Trojan agent LA+TINY+VUNDO indestructibles

Résolu/Fermé
ektron - 11 sept. 2007 à 22:37
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 - 12 sept. 2007 à 21:33
BONJOUR

J'ai un trojan indestructible , plusieurs noms de fichiers correspondants( agent LA , tiny IF,vundo gen )
Après nettoyage par antivirus ils se regenèrent dés la prmeière connexion internet.
Avez vous une solution
merci
A voir également:

19 réponses

O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32
11 sept. 2007 à 22:37
Salut,

- Télécharge HiJackThis de Merijn http://www.merijn.org/files/HiJackThis_v2.exe sur ton bureau
- Renomme "HiJackThis.exe" en "scanner.exe"
- Double cliques dessus et choisis l'option "Do a scan and Save a logfile"
- Copie Colle le log généré ci-dessous.

Cordialement,
0
salut

voilà le log

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\PROGRA~1\PACKSC~1\backweb\361343\Program\SERVIC~1.EXE
C:\Program Files\Pack Sécurité\backweb\361343\program\fsbwsys.exe
C:\Program Files\Pack Sécurité\Common\FSMA32.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Pack Sécurité\Common\FSMB32.EXE
C:\Program Files\Pack Sécurité\Common\FCH32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Pack Sécurité\Common\FAMEH32.EXE
C:\Program Files\Pack Sécurité\FSPC\fspc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Pack Sécurité\backweb\361343\Program\fspex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Documents and Settings\BRUNO\Bureau\scanner.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {42D649DE-9D87-452D-A81B-4931FBEFE599} - C:\WINDOWS\system32\pmkig.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {984544AB-5FA6-46AF-BE1D-E21804DAD281} - C:\WINDOWS\system32\hggefgd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Pack Sécurité.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?9f16a4b55ee64667af89590a46dbbddf
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?9f16a4b55ee64667af89590a46dbbddf
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O20 - Winlogon Notify: hggefgd - C:\WINDOWS\SYSTEM32\hggefgd.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Pack Sécurité (BackWeb Plug-in - 361343) - Pack Securite - C:\PROGRA~1\PACKSC~1\backweb\361343\Program\SERVIC~1.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\nbsknuta.exe (file missing)
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FSBWSYS - Unknown owner - C:\Program Files\Pack Sécurité\backweb\361343\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Sécurité\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - Unknown owner - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
0
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32
11 sept. 2007 à 23:11
Suis ces étapes:

1. VundoFix:
- Télécharge VundoFix by Atribune: http://www.atribune.org/ccount/click.php?id=4
- Double cliques dessus,
- Choisis "Scan For Vundo"
- Si le programme veut supprimer des objets, accepte.
- A la fin, il te sera peut etre demandé de redémarrer, fais le.

2. VirtumondeBegone et Symantec Vundo Remove Tool
- Télécharge VirtumondeBeGone ici: http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
- Télécharge Symantec Vundo Remove Tool ici: https://www.broadcom.com/support/security-center

3. Désinfection:
- Démarre Windows en mode Sans échec. Pour ce faire, après le bip d'allumage de ton PC et avant le logo de WinXP, tapotes sur F8 jusqu'à l'apparition du menu ou tu choisiras "Mode Sans Echec".
- Exécute VirtumondeBeGone
- Exécute Symantec Vundo Remove Tool.
- Redémarre en mode normal.
- Poste un nouveau rapport HiJackThis.
0
Bonjour

Il etait tard j'ai arreté. Voilà ce que j'ai fait hier soir
Lancé vundo fix qui m'a trouvé 8 fichiers DLL qui n'ont pas pu être supprimés.
Le redemarrage en mode sans echec ne fonctionne pas ( F12 sur un compaq nx9030) l'ecran reste noir pendant 30 minutes et ensuite le message suivant apparait
" chsdsk vérifie l'integrité de votre disque"
"réparation de la copie miroir des descripteurs de sécurité"

puis le système demarre en mode normal

Tu as une idée de ce qui se passe?

A+
0
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32
12 sept. 2007 à 09:37
Salut,

Pour redémarrer en mode sans échec, c'est F8.
Fais les trois programmes en mode sans échec (donc refais VundoFix).
0
ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 09:45
bonjour
Tu as raison c'est F8, F12 donne le même ecran d'accueil suaf que ca marche pas.
J'essaye tout ca et je te te communique le log ensuite
A+
0
ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 09:59
En mode sans echec l'ecran indique "mode sans echec dans les quatre coins" puis se reboot à chaque fois sur une fenetre qui me demande si je veux rester en mode sans echec. je clique sur oui et l'ecran se met à clignoter. Complètemment planté j'ai fait un arret sauvage.
Tu as une explication....mi je pense que le disque a morflé. J'ai aussi essayé en mode normal de vérifier C avec option réparation des secteurs endommagés, réponse " analyse C impossible"

Je sais plus quoi faire
0
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32
12 sept. 2007 à 10:09
Mouais ton DD doit pas être en bon état.. Essai de faire les manip' en mode normal pour voir ce que ca donne..
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 10:15
Bon je viens de demarrer en mose sans echec avec prise en charge reseau, ca va beaucoup mieux.
J'ai lancé vundo , les 8 fichiers sont toujours là et ne peuvent etre effacés ( message de vundo )
J'ai rebbooté comme demandé par vundo

je lance les autres programmes que tu m'a demandé de telecharger et te tiens informé

NB: Je te parles depuis un autre poste ( celui du boulot ) mais j'ai le pc en panne à coté de moi.

A+
0
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32
12 sept. 2007 à 10:16
Ok,

Normalement, VundoFix les a supprimé au redémarrage ;o) Je t'attends pour la suite.
0
ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 10:29
symentec est entrain d'analyser y'en a pour un moment...en attendant vitumonde m'a fait un log, sur la dernière ligne est ecrit nothing found.

En apparté, peux tu m'expliquer l'interet de travailler en mode sans echec et si je peux conserver les logiciels et la methode pour une infection future?

merci, à tout à l'heure
0
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32 > ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 10:33
L'intérêt du Mode sans échec est que Windows ne charge que ses composants essentiels. Il est donc plus facile de supprimer des fichiers infectieux.
En ce qui concerne les logiciels que tu utilises en ce moment, ils ne sont valable que pour l'infection appelée Vundo/Virtumonde.
0
ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 11:02
ok pour ca , il y a effectivement un vundo trouvé par avast...ce me fait des vundo gen47.dll dans windows/ system

Bon j'ai tout fait, voici le log de virtumonde et de hijackthis. Trouves tu quelque chose d'anormal? et que faire pour les virus TINY et AGENT LA?

a+


[09/12/2007, 10:19:43] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\BRUNO\Mes documents\LOGICIELS\VirtumundoBeGone.exe" )
[09/12/2007, 10:19:52] - Detected System Information:
[09/12/2007, 10:19:52] - Windows Version: 5.1.2600, Service Pack 2
[09/12/2007, 10:19:52] - Current Username: BRUNO (Admin)
[09/12/2007, 10:19:52] - Windows is in SAFE mode.
[09/12/2007, 10:19:52] - Searching for Browser Helper Objects:
[09/12/2007, 10:19:52] - BHO 1: SOFTWARE ()
[09/12/2007, 10:19:52] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/12/2007, 10:19:52] - No filename found. Continuing.
[09/12/2007, 10:19:52] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[09/12/2007, 10:19:52] - BHO 3: {2983FAB6-7DCD-40C7-A6B0-1CD187692816} ()
[09/12/2007, 10:19:52] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/12/2007, 10:19:52] - Checking for HKLM\...\Winlogon\Notify\pmkig
[09/12/2007, 10:19:52] - Key not found: HKLM\...\Winlogon\Notify\pmkig, continuing.
[09/12/2007, 10:19:52] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[09/12/2007, 10:19:53] - BHO 5: {64F56FC1-1272-44CD-BA6E-39723696E350} (EoBho Class)
[09/12/2007, 10:19:53] - BHO 6: {724d43a9-0d85-11d4-9908-00400523e39a} ()
[09/12/2007, 10:19:53] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/12/2007, 10:19:53] - Checking for HKLM\...\Winlogon\Notify\roboform
[09/12/2007, 10:19:53] - Key not found: HKLM\...\Winlogon\Notify\roboform, continuing.
[09/12/2007, 10:19:53] - BHO 7: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[09/12/2007, 10:19:53] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/12/2007, 10:19:53] - No filename found. Continuing.
[09/12/2007, 10:19:53] - BHO 8: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[09/12/2007, 10:19:53] - BHO 9: {984544AB-5FA6-46AF-BE1D-E21804DAD281} ()
[09/12/2007, 10:19:53] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/12/2007, 10:19:53] - Checking for HKLM\...\Winlogon\Notify\hggefgd
[09/12/2007, 10:19:53] - Key not found: HKLM\...\Winlogon\Notify\hggefgd, continuing.
[09/12/2007, 10:19:53] - BHO 10: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[09/12/2007, 10:19:53] - BHO 11: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[09/12/2007, 10:19:53] - BHO 12: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[09/12/2007, 10:19:53] - Finished Searching Browser Helper Objects
[09/12/2007, 10:19:53] - Finishing up...
[09/12/2007, 10:19:53] - Nothing found! Exiting...

-------------------------------------------------------------------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:55:29, on 12/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\PROGRA~1\PACKSC~1\backweb\361343\Program\SERVIC~1.EXE
C:\Program Files\Pack Sécurité\backweb\361343\program\fsbwsys.exe
C:\Program Files\Pack Sécurité\Common\FSMA32.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Pack Sécurité\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Pack Sécurité\Common\FCH32.EXE
C:\Program Files\Pack Sécurité\Common\FAMEH32.EXE
C:\Program Files\Pack Sécurité\FSPC\fspc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Pack Sécurité\backweb\361343\Program\fspex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\BRUNO\Bureau\scanner.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31D72C47-1B06-4226-B832-8E812A0B3E69} - C:\WINDOWS\system32\pmkig.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {984544AB-5FA6-46AF-BE1D-E21804DAD281} - C:\WINDOWS\system32\hggefgd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Pack Sécurité.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?9f16a4b55ee64667af89590a46dbbddf
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?9f16a4b55ee64667af89590a46dbbddf
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Pack Sécurité (BackWeb Plug-in - 361343) - Pack Securite - C:\PROGRA~1\PACKSC~1\backweb\361343\Program\SERVIC~1.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\nbsknuta.exe (file missing)
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FSBWSYS - Unknown owner - C:\Program Files\Pack Sécurité\backweb\361343\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Sécurité\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - Unknown owner - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
0
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32
12 sept. 2007 à 11:12
Yop,

Question virtumonde ca devrait aller mieux. Pour la suite:

Tu possèdes Avast!, tu n'es donc pas, pour moi et beaucoup d'autres helpers, protégé au mieux. Je te recommande d'en changer pour Avira Antivir, qui est beaucoup plus performant et réactif. Le petit défaut est qu'il est en anglais, c'est pourquoi voici quelques liens qui t'aideront à en changer sans problème:

- Tutoriel: http://forum.malekal.com/ftopic4192.php
- Comparatif de Malekal: http://forum.malekal.com/ftopic3528.php
- Comparatif de PC INpact: http://www.pcinpact.com/actu/news/31149-Antivirus-resultats-dun-test-de-performances.htm
Saches que ce petit défaut de langage n'est rien comparé aux grands apports d'Antivir. Si tu décides d'en changer, désinstalle Avast!

Fais un scan avec Antivir a jour
0
ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 11:22
Merci, tout le monde dis du bien de cet anti virus avast mais c'est vrai qu'il en laisse passer pas mal même avec des mise à jour permanentes.

Je suis entrain de faire un scan E square, ensuite je demarre spybot.

J'epère que vundo à été éradiqué mais je connais le principe des autres virus qui doivent encore etre dans le pc, ils se genèrent dés que je me connecte à internet.

Je charge ton antivirus et je ferai un scan.

Te recontacterai pour te dire ce qui se passe.

Merci pour ton aide et tes compétences. Je laisse le topic en non résolu pour le moment....il faut que je me connecte à internet pour vérifier si les fichiers DLL et EXE réaparaissent.

a+
0
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32
12 sept. 2007 à 11:58
Ok,

Juste pour t'informer de quelques trucs:
- Si tu installe Antivir, faut désinstaller Avast!
- Désactive la restauration système avant de faire un scan avec Antivir, puis réactive la. Cela t'évitera d'avoir des fichiers de restauration infectés.
- Tu possèdes Spybot S&D, il est bien noté mais comme pour Avast!, par un mauvais professeur. Je te recommande AVG Antispyware à la place.
- Pour A squarred, OK, poste le log s'il y en a un.
0
ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 12:13
Tiens voilà le log a squared, c'est pas triste je m'y attendais (:((

Comment je fais pour desactiver la restauration système ( c'est dans le pc ou dans une option antivir? )

MERCI

Version - a-squared Free 3.0
Dernière mise à jour: 09/09/2007 20:54:47

Réglages Scan:

Objets: Mémoire, Traces, Cookies, C:\
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan: 12/09/2007 11:05:26

C:\Documents and Settings\BRUNO\Cookies\bruno@atdmt[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\BRUNO\Cookies\bruno@bluestreak[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\BRUNO\Cookies\bruno@bs.serving-sys[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\BRUNO\Cookies\bruno@doubleclick[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\BRUNO\Cookies\bruno@mediaplex[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\BRUNO\Cookies\bruno@serving-sys[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\BRUNO\Cookies\bruno@weborama[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\BRUNO\Local Settings\Temp\nsa5.tmp Détecter: Riskware.RiskTool.Win32.Processor.20
C:\System Volume Information\_restore{57ED954E-27E1-41EC-AD00-64F606401331}\RP100\A0049092.exe Détecter: Trojan.Win32.Agent.bck
C:\System Volume Information\_restore{57ED954E-27E1-41EC-AD00-64F606401331}\RP100\A0049094.exe Détecter: Trojan-Downloader.Win32.Tiny.id
C:\System Volume Information\_restore{57ED954E-27E1-41EC-AD00-64F606401331}\RP101\A0050240.exe Détecter: Trojan-Downloader.Win32.Tiny.id
C:\System Volume Information\_restore{57ED954E-27E1-41EC-AD00-64F606401331}\RP101\A0050242.exe Détecter: Trojan-Downloader.Win32.Tiny.id
C:\System Volume Information\_restore{57ED954E-27E1-41EC-AD00-64F606401331}\RP98\A0046579.exe Détecter: Trojan.Win32.Agent.bck
C:\System Volume Information\_restore{57ED954E-27E1-41EC-AD00-64F606401331}\RP98\A0046580.exe Détecter: Trojan.Win32.Agent.bck
C:\System Volume Information\_restore{57ED954E-27E1-41EC-AD00-64F606401331}\RP98\A0046581.exe Détecter: Trojan.Win32.Agent.bck
C:\System Volume Information\_restore{57ED954E-27E1-41EC-AD00-64F606401331}\RP98\A0046582.exe Détecter: Trojan-Downloader.Win32.Tiny.id
C:\System Volume Information\_restore{57ED954E-27E1-41EC-AD00-64F606401331}\RP98\A0046583.exe Détecter: Trojan.Win32.Agent.bck
C:\System Volume Information\_restore{57ED954E-27E1-41EC-AD00-64F606401331}\RP98\A0046584.exe Détecter: Trojan.Win32.Agent.bck
C:\System Volume Information\_restore{57ED954E-27E1-41EC-AD00-64F606401331}\RP98\A0046586.exe Détecter: Trojan.Win32.Agent.bck
C:\System Volume Information\_restore{57ED954E-27E1-41EC-AD00-64F606401331}\RP98\A0046587.exe Détecter: Trojan.Win32.Agent.bck
C:\VundoFix Backups\nwrxqpej.exe.bad Détecter: Trojan-Downloader.Win32.Tiny.id
C:\VundoFix Backups\wdwilefs.exe.bad Détecter: Trojan-Downloader.Win32.Tiny.id
C:\WINDOWS\system32\jtlwfgkl.exe Détecter: Trojan.Win32.Agent.bck
C:\WINDOWS\system32\uahtyucg.exe Détecter: Trojan.Win32.Agent.bck

Scanné

Fichiers: 102589
Traces: 320626
Cookies: 76
Processus: 40

Trouver

Fichiers: 17
Traces: 0
Cookies: 7
Processus: 0
Clés de Registre: 0
0
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32
12 sept. 2007 à 12:19
Ok, qu'as tu fait de tous ces fichiers ?

Les seuls fichiers réellement ennuyeux sont ceux ci:
C:\WINDOWS\system32\jtlwfgkl.exe Détecter: Trojan.Win32.Agent.bck
C:\WINDOWS\system32\uahtyucg.exe Détecter: Trojan.Win32.Agent.bck
C:\Documents and Settings\BRUNO\Local Settings\Temp\nsa5.tmp Détecter: Riskware.RiskTool.Win32.Processor.20  

Si tu peux les mettre en quarantaine, fais le. Sinon, supprimes les.

Pour désactiver la restauration système:
- Poste de travail / Panneau de configuration / Système / Restauration Système / Désactiver la restauration
0
ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 12:46
C:\Documents and Settings\BRUNO\Local Settings\Temp\nsa5.tmp Détecter: Riskware.RiskTool.Win32.Processor.20
Celui-ci est dans le log mais n'était pas dans la liste des fichiers douteux à supprimer. Je vais le faire par l'explorateur si c'est possible.
Les 2 autres je les ai mis en 40taine puis supprimés.


Je viens d'avoir le resultat de SPYBOT

2 trojan PWS.LDpinchIE dans les clé de registre
1 virtumonde executable , dans le chemin idem ci dessus ( C:\Documents and Settings\BRUNO\Local Settings\Temp......ETC )
3 autres virtumonde dans les clé de registre

Quel merdier....
0
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32
12 sept. 2007 à 12:55
Ok, je te suggère de supprimer ce qu'il t'a trouvé.
En tout cas, mets Antivir, mets le à jour et fais un scan. Ensuite pareil pour AVG Antispyware et poste les rapports.
0
ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 14:58
les nouvelles

desinstallé avast et spybot
installé antivir avec mise à jour
installé avg

Antivir est bloque sur une fenetre d'alerte car il a detecté un trojan, quelle que soit le choix que je décide ( ignorer, renommer, mettre en quarantaine, supprimer...) le fenetre réapparait avec le même message => donc antivir ne sait pas traiter l'action pour ce virus je pense.
Impossible de fermer , de réduire tant qu'il y a cette fenetr => donc arret par gestionnaire de taches, j'ai pas trouvé mieux.

Concernant avg, l'analyse est en cours.

=> je fais quoi concernant antivir?

a+
0
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32
12 sept. 2007 à 15:27
Peux tu me dire quel était le fichier en cause ?
0
ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 15:44
Vundo.gen hgggfgd.dll ( system 32 )
Vundo.gen A0049151.dll ( volume informations )
REFUSE DE FAIRE UNE ACTION

m'a trouvé aussi

trojans dans volume informations, pour ceux là ils sont passés en 40taine

BHO.AKY A0049093.dll
Dldr.conhook.gen A0049095.dll, A0050241.dll,A0050243.dll
Crypt.PEC2Xgen A0049149.dll
fotomoto.E A0050269.dll , A0050270.dll


avg toujours en cours
A+
0
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32
12 sept. 2007 à 15:48
Ok pour la restauration, c normal, il fallait la désactiver avant de faire le scan..
Pour le fichier dans system32 c'est encore un Virtumonde.. bizarre qu'il soit pas mort. Si tu pouvais réessayer le scan Antivir ?
0
ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 16:10
exact, j'ai oublié de désactiver la restauration...

Pour le vundo j'ai fais appel au forum car je commence à comprendre comment il marche. En fait avast le detectait et le supprimait.
Ensuite après scan de tout ce dont je dispose ( ex avast, ex spybot, a squarred ) plus rien n'apparaissait. On pouvait donc penser que le système était ok, j'avais même fait un point de restauration à ce moment.
Aujourd'hui ta technique a surement nettoyé le vundo mais je me suis connecté a internet pour telecharger AVG et ANTIVIR, et comme je te l'avais expliqué c'est internet qui réactive les virus . Je ne suis pas expert en informatique ( mais en electronique oui ) mais je pense qu'il y a un fichier exe planqué quelquepart sous un nom et une forme indetectable qui s'active lors d' une connexion internet et génère ses petits bébés dll un peu partout. Avant hier je suis resté sur internet 30 minutes, j'ai fait un scan après et il y avait une centaine de fichiers vundo et une bonne vingtaine de trojan.
Je crois donc que je te donne du fil à retordre, mais celà a au moins le merite de renfocer ton expérience car moi j'y comprends rien.

J'ai bien songé à un format c: mais je dois faire une sauvegarde de mes fichiers importants.....si le virus est dedans c'est inutile.


Resultat de antivir et avg dans quelques minutes...
0
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32
12 sept. 2007 à 16:24
Ok... On va l'avoir, tracasse ;o) Si je ne trouve pas, je vais faire appel à l'aide à un autre helper qui s'y connait mieux que moi...

Peux tu refaire maintenant un log HiJackThis ?
0
ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 21:29
bonsoir
Juste pour t'informer que j'ai tout repris à zero tes instructions, j'ai aussi lu la notice hijackthis en anglais pour dormir moins bete ce soir.

J'ai refait un vundofix qui m'a detecté le fichier douteux depuis le depart à savoir system 32 / hgggfgd.dll qu'il était impossible de supprimer.
J'ai refait un hijackthis qui m'a affiché ce programme en LIGNE 04 et heureusement rien en 20

J'ai donc appris dans la notice qu'il fallait fixer cette ligne, relancer un hijackthis, refixer toutes les lignes notées "file missing" ou "no file"
ce que j'ai fait...soit environ 4 ou 5 qui semblaient correspondre à des noms pas trop douteux ( c'est bien la particularité des vundo de prendre des noms difficiles à detecter )
Il faut savoir aussi qu'il faut immediatement eteindre le pc après cette opération car le lancement d'un programme usuel peut réactiver le virus...AILLEURS ET SOUS UN AUTRE NOM EVENTUELLEMENT

J'ai tout remis en route, fait un scan antivir ( ras ) a- squarred (ras ) virtumondo ( ras ).....pas mal!!!!

J'ai fait un point de sauvegarde et je suis allé sur internet pendant 1 heure.

J' ai refait un scan ( idem ci dessus ) puis un hijackthis.....aucun virus sinon qq cookies ( normal )

DONC JE PENSE QUE C'EST OK

Je clos le topic en résolu, te remercie vivement de ton aide et peut être à plus sur ce forum

Cordialement
0
O VertigO Messages postés 862 Date d'inscription mercredi 8 août 2007 Statut Membre Dernière intervention 10 février 2008 32 > ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 21:33
Et bien c'est super ;o)
0
ektronn Messages postés 13 Date d'inscription mercredi 12 septembre 2007 Statut Membre Dernière intervention 12 septembre 2007
12 sept. 2007 à 16:34
Ok je te fais confiance.....et en plus j'ai pas le choix.
AVG n'a rien toruvé sion quelues cookies, antivir à trouvé 37 virus trojan et vundo, les mêmes que d'habitude et il est encore planté sur un vundo qu'il ne peut pas traiter je traduis le message "ce fichier ne peut être détruit"

voilà le log hijackthis#2
a+


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:27:55, on 12/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\PACKSC~1\backweb\361343\Program\SERVIC~1.EXE
C:\Program Files\Pack Sécurité\backweb\361343\program\fsbwsys.exe
C:\Program Files\Pack Sécurité\backweb\361343\Program\fspex.exe
C:\Program Files\Pack Sécurité\Common\FSMA32.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Pack Sécurité\Common\FSMB32.EXE
C:\Program Files\Pack Sécurité\Common\FCH32.EXE
C:\Program Files\Pack Sécurité\Common\FAMEH32.EXE
C:\Program Files\Pack Sécurité\FSPC\fspc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LVComsX.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Documents and Settings\BRUNO\Bureau\scanner.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31D72C47-1B06-4226-B832-8E812A0B3E69} - C:\WINDOWS\system32\pmkig.dll (file missing)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {984544AB-5FA6-46AF-BE1D-E21804DAD281} - C:\WINDOWS\system32\hggefgd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Pack Sécurité.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?9f16a4b55ee64667af89590a46dbbddf
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?9f16a4b55ee64667af89590a46dbbddf
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Pack Sécurité (BackWeb Plug-in - 361343) - Pack Securite - C:\PROGRA~1\PACKSC~1\backweb\361343\Program\SERVIC~1.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FSBWSYS - Unknown owner - C:\Program Files\Pack Sécurité\backweb\361343\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Sécurité\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - Unknown owner - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
0