C:\Documents and Settings\jeanjak\Cookies\jeanjak@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé. C:\WINDOWS\system32\attrib.dll -> Trojan.Agent.aqo : Nettoyé. C:\WINDOWS\twain_32.exe -> Trojan.Agent.bea : Nettoyé. Fin du rapport Et enfin le dernier Hijackthis Logfile of HijackThis v1.99.1 Scan saved at 18:57:39, on 20/09/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\SuperCopier2\SuperCopier2.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\OpenOffice.org 2.2\program\soffice.exe C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN C:\WINDOWS\ASUSKBService.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\jeanjak\Bureau\Win32Agent-HKL [Trj]\test.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/ServicesAcces.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\ltsy.dll O23 - Service: ASUS board Service (ASUSboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ASUSKBService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati Hot* Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe J'attends votre aide avec impatience, car même après toutes ces actions, j'ai toujours mon virus ! D'avance je vous remercie de l'aide que vous allez certainement m'apporter ProfilconfigCiter jacko17 Envoyé le 20-09-2007 à 20:21 Inscrit le 29-06-2007 18 ans. De l'élitre pétanqcubiede5l ( chevalier de la chope ) Messages : 5548 En ligne je t'ai fais utiliser Gmer, rustbfix,clean, et il reviens a chaque fois Supprime dans C:\WINDOWS\system32\attrib.dll ensuite Télécharge F-secure Lance-le en double-cliquant sur le fichier blbeta.exe Accepte la licence, et clique enfin sur "Scan" Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe copie/colle le si probleme voir l'aide ci dessous --> Tuto F-secure (utilisation) ProfilconfigEmail www Citer jjf21 Envoyé le 20-09-2007 à 20:45 Inscrite le 02-04-2007 De Bourgogne Messages : 28 Hors ligne Bonsoir, Sous C:\Windows\System32, je n'ai pas de fichier attrib.dll J'ai juste un fichier Attrib (l'icône c'est un rectangle blanc avec une bande bleue en haut) Je le supprime ? Tu vas dire que je pousse un peu mais sur le site F_SECURE il n'y a pas de fichier blbeta.exe à charger (j'ai regardé aussi le tuto) Il n' y a que des fichiers fsblc.exe ! [ Ce message a été modifié par : : jjf21 le 20-09-2007 20:50 ] ProfilconfigCiter jacko17 Envoyé le 20-09-2007 à 20:55 Inscrit le 29-06-2007 18 ans. De l'élitre pétanqcubiede5l ( chevalier de la chope ) Messages : 5548 En ligne il faut tu telecharge f-secure pas blbeta ProfilconfigEmail www Citer jjf21 Envoyé le 20-09-2007 à 21:11 Inscrite le 02-04-2007 De Bourgogne Messages : 28 Hors ligne Bon, J'ai quand même supprimé le dossier attrib, même s'il n'avait pas l'extension .dll Je suis retourner sur le site f-secure (et je t'assure que les copies d'écran du tuto ne sont pas les mêmes que sur le site J'ai téléchargé un fichier qui s'est placé sur le bureau (fsbl) Je l'ai lancé et j'ai trois rapports distincts : les voici : Fichier : fsbl-20070920190010 09/20/07 21:00:10 [Info]: BlackLight Engine 1.0.64 initialized 09/20/07 21:00:10 [Info]: OS: 5.1 build 2600 (Service Pack 2) 09/20/07 21:00:10 [Note]: 7019 4 09/20/07 21:00:10 [Note]: 7005 0 09/20/07 21:00:15 [Note]: 7007 0 Fichier : fsbl-20070920190408 09/20/07 21:04:08 [Info]: BlackLight Engine 1.0.64 initialized 09/20/07 21:04:08 [Info]: OS: 5.1 build 2600 (Service Pack 2) 09/20/07 21:04:08 [Note]: 7019 4 09/20/07 21:04:08 [Note]: 7005 0 09/20/07 21:04:14 [Note]: 7007 0 Fichier : fsbl-20070920190249 09/20/07 21:02:49 [Info]: BlackLight Engine 1.0.64 initialized 09/20/07 21:02:49 [Info]: OS: 5.1 build 2600 (Service Pack 2) 09/20/07 21:02:49 [Note]: 7019 4 09/20/07 21:02:49 [Note]: 7005 0 09/20/07 21:02:56 [Note]: 7006 0 09/20/07 21:02:56 [Note]: 7011 1620 09/20/07 21:02:56 [Note]: 7026 0 09/20/07 21:02:56 [Note]: 7026 0 09/20/07 21:02:57 [Note]: FSRAW library version 1.7.1022 09/20/07 21:03:21 [Note]: 2000 1012 09/20/07 21:04:00 [Note]: 7007 0 Tu y voies plus clair ? Ajout du 20-09-2007 à 21:47: En attendant une réponse j'a irelancé une analyse complète avec AVG Anti-spyware (mais pas en mode sans échec) Il a encore trouvé 8 objets => j'ai appliqué toutes les actions (supprimer) Voici le rapport (si ça peut aider ) --------------------------------------------------------- AVG Anti-Spyware - Rapport d'analyse --------------------------------------------------------- + Créé à: 21:43:01 20/09/2007 + Résultat de l'analyse: C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012821.exe -> Downloader.Delf.bxu : Nettoyé. C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012819.exe -> Dropper.Small.baa : Nettoyé. C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012820.exe -> Dropper.Small.baa : Nettoyé. C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012823.exe -> Not-A-Virus.SpamTool.Win32.Agent.bf : Nettoyé. C:\Documents and Settings\jeanjak\Cookies\jeanjak@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé. :mozilla.22:C:\Documents and Settings\jeanjak\Application Data\Mozilla\Firefox\Profiles\jnbe4l6f.default\coo kies.txt -> TrackingCookie.Smartadserver : Nettoyé. :mozilla.23:C:\Documents and Settings\jeanjak\Application Data\Mozilla\Firefox\Profiles\jnbe4l6f.default\coo kies.txt -> TrackingCookie.Smartadserver : Nettoyé. :mozilla.24:C:\Documents and Settings\jeanjak\Application Data\Mozilla\Firefox\Profiles\jnbe4l6f.default\coo kies.txt -> TrackingCookie.Smartadserver : Nettoyé. :mozilla.25:C:\Documents and Settings\jeanjak\Application Data\Mozilla\Firefox\Profiles\jnbe4l6f.default\coo kies.txt -> TrackingCookie.Weborama : Nettoyé. C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012818.dll -> Trojan.Agent.aqo : Nettoyé. C:\System Volume Information\_restore{1FB025A4-A3A0-4E85-88B7-38DFE704867E}\RP26\A0012822.exe -> Trojan.Agent.bea : Nettoyé. Fin du rapport ProfilconfigCiter jacko17 Envoyé le 20-09-2007 à 22:09 Inscrit le 29-06-2007 18 ans. De l'élitre pétanqcubiede5l ( chevalier de la chope ) Messages : 5548 En ligne Télécharger sur le bureau Otmoveit.exe = Copier ce texte en gras c:\windows\system32\totour.exe = Double-clic sur OTMoveIt.exe = Dans le cadre de Gauche ==> clic-droit ==> coller = Clic MoveIt! = si redémarrage demandé==> Clic : YES = Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à copier/coller dans la réponse ------- redémarrer le PC et dire si encore des problèmes [ Ce message a été modifié par : : jacko17 le 20-09-2007 22:09 ] ProfilconfigEmail www Citer jjf21 Envoyé le 21-09-2007 à 07:31 Inscrite le 02-04-2007 De Bourgogne Messages : 28 Hors ligne Bonjour, Voici les résultats et j'ai l'impression qu'ils ne sont pas concluants. OTmoveIt n'a pas demandé de redémarrage File/Folder c:\windows\system32\totour.exe not found. Created on 09/21/2007 07:25:22 Et pourtant après le redémarrage, j'ai toujours le virus et toujours sous le même chemin ! Merci d'avance pour la suite ProfilconfigCiter jacko17 Envoyé le 21-09-2007 à 07:48 Inscrit le 29-06-2007 18 ans. De l'élitre pétanqcubiede5l ( chevalier de la chope ) Messages : 5548 En ligne En fasant des recherches j'ai trouvé ceci - redémarrer en mode sans échec - effacer cp1041.nls sur c:\ - récupérer un fichier ndis.sys sain (taille 180 ko environ, le corrompu fait 257 ko). On peut aussi dupliquer celui qui est contenu dans c:\windows\system32\dllcache si il est sain. - placer le nouveau ndis.sys sur c:\windows\system32\drivers - redémarrer en mode normal Source ProfilconfigEmail www Citer jjf21 Envoyé le 21-09-2007 à 08:31 Inscrite le 02-04-2007 De Bourgogne Messages : 28 Hors ligne Avant de partir travailler j'ai recherché le fichier ndis.sys pour voir sa taille et il fait 179 Ko Je fais quand même la manip demandée ? Merci d'avance ProfilconfigCiter land3 Envoyé le 21-09-2007 à 09:15 Inscrit(e) le 28-06-2006 Messages : 6622 Hors ligne bonjour fait ceci Démarrer==> Exécuter ==> Ecrire :regedit presser :CTRL et F Ecrire ou copier/coller : totour clic : Suivant Si trouvé ==> clic-droit et supprimer relancer la recherche jusqu'à l'annonce de FIN --------- Si tu as trouvé quelque chose => redémarrer le Pc dans tous les cas donner le résultat

Konu Araçları
Yazıcı Görüntüsünü Göster Bu Sayfayı E-mail İle Gönder
Görüntüleme Modu
Switch to Linear Mode Switch to Hybrid Mode Threaded Mode

Bu Konuyu İzleyen Aktif Kullanıcılar : 1 (0 üye ve 1 misafir)