Trojan

Nini -  
 Utilisateur anonyme -
bonjour a tous;
voila j ai un tit soucis de trojan !
antivir me detecte 51 detections du nom de TR/Agent.CS.1
des j ai allumer l ordi j ai ete bombardé de message d alertes et donc ja i du desactiver l antivirus pr pouvoir faire quelque chose !
ill le situe sur une dll <preuve a l appui:
11/05/2005,18:46:32 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
Unable to move the file to the quarantine directory:
0x00000020 - Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
11/05/2005,21:35:13 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,21:34:22 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,21:49:54 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,21:49:54 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,21:58:02 ---------------------------------------------------------
11/05/2005,21:58:02 [INIT] The AVGuard Service is starting.
11/05/2005,21:58:03 [INIT] Keyfile contains a valid license. The AVGuard service will run as a fully functional version!
11/05/2005,21:58:11 [LOGON] Connection request by remote computer. Establishing secure communication channel.
11/05/2005,21:58:11 [LOGON] Connection to computer 127.0.0.1 established successfully. Session ID = 0xaaaad6c9.
11/05/2005,21:59:06 [INFO] Start Filter Device.
11/05/2005,21:59:06 AntiVirService Version: 6.29.00.03 AVE Version 6.30.0.12 VDF Version: 6.30.0.170
11/05/2005,21:59:06 AVGuard has been started successfully!
11/05/2005,22:00:05 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
Unable to move the file to the quarantine directory:
0x00000020 - Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
11/05/2005,22:02:47 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:03:10 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:03:28 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:04:10 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
Unable to delete the file:
0x00000020 - Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
11/05/2005,22:04:52 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:10:39 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:30:43 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
Unable to move the file to the quarantine directory:
0x00000020 - Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
11/05/2005,22:31:18 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:31:59 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:32:09 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:32:37 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:32:50 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:33:09 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:33:25 [LOGON] Connection request by remote computer. Establishing secure communication channel.
11/05/2005,22:33:25 [LOGON] Connection to computer 127.0.0.1 established successfully. Session ID = 0xaa8a6aa2.
11/05/2005,22:33:22 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:33:56 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
Unable to move the file to the quarantine directory:
0x00000020 - Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
11/05/2005,22:34:05 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:34:16 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
Unable to move the file to the quarantine directory:
0x00000020 - Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
11/05/2005,22:34:22 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
Unable to move the file to the quarantine directory:
0x00000020 - Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
11/05/2005,22:34:24 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:34:34 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:34:49 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:34:58 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:35:07 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
Unable to move the file to the quarantine directory:
0x00000020 - Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
11/05/2005,22:35:14 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:35:29 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:35:45 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:35:54 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:36:08 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:36:22 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:36:42 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:36:58 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:37:11 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:37:25 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:37:40 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:37:48 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:37:59 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:38:09 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:38:27 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:38:38 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
Unable to move the file to the quarantine directory:
0x00000020 - Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
11/05/2005,22:39:01 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:39:11 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
Unable to delete the file:
0x00000020 - Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
11/05/2005,22:39:26 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:39:36 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
Unable to move the file to the quarantine directory:
0x00000020 - Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
11/05/2005,22:40:15 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:40:17 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:40:20 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:40:23 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:40:25 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:40:29 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL
11/05/2005,22:40:52 [INFO] Stop Filter Device.
11/05/2005,22:40:45 WARNING: The Trojan horse TR/Agent.CS.1!
C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL

Impossible de supprimer cette dll en mode normal ! j ai pas encore essayer en mode sans echec ! en mode normal voici le message;:
impossiblee de supprimer cmdlog cette ressource est utilisée par une autre personne ou un autre programme ! quelqu un est connecté a mon pc? que faire svp merci

39 réponses

  • 1
  • 2
Résumé de la discussion

Le problème décrit est une détection du Trojan TR/Agent.CS.1 par l’antivirus et des alertes récurrentes concernant CMDLOG.DLL dans Windows ServicePackFiles, le fichier restant inaccessible car utilisé par un autre processus. Pour y remédier, les solutions proposées incluent de déconnecter le PC du réseau, de désactiver temporairement la restauration système et d’utiliser ProcessXP pour tuer les threads srun.dll liés à winlogon.exe et à explorer.exe, puis d’exécuter HijackThis. Ensuite, Pocket KillBox peut être utilisé pour supprimer CMDLOG.DLL sur reboot et HijackThis aide à corriger des entrées suspectes comme O2 et O20 avant un redémarrage. En cas de persistance, réactiver TeaTimer et la restauration système après contrôle, puis partager un log HijackThis pour validation.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. petit-pere Messages postés 148 Statut Membre 11
     
    je n'ai rien trouvé sur ce virus, ni sur google ni sur les sites de différents éditeurs d'antivirus dont antivir.de ... ce qui ne veut pas dire que c'est de la daube, loin de là

    donc je propose de redémarrer en mode sans échec et de virer le fichier C:\WINDOWS\SERVICEPACKFILES\CMDLOG.DLL

    ne pas oublier de réactiver antivir

    ce serait aussi utile de lancer un scan avec hijackthis et de le poster ici pour vérification

    bon courage
    0
  2. Nini
     
    Salut,

    merci de mre repondre !

    pour ce qui est de le supprimer en mode sans echec, tjr pareils tjr le meme message !

    Pour le log, apparemment le voila a la ligne 020 qu en penses tu?

    Logfile of HijackThis v1.99.1
    Scan saved at 17:01:04, on 12/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\wanmpsvc.exe
    C:\windows\system\hpsysdrv.exe
    C:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\HP\KBD\KBD.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\Program Files\Real\RealPlayer\RealPlay.exe
    C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
    C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\AVPersonal\AVSched32.EXE
    C:\PROGRA~1\FICHIE~1\AOL\AOLSPY~1\AOLSP Scheduler.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\AOL 9.0a\waol.exe
    C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
    C:\Program Files\AOL 9.0a\shellmon.exe
    C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
    C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr10.hpwis.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr10.hpwis.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\ServicePackFiles\cmdlog.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
    O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
    O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
    O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\FICHIE~1\AOL\AOLSPY~1\AOLSP Scheduler.exe"
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
    O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
    O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0c\aoltray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab
    O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR_XP.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1B3D55E8-2565-4A51-A094-32EBFF549A5F}: NameServer = 205.188.146.145
    O20 - Winlogon Notify: cmdlog - C:\WINDOWS\ServicePackFiles\cmdlog.dll
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

    PS: j ai antivir, ad aware, spybot, zone alarme et chaos shredder

    a+
    0
  3. Utilisateur anonyme
     
    salut nini

    ton trojan agent cs est aussi appelé vundo b, vundo h et il n'est pas facile a virer.

    Plusieurs méthodes pour le virer, la plus simple mais qui ne marche pas tout le temps c'est le fix de symantec:
    http://securityresponse.symantec.com/avcenter/FxVundoB.exe

    * Désactive la restauration systeme
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".
    (accepte le redemarrage).

    * Redemarre en mode sans echecs
    Laisse passer l'écran du bios, puis tapote sur la touche F8.
    Choisis le mode sans échec dans les options et valide avec entrée.

    * Lance FxVundoB.exe

    * Redemarre normallement

    * Relance une seconde fois FxVundoB.exe

    Reposte un log hijackthis, et si ca n'a pas marché on essayera autre chose

    a+
    0
    1. Cuki Messages postés 2 Statut Membre
       
      Gros soucis avec le trojan Agent Cs1
      J'ai lu vos conseils, sauvé un hiijack log que je copie ci-dessous, mais je vulais savoir si vous pouvez me dire ce que je dois faire avec ça!

      Merci (c' est en italien...):

      Logfile of HijackThis v1.99.1
      Scan saved at 23.33.48, on 12/05/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Programmi\AVPersonal\AVGUARD.EXE
      C:\Programmi\AVPersonal\AVWUPSRV.EXE
      C:\WINDOWS\system32\HPConfig.exe
      C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
      C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Programmi\HPQ\One-Touch\OneTouch.EXE
      C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
      C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
      C:\Programmi\Internet Explorer\iexplore.exe
      C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
      C:\WINDOWS\System32\hphmon05.exe
      C:\WINDOWS\system32\carpserv.exe
      C:\Programmi\File comuni\Real\Update_OB\realsched.exe
      C:\Programmi\QuickTime\qttask.exe
      C:\Programmi\AVPersonal\AVGNT.EXE
      C:\Programmi\Skype\Phone\Skype.exe
      C:\Programmi\NETGEAR\MA111v2 USB Adapter\MA111v2.exe
      C:\Programmi\CASIO\Photo Loader\Plauto.exe
      C:\DOCUME~1\AMIGHE~1\IMPOST~1\Temp\Directory temporanea 1 per hijackthis_199[1].zip\HijackThis.exe
      C:\Programmi\AVPersonal\GUARDGUI.EXE

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\AppPatch\mfcabr.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [QT4HPOT] C:\Programmi\HPQ\One-Touch\OneTouch.EXE
      O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [HP Software Update] "c:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
      O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
      O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [CARPService] carpserv.exe
      O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
      O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
      O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
      O4 - Global Startup: MA111 Configuration Utility.lnk = C:\Programmi\NETGEAR\MA111v2 USB Adapter\MA111v2.exe
      O4 - Global Startup: Photo Loader residente.lnk = C:\Programmi\CASIO\Photo Loader\Plauto.exe
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
      O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
      O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
      O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
      O8 - Extra context menu item: Translate into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
      O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
      O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
      O20 - Winlogon Notify: mfcabr - C:\WINDOWS\AppPatch\mfcabr.dll
      O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
      O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
      O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
      O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    juste une question auparavant, ne suffit il pas juste de supprimer la 020? est ce vraiment vundo?

    a+
    0
  6. Nini
     
    Bonjour,
    j ai voulu essayer en premier lieu de le lancer en mode normal(le fix)mais il n a pas trouver de trojan vundo

    Que puis je faire svp? supprimer la ligne 020?

    J espere avoir de vos nouvelles
    0
  7. Utilisateur anonyme
     
    salut nini

    supprimer la ligne 20 ne sera pas suffisant.
    Ca ne m'étonne qu'a moitié que le fix n'est rien detecté, beaucoup on eut le meme probleme.

    On peut le supprimer autrement, mais tu dois suivre la manip suivante dans l'ordre, et faire tout ce qui est indiquée.

    Imprime, ou enregistre dans le bloc note pour ne rien oublier

    Désactive la restauration systeme
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".

    et reboot le pc normalement (pas en sans echecs)

    1/

    telecharge process xp ici:
    http://www.sysinternals.com/files/procexpnt.zip

    Telecharge: Pocket Killbox ici
    http://www.downloads.subratam.org/KillBox.exe

    Désactive le temps de la manip, le Tea timer de spybot
    lance spybot >> outils >> résident
    Décoche la case résident "tea timer"
    referme spybot

    2/

    Déconnecte toi du net.
    Ferme tous les programmes en cours (média player, internet explorer, ...etc)

    Dézippe(clic droit > extraire) process xp et double clic sur processxp.exe

    * Dans la fenetre principale de processxp double clic sur winlogon.exe
    Dans la nouvelle fenetre qui s'ouvre clic sur threads
    selectionne seulement les lignes qui contiennent cmdlog.dll puis clic sur kill pour chacunes des lignes trouvées.
    une fois fait, valider avec ok

    * Dans la fenetre principale de processxp double clic sur explorer.exe
    Dans la nouvelle fenetre qui s'ouvre clic sur threads
    selectionner seulement les lignes qui contiennent cmdlog.dll puis clic sur kill pour chacunes des lignes trouvées.
    une fois fait, valider avec ok

    3/

    puis lancer hijackthis:

    clic sur "do a system scan only"

    * Cocher la case au début de ces lignes:
    O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\ServicePackFiles\cmdlog.dll
    O20 - Winlogon Notify: cmdlog - C:\WINDOWS\ServicePackFiles\cmdlog.dll

    * Valider avec fix checked

    5/

    Double clic sur killbox.exe (Pocket Killbox)

    - coche: delete on reboot
    - Dans "Full Path of File to Delete"
    copie et colle:

    C:\WINDOWS\ServicePackFiles\cmdlog.dll

    - clic sur la croix rouge
    - une fenetre va apparaitre pour confirmation clic sur YES
    - une seconde fenetre te demande si tu veux redemarrer clic sur YES

    Laisse le pc redemarrer
    recoche la case pour réactiver le tea timer de spybot
    et après reposte un log hijackthis.

    a+
    0
  8. Nini
     
    re mon cher moe,

    1/voici mon log apres les manips extremement chirurgicale:
    Logfile of HijackThis v1.99.1
    Scan saved at 20:02:31, on 12/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\wanmpsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\windows\system\hpsysdrv.exe
    C:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\HP\KBD\KBD.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\Program Files\Real\RealPlayer\RealPlay.exe
    C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
    C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\AVPersonal\AVSched32.EXE
    C:\PROGRA~1\FICHIE~1\AOL\AOLSPY~1\AOLSP Scheduler.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\AOL 9.0a\waol.exe
    C:\Program Files\AOL 9.0a\shellmon.exe
    C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
    C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 4 pour hijackthis_199.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr10.hpwis.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr10.hpwis.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
    O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
    O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
    O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\FICHIE~1\AOL\AOLSPY~1\AOLSP Scheduler.exe"
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
    O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
    O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0c\aoltray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab
    O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR_XP.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1B3D55E8-2565-4A51-A094-32EBFF549A5F}: NameServer = 205.188.146.145
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

    2/J ai reactuiver ma restauration systeme, ai je bien fait?

    3/Pour le tea timer de spybot, avant cela la case n etait pas cocher, dois je la laisser? si je comprends il effectue des controle en tant reel, alors ma question est, etant donné j ai zone alarm, dois je cocher ou decocher tea timer

    Merci de tes precieux conseils, je te revaudrais ca lol

    a++
    0
  9. Utilisateur anonyme
     
    salut nini

    Désolé pour les manips mais il est vraiment très dur à supprimer sinon, et le simple fait de fixer avec hijackthis ne suffit pas...

    Je ne le vois plus dans ton log, est ce que tu recois encores des alertes de ton antivirus ?
    Pour la restau tu as bien fais.
    Par contre à ma connaissance, pas de probleme avec le tea timer de spybot et ton firewall, après c'est toi qui vois si tu veux l'activer ou pas, mais ca serait dommage de se passer de cette fonction de spybot.

    Tu peux aussi cocher et fixer cette ligne dans hijack:

    O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR_XP.cab

    elle m'avait échappé tout à l'heure.. lol

    a++
    0
  10. Nini
     
    Merci moe, franchement tu as assurer grave,
    je n ai plus aucunes alertes concernant ceci !
    pour spybot je vais le garder alors et si j ai qqs soucis avec mon pare feu je le desactiverais !
    merci pour cette ligne a fixer

    jte dois une fier chandelle, cela avait qd meme passer a travers zone alarm.....

    Merci bcp

    a+
    0
    1. Utilisateur anonyme
       
      Si jamais tu as un soucis avec le tea timer, ne désactive surtout pas zone alarm !!!
      Il faut jamais surfer sans firewall, jamais...
      Si ca arrive désactive le tea timer plutot.

      a+
      0
  11. Utilisateur anonyme
     
    salut moe,
    en un mot: remarquable !
    dis moi la manip faite au dessu c est a utiliser ds quel cas? lorsque une dll doit etre supprimé?

    a++
    0
  12. Utilisateur anonyme
     
    salut regis

    C'est pour vundo B, H, agent cs, en fait c'est tous les trois les memes.
    Mais il vaut mieux en premier utiliser le fix de symantec, vu que la manip comporte un risque si on "kill" les mauvaise lignes.
    En fait impossible de supprimer la dll tant que explorer.exe et winlogon.exe sont actifs meme en mode sans echec.
    Process xp, c'est un gestionnaire des taches amélioré qui permet de killer juste ce qu'il faut pour pouvoir supprimer le fichier sans avoir à arreter les 2 procéssus car sinon on peut plus rien faire.
    Balltrap obtient le meme résultat avec lm2fix.
    J'utilise process xp depuis quelques temps mais j'avoue que je ne connaissais pas cette manip, prise sur le forum du site geekstogo.

    voilà

    a+
    0
  13. Utilisateur anonyme
     
    Merci chef, je retiens ! lol merci pour le cours
    0
  14. petit-pere Messages postés 148 Statut Membre 11
     
    Bravo aussi de ma part et merci pour le cours ...
    0
  15. solo
     
    bonjour,
    j'ai le même problème que nini et je suis désespérée... J'ai antivir qui me détecte à tout moment un trojan :

    C:/windows/SRUN.DLL
    Trojan horse TR\Agent.CS.1

    J'ai essayé symantec sans aucun résultat et je voulais faire les autres manip donnés par moe mais j'ai peur...je ne suis pas douée... je ne comprends pas qu'est-ce que le hijackthis... J'ai peur de faire une mauvaise manip mais d'un autre côté, j'aimerais l'essayer car j'ai vu que pour nini tout était rentré dans l'ordre. J'ai un travail important à terminer pour lundi et j'aimerais pouvoir travailler sur mon ordi ce week-end. J'attends impatiamment vos réponses.

    Vous êtes le seul forum français que j'ai trouvé en faisant une recherche sur TR\Agent.CS.1

    Une désespérée :(((
    0
  16. Utilisateur anonyme
     
    ok super tu es la bienvenue;

    pour hijack:
    télécharge hijackthis ici:
    http://www.hijackthis.de/downloads/hijackthis_199.zip
    L'aide est ici:
    http://www.zebulon.fr/articles/HijackThis.php

    Dezippz le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis
    lancez le puis:
    clic sur "do a system scan and save logfile"
    faire un copier coller du log entier sur le forum.

    *pour moe:
    dis moi le procede que tu as donner a nini, je peux faire de meme mais juste en rapplacement la dll de nini par une autre infecté?tu piges? si je remplace la dll de nini par celle de solo, est ce la solution stp?? < comme ca je pourrais le faire ici et sur l autre poste

    a+moe
    0
    1. Utilisateur anonyme
       
      salut régis

      oui, avec process xp il faut rechercher la dll des lignes 02 et 020 (c'est la meme).
      la manip pour spybot n'est pas obligatoire.
      Par contre vaut mieux utiliser killbox, plutot que de supprimer manuellement.

      a+
      0
  17. solo
     
    d'abord un grand merci regis59 d'avoir répondu :) C'est très gentil, je l'apprécie :)

    Voici ce que j'ai :

    Logfile of HijackThis v1.99.1
    Scan saved at 11:12:27, on 2005-05-13
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    C:\Program Files\NetDrive\netdrive.exe
    C:\WINDOWS\System32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\Program Files\NetDrive\wdService.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\HijackThis.exe
    C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webmasterofgoldanddiamonds.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Caro
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\srun.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    O4 - HKLM\..\Run: [WebDriveTray] C:\Program Files\NetDrive\netdrive.exe /trayicon
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - Startup: ĵµð¹Ù À©µµ¿ì ½Ã°è.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Photo Express SE Calendar Checker.lnk = D:\Ulead Photo Express 3.0 SE\CalCheck.exe
    O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - file://C:\WINDOWS\web\nvcadre.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
    O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://216.65.38.226/crack.CAB
    O20 - Winlogon Notify: srun - C:\WINDOWS\srun.dll
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
    O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Program Files\NetDrive\wdService.exe

    J'attends...
    a+
    0
  18. Utilisateur anonyme
     
    salut solo,
    je te tiens au courant, je voudrais d abord me renseigner pr pouvoir t aider !!
    je te tiens au courant ! Promis

    a+
    0
  19. solo
     
    j'attendrai et merci de prendre de ton temps pour moi :)
    0
  20. Utilisateur anonyme
     
    merci moe mais je voulais savoir en fait si la manip avec explorer.exe et winlogon.exe c etait pareil, juste e,n changeant les lignes hijack bien sur et la dll? merci d avance

    (de + en + se plaigne de ce soucis, au moins je serais le faire et grace a toi en plus !! lol)
    0
  • 1
  • 2