Sujet Précédent Sujet Suivant

Trojan BAT Agent vf peux t on m'aider?

Résolu/Fermé
didier6526 Messages postés 143 Date d'inscription mardi 1 janvier 2008 Statut Membre Dernière intervention 8 juin 2022 - 28 févr. 2010 à 21:31
didier6526 Messages postés 143 Date d'inscription mardi 1 janvier 2008 Statut Membre Dernière intervention 8 juin 2022 - 2 mars 2010 à 18:59
Bonjour,
mes momes m'ont attrapé le trojan BAT Agent vf

quelqu'un peut il m'aider à m'en débarasser?

j'ai fait un scan avec hijackthis, voilà le résultat

Merci d'avance

Didier

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:22:22, on 28/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\RunOnce: [Shockwave Updater] "C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~2.EXE" -Update -1103472 -"Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8 (.NET CLR 3.5.30729)" -"http://www8.agame.com/games/shockwave/b/boarder_xl/jeu_fr/boarder_xl_jeu_fr.html"
O4 - Startup: REMINDER.lnk = C:\Program Files\agenda reminder\REMINDER.EXE
O4 - Startup: winesm32.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c9622529cfbf04) (gupdate1c9622529cfbf04) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
A voir également:

8 réponses

Réponse 1 / 8
fabul Messages postés 38586 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 21 septembre 2024 5 303
28 févr. 2010 à 21:58
Bonjour,

Je ne connais pas nécessairement le Trojan BAT Agent vf,si tu peux,(pas obligatoire) donne plus de détails sur l'endroit ou les endroits détecté, le nom du ou des fichiers dans ta prochaine réponse.

Il est possible que ce soit assez simple a désinfecter,comme il est aussi possible que non,on verra.

Télécharge RegRun Reanimator (Par Greatis Software).

Installe le.

Clic sur scan for viruses.

Clic sur scan windows startup.

Coche la case "Use deep level scanning once".

Clic sur "Make scan now".

Clic sur la flèche verte "Fix problems".

Si il propose Regguard,répond Non,ou peu importe,c'est a ta discretion.

Clic-droit sur le nom du premier item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le premier résultat dans un fichier nommé 1.txt (Par défaut dans "Mes Documents")

Clic sur la flèche verte (en haut a droite) pour l'item suivant

Clic-droit sur le nom du deuxième item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le deuxième résultat dans un fichier nommé 2.txt

Ainsi de suite jusqu'au dernier ensuite,choisit "Exit" quand il te le sera proposé.

Et poste les résultats contenus dans tous les fichiers 1.txt 2.txt 3.txt....
0
Réponse 2 / 8
didier6526 Messages postés 143 Date d'inscription mardi 1 janvier 2008 Statut Membre Dernière intervention 8 juin 2022 4
1 mars 2010 à 21:27
salut
ça commence à être le bazar, je n'ai plus de connexion internet sur le fixe
heureusement qu'il y a un portable.
j'ai 4 fichiers texte

merci
didier

1.txt
Item Name: D:\desktop.ini
Author: Unknown
Related File: D:\desktop.ini
Type: Autorun.inf

2.txt
Item Name: Notepad++
Author: Burgaud.com
Related File: C:\Program Files\Notepad++\nppcm.dll
Type: Context Menu Handlers

3.txt
Item Name: winesm32.exe
Author: Unknown
Related File: C:\Documents and Settings\Fadiflomaya.DOUDOU\Menu Démarrer\Programmes\Démarrage\winesm32.exe
Type: Startup Folder

4.txt
Item Name: BootExecute
Author: Unknown
Related File: autocheck xmnt2002 /bat="C:\WINDOWS\TEMP\PQ_BATCH.PQB" /win="C:\WINDOWS" /dbg="C:\WINDOWS\TEMP\PQ_DEBUG.TXT" /ver=262144 /prd="PartitionMagic"\n autocheck autochk *<BR>
Type: Bootexecute
0
Réponse 3 / 8
fabul Messages postés 38586 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 21 septembre 2024 5 303
1 mars 2010 à 21:35
Ceci semble est un malware:

Item Name: winesm32.exe
Author: Unknown
Related File: C:\Documents and Settings\Fadiflomaya.DOUDOU\Menu Démarrer\Programmes\Démarrage\winesm32.exe
Type: Startup Folder

Mais avant,As tu utilisé partition magique récamment?

0
Réponse 4 / 8
didier6526 Messages postés 143 Date d'inscription mardi 1 janvier 2008 Statut Membre Dernière intervention 8 juin 2022 4
1 mars 2010 à 21:37
mon ordi a été partitionné avec partition magic il y a 2 ans environ et depuis je n'y ai plus touché

merci
didier
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
fabul Messages postés 38586 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 21 septembre 2024 5 303
1 mars 2010 à 21:44
Crée un nouveau fichier.txt et renomme le nouveau fichier.REG

Clic droit dessus et choisit "Modifier",copie ce qu'il y a ci dessous et clic dessus.

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):61,75,74,6f,63,68,65,63,6b,20,61,75,74,6f,63,68,6b,20,2a,\
00,00

Ensuite,refait l'analyse et choisit "Get it out" et confirme pour cet élément et clic sur "Reboot" a la fin:

Item Name: winesm32.exe
Author: Unknown
Related File: C:\Documents and Settings\Fadiflomaya.DOUDOU\Menu Démarrer\Programmes\Démarrage\winesm32.exe
Type: Startup Folder

L'ordinateur redémarrera et analysera avant l'apparition du bureau,si quelque chose de nouveau est détecté,donne moi les résultats.
0
Réponse 6 / 8
didier6526 Messages postés 143 Date d'inscription mardi 1 janvier 2008 Statut Membre Dernière intervention 8 juin 2022 4
1 mars 2010 à 22:20
salut
voilà la suite

6.txt
Item Name: BrPar
Author:
Related File: \SystemRoot\System32\drivers\BrPar.sys
Type: Services detected by Partizan

7.txt
Item Name: winesm32.exe.del
Author: Unknown
Related File: C:\Documents and Settings\Fadiflomaya.DOUDOU\Menu Démarrer\Programmes\Démarrage\winesm32.exe.del
Type: Startup Folder

au sujet de winesm32.exe.del mon antivirus a détecté le problème mais je crois qu'il n'a rien fait

merci
didier
0
Réponse 7 / 8
fabul Messages postés 38586 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 21 septembre 2024 5 303
1 mars 2010 à 22:27
BrPar.sys = Brother Parallel Class Driver c'est normal,

"winesm32.exe" a été renomé "winesm32.exe.del" par Reanimator,tu peux donc le supprimer manuellement sans problème.

Si tu veux désinstaller Reanimator,utilise Uninstall Partizan dans le programme avant de le désinstaller.

Fait une analyse complète avec Malwarebytes,il devra ètre mis a jour avant.

Donne moi un retour ou si le problème est résolu,coche la case résolu.
0
Réponse 8 / 8
didier6526 Messages postés 143 Date d'inscription mardi 1 janvier 2008 Statut Membre Dernière intervention 8 juin 2022 4
2 mars 2010 à 18:59
salut
tout a l'air de remarcher
malwarebyte a viré des cochonneries
un deuxième scan ne retrouve rien
j'ai juste eu à réinstaller un certain nombre de pilotes

un énorme merci

didier
0

Discussions similaires

One piece Kai vf
Khyzze -
lajij -

1 réponse
One Piece Kai en streaming ?
Narutimate24 -
Corba -

13 réponses
QuickShare c'est quoi ce truc
edelweiss2604 -
edelweiss2604 -

41 réponses
Boucle sur la première diapositive d'une présentation
ND83 -
ndubau -

3 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses