HELP infecté par Trojan-Spy.Win32.Goldun.nj Fermé

Question

bonjour a tous et toutes 
j'ai des problemes de PC depuis maintenand deux mois 
(rallentissement, pilotes de carte video qui saute, fichier venant se mettre tous seul sur le bureau etc ...)mais en pc justement je ni connait mais alors rien du tout
j'ai alors exploré un peu se site notament les astuces et en testant sur KASPERSKYle logiciel a trouver Trojan-Spy.Win32.Goldun.nj
merci d'avance a celui qui me donnera un coup de main
ci joint le rapport de KASPERSKY 


ON-LINE SCANNER REPORT
Wednesday, December 20, 2006 2:40:35 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 20/12/2006
Enregistrements dans la base antivirus Kaspersky : 252276
Paramètres d'analyse
Analyser avec la base antivirus suivante 	étendue
Analyser les archives 	vrai
Analyser les bases de messagerie 	vrai
Cible de l'analyse 	Zones critiques
C:\WINDOWS
C:\DOCUME~1\julien\LOCALS~1\Temp\
Statistiques de l'analyse
Total d'objets analysés 	17386
Nombre de virus trouvés 	1
Nombre d'objets infectés 	2 / 0
Nombre d'objets suspects 	0
Durée de l'analyse 	00:12:41

Nom de l'objet infecté 	Nom du virus 	Dernière action
C:\WINDOWS\Debug\PASSWD.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Internet Logs\fwdbglog.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Internet Logs\fwpktlog.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Internet Logs\IAMDB.RDB 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Internet Logs\STATION.ldb 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Internet Logs	vDebug.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SchedLgU.Txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Sti_Trace.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\Antivirus.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\fpiqekel.exe 	Infecté : Trojan-Spy.Win32.Goldun.nj 	ignoré
C:\WINDOWS\system32\h323log.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32egepsrvc.sys 	Infecté : Trojan-Spy.Win32.Goldun.nj 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_374.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\ZLT03bfd.TMP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\ZLT03c00.TMP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiadebug.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiaservc.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\WindowsUpdate.log 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\julien\LOCALS~1\Temp\WCESLog.log 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\julien\LOCALS~1\Temp\~DFB297.tmp 	L'objet est verrouillé 	ignoré
Analyse terminée.

Regis59 · Answer

Salut,

télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/demohijack.htm
	
Bon courage

A+

relian · Answer

merci a toi regis 59 d'avoir répondu aussi vite voici le rapport de HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 18:10:32, on 20/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Dantz\Retrospect\retrorun.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Webroot\PopUpWasher\PopUpWasher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Orange\Player Orange\Player Orange.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\julien\LOCALS~1\Temp\Rar$EX00.390\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OrangePlayer] c:\program files\orange\player orange\Player Orange.exe /systray
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PopUpWasher] C:\Program Files\Webroot\PopUpWasher\PopUpWasher.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20dd859d87fba0f78617/netzip/RdxIE601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117533765515
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C1C3CC42-F029-49A2-91C2-C043DFAE3C96} (Samson Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Dalila.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CB21FA0-3336-4093-8D9A-990292874299}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: rege2usb - rege2usb.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Program Files\Dantz\Retrospect\retrorun.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Regis59 · Answer

Salut

Supprime ceci: 

C:\WINDOWS\system32\fpiqekel.exe 

C:\WINDOWS\system32\regepsrvc.sys

Puis relance un Scan

A+

relian · Answer

merci pour la réponse et la mienne va peut etre te faire marrer
mais je n'arrive pas a les supprimer je ne les trouves pas
je t'avais prevenut je ne suis pas une lumière en informatique

Regis59 · Answer

Salut

Telecharge ceci:

http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
décompresse le et tape ou colle 
regepsrvc
et copie colle le résultat dans le bloc note et donne le nous

A+

relian · Answer

un panneau s'ouvre "search completed in 27 seconds no instances of "regepsrvc "fond"

merci encore pour le temps consacré

Regis59 · Answer

Salut

y'en a qui bosse tu sais...

Télécharge Blacklight (de F-Secure) a l’une des 2 adresses : 
https://www.f-secure.com/en 
https://www.f-secure.com/en 

et sauvegarde le sur ton Bureau. 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). 

Copie et colle le contenu de ce rapport dans ta prochaine réponse 

a+

Regis59 · Answer

Salut

Ce rapport est clean.

Lance ce scan en ligne: 
http://www.bitdefender.fr/scan8/ie.html  
Copie/colle le rapport

A+

relian · Answer

salut reg59
voici le rappord de bitdefender
je te souhaite de bonnes fetes et te remerci d'eclairé les jeunes ames perdu dans ce long tunnel noir qu'est pour moi l'informatique

BitDefender Online Scanner - Rapport virus en temps réel
	


Généré à: Sat, Dec 23, 2006 - 16:02:22

 

Info d'analyse
	


Fichiers scannés
	

310201

Infectés Fichiers
	

4
	


Virus Détectés
	

 

Trojan.Spy.Goldun.F
	

1

DeepScan:Generic.Malware.SFYdlwdld.B83ABFF1
	

1

BehavesLike:Win32.ExplorerHijack
	

1

Generic.Malware.dld!!.0C0572A6
	

1

	

Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

Regis59 · Answer

Salut

;)

J aurais voulu le rapport entier. Apparemment y a des infections mais je ne sais pas ou exactement :-S

A+

relian · Answer

bonjour reg 59

désolé de ne pas avoir répondu avant mais la semaine de labeur
a été disons difficile 
Voici le rapport de bitdefender en espérant que c'est le bon

je  renouvelle mes remerciements et te souhaite une bonne année 2007
et la santé bien sur

relian · Answer

BitDefender Online Scanner
	

 
	

 

Rapport d'analyse généré à: Mon, Dec 25, 2006 - 18:57:52

 
	

 
	

 

Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;I:\;
	

 
	

 

 
	

 
	

 

Statistiques

Temps
	

01:02:31

Fichiers
	

337262

Directoires
	

6065

Secteurs de boot
	

8

Archives
	

7582

Paquets programmes
	

24085
	

 
	

 

Résultats

Virus identifiés
	

1

Fichiers infectés
	

1

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

1
	

 
	

 

Info sur les moteurs

Définition virus
	

356994

Version des moteurs
	

AVCORE v1.0 (build 2371) (i386) (Dec 13 2006 11:16:42)

Analyse des plugins
	

14

Archive des plugins
	

38

Unpack des plugins
	

6

E-mail plugins
	

6

Système plugins
	

1
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

*;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

C:\System Volume Information\_restore{4A76A685-FB40-40C3-AA28-1C0573308EA6}\RP362\A0077177.EXE
	

Infecté par: BehavesLike:Win32.ExplorerHijack

C:\System Volume Information\_restore{4A76A685-FB40-40C3-AA28-1C0573308EA6}\RP362\A0077177.EXE
	

Echec de la désinfection

C:\System Volume Information\_restore{4A76A685-FB40-40C3-AA28-1C0573308EA6}\RP362\A0077177.EXE
	

Supprimé

Regis59 · Answer

Salut

J'espere que tes journées sont plus calme et que ca va mieux !
Apparemment l'infection est supprimée.

Ou en sont tes soucis?

A+

relian · Answer

bonjour reg 59
j'espere que les fetes se sont bien passeé pour toi
(pour ma part rage de dent 3 heure avant le premier de l'an)
enfin cool quoi (normal que je dise ça je suis sous calmant là)
mais sinon pour le pc toujour un dossier qui vient se copier tous seul comme un grand sur mon bureau enfin voila
je peu meme pas rebooter j'ai pas mon cd windows alors help encor
a bientot

Regis59 · Answer

Salut relian,

Meilleurs voeux ;)

N'oublie pas d aller chez le dentiste et tu t en souviendras de cette nouvelle année lol

A quoi ressemble cette icone, tu peux me faire une prise d ecran? Me donner un nom, la decrire...

A+

relian · Answer

bonjour reg 59
plus de virus, l'icône ne s'affiche plus 
tous va mieux dans le meilleur des mondes sauf que....
plus de connexion emule
plus de connexion azareus

est ce que le virus a put foutre le merdier là dedans?
en tou cas merci pour le premier problème résolut
si pour le second tu as des conseils je suis preneur

ps: pour les dents j'ai la joie de passer sur le billard le 26

Regis59 · Answer

salut ;)

Dents de sagesse? Moi aussi en ce moment les dents me font mal lol

Ca vient peut etre du pare feu, ils sont autorisés?

A+

HELP infecté par Trojan-Spy.Win32.Goldun.nj

17 réponses

Discussions similaires