Infecté par agent KHB

Question

Bonjour 
J'ai unproblème avec le WIN32 Agent KHB, et je pense que j'ai plus que ca encore ! 
Après avoir tenté différentes désinfections en suivant les conseils d'amis, j'en viens à vous demander à l'aide parce que rien n'y fait. 
J'étais sous Bitdefender jusqu'à aujourd'hui, on m'a conseillé de passer à Avast. Je viens de scanner mon pc au démarrage avec Avast qui trouve bien certaines choses, me dit qu'il les supprime ou les met en quarantaine mais ca revient sans cesse. Je précise que bitdefender n'est pas désinstallé mais il est inactif. 
Voilà, j'espère que vous pourrez m'aider rapidement. Je sais que vous avez certainement mieux à faire, mais sans mon ordi, je suis vraiment malheureuse. 

Merci beaucoup pour vos réponses. 

PS : je joins dans un prochain message le rapport du scan avec HijackThis

clownface · Answer

Bonsoir,

il faudrait que tu détailles les "certaines choses" ça serait plus pratique pour savoir de quoi on parle...
pour cela, fais les manips suivantes : virus methode preliminaire de desinfection version fr et colles les rapports ici.

Cocochanelle · Answer

Bonsoir, merci pour ta réponse,

Je te joins ci dessous les trois rapports demandés. J'suis dég ! Bitdefender n'a rien trouvé alors qu'Avast crie encore !!! J'espère que tu trouveras le hic

Dimanche dernier, juste après mon premier message (ci-dessus), j'ai posté un scan HisjackThis et un autre "forumeur" m'a répondu. Je suppose que je ne vais pas suivre les deux procédures. Ke dois-je faire ? Je ne pense pas qu'une solution soit moins bonne que l'autre ?

Merci encore..........et........... AU SECOURS !!! Aide moi stp !!!! (sniiiiffff....)

Ci dessous les trois rapports. A plus

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	20:11:58 25/09/2007

 + Résultat de l'analyse:	



HKLM\SOFTWARE\Clickspring -> Adware.PurityScan : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyé.
C:\WINDOWS\system32\wcpsvsu32.exe -> Trojan.Small : Nettoyé.


Fin du rapport

__________________________________________________________________


BitDefender Online Scanner - Real Time Virus Report
Generated at: Tue, Sep 25, 2007 - 20:58:35 
--------------------------------------------
  Scan Info  
  Scanned Files 132403
 Infected Files 0
 Virus Detected
 No virus found.
 
 
  
______________________________________________________________________________



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:02:29, on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\urgpylwl.dll",sitypnow
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

clownface · Answer

Bonsoir,

mise à part une ligne qui me chiffonne, je ne vois rien de particulier dans ton log.
voyons ce que disent : spybot ; ad aware (n'oublies pas de les mettre a jour avant le scan et fais leur supprimer tout ce qu'ils peuvent trouver)
refais un hijackthis ensuite

Cocochanelle · Answer

Bonsoir,

Là, tu m'inquiètes !!! Je t'assure que je ne suis ni blonde (rires !) ni folle, et que j'ai bien des alertes au cheval de troie par Avast.
D'autre part, mon pc rame c'est une horreur pour n'importe quelle utilisation : ouverture de fichiers, explorateur, et encore pire sur internet (avec ouverture de fenêtre intempestives pour téléchargement de Winantispyware, pub, ou images plutot pornos !!!)
Pour infos, j'ai fais les désinfections avec spybot et ad aware, qui me trouvent tous deux quelleque chose (virtumonde pour spybot, un trojan pour ad aware), je leur demande de corriger le problème ou de supprimer, mais au deuxième scan, les intrus sont toujours présents, donc la désinfection ne se fait pas. J'ai gardé les rapports si tu en as besoin.
J'espère que "la ligne qui te chiffonne" est bien la cause de mes problèmes sinon je suis très très très... mal !!!!!

Merci encore pour ton aide.

Voici le scan de HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:32:19, on 26/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\urgpylwl.dll",sitypnow
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

clownface · Answer

Bonsoir, 

coches et fixes cette ligne :
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\urgpylwl.dll",sitypnow 

ensuite va dans C:\WINDOWS\system32 et supprimes le fichier urgpylwl.dll
vide la corbeille

fais du nettoyage avec ccleaner

Cocochanelle · Answer

Heu... rebonsoir...
Tu peux m'en dire plus ?? ca veut dire quoi cocher et fixer la ligne ?
Enfin la cocher, je sais faire, mais la fixer ?????

Merci

Cocochanelle · Answer

Re clown,
En fait, je suis allée voir le tuto sur HijackThis, et j'ai vu l'expliquation pour fixer des lignes. Une fois qu'elle est fixée, je ferme Hijack et je vais supprimer le fichier là où tu m'as dit ? c'est bien ca ?

clownface · Answer

oui

Cocochanelle · Answer

c'est presque fait, sauf que je peux pas supprimer dans le dossier system32, l'accès est refusé !!!

clownface · Answer

je t'ai pas demandé de supprimer le dossier system32... heureusement pour ton pc..
juste le fichier qui s'appelle urgpylwl.dll à l'interieur

Cocochanelle · Answer

Relis ce que je t'ai dit, je n'ai pas essayé de supprimer le dossier mais le fichier que tu m'as demandé "dans le system32", et c'est bien ce fichier qui n'est pas accessible, je ne peux pas le supprimer... 
Mdrrrr !!! Je sais oui que le dossier system32 fait partie des choses indispensables !!!

clownface · Answer

ok alors, essais de le supprimer en mode sans echec.

Cocochanelle · Answer

J'y avais bien pensé mais je voulais confirmation ! J'y vais !!

Cocochanelle · Answer

Me re... C'est fait. Et si ta question suivante est "est ce que ca va mieux ?", la réponse est non.........Hélas !

clownface · Answer

alors on continues avec ces manips : http://www.malekal.com/WinAntiSpyware.php

Cocochanelle · Answer

Ha ben justement, je revenais te demander des précisions. Je n'ai jamais installé winantyspaware non

Le lien  http://www.malwarebytes.org/RogueRemover.zip  sur le premier lien que tu m'as donné ne fonctionne pas. Alors je suis allée télécharger RogueRemover ailleurs. 
Je suis allée aussi sur la page que tu m'indiques, pour les popups intempestives, et j'y ai trouvé tout une manip pour enlever Virtumonde/vundo... Donc j'allais te demander quelle manip faire, mais je pense qu'il vaut mieux faire la deuxième, contre les popups ou dois-je faire les deux ?

---Mais Pourquoi Tant de Haine ... ??

clownface · Answer

laisses tomber le premier lien si tu ne l'as jamais installé
fais déjà celle contre les popups intempestives

Cocochanelle · Answer

Bonsoir,
Me revoilà !!! J'ai réussi difficilement à faire les manips en mode sans échec. Mon explorer.exe s'arrête, j'ai vu ca dans le gestionnaire des taches. Je peux le relancer mais il ne reste actif que  qq secondes.
En plus, les scans avec virtumonbegone et symantec vundo remove tool n'ont servi à rien, ils ne trouvent rien. 
Pourtant, dès que je reviens en mode normal, Avast me dit qu'il y en a !!! 
J'ai refais le scan HijackThis, et j'ai l'impression que la ligne que tu m'as fait supprimé est revenue, avec le nom du fichier .dll différent !!! 
Je te copies le scan ci dessous. J'ai eu des pbms aussi pour faire ce scan ! J'ai l'impression que plus ca va, plus je les accumule !
J'espère ne pas te faire peur et que tu auras encore d'autres idées
Merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:18:52, on 27/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\Sécurité\HiJackThis	est.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {44EEADC6-4C55-49BF-B1BB-34DA61AAB408} - (no file)
O2 - BHO: (no name) - {69CD967C-90BF-4FF0-B88A-A5813F57AAE5} - (no file)
O2 - BHO: (no name) - {7FFA8170-C925-4EC5-9361-B5A9E9211233} - (no file)
O2 - BHO: (no name) - {8ADDF11B-50DE-4430-A964-850E10CFA8F2} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {C92AC1C5-3B1D-4CE6-9EFA-F91039B8EF67} - C:\WINDOWS\system32\gebcb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\xcgrqnxr.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - Winlogon Notify: tuvvtqo - C:\WINDOWS\SYSTEM32	uvvtqo.dll
O20 - Winlogon Notify: winwil32 - C:\WINDOWS\SYSTEM32\winwil32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

clownface · Answer

Bonsoir,

tu peux cocher fixer ces lignes :
O2 - BHO: (no name) - {44EEADC6-4C55-49BF-B1BB-34DA61AAB408} - (no file)
O2 - BHO: (no name) - {69CD967C-90BF-4FF0-B88A-A5813F57AAE5} - (no file)
O2 - BHO: (no name) - {7FFA8170-C925-4EC5-9361-B5A9E9211233} - (no file)
O2 - BHO: (no name) - {8ADDF11B-50DE-4430-A964-850E10CFA8F2} - (no file) 
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\xcgrqnxr.dll",sitypnow 

pour le reste c'est toujours virtumonde
supprimer le trojan vundo virtumonde

Cocochanelle · Answer

est ce que je dois aussi supprimer qq chose dans le dossier system32 ?

clownface · Answer

débarrasses toi d'abord de vritumonde.. 
sinon ils sont automatiquement remplacés par d'autres..

Cocochanelle · Answer

J'ai tout fait, me reste plus qu'à faire le nettoyage des "saletés" comme indiqué dans la dernière procédure que tu m'as indiquée.
Ci dessous le dernier scan hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:07:22, on 27/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32
otepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis	est.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

clownface · Answer

je vais regarder, j'arrive

clownface · Answer

plus rien de visible dans ce log..
comment se porte ton pc ?

Cocochanelle · Answer

Je viens de faire un scan avec AVG, il trouve plus rien, et pas de fenêtres intempestives, plus d'alertes d'avast non plus.
C'est fini tu crois ????????

clownface · Answer

on dirait.
tu peux conserver ton dernier rapport hijack et le comparer de temps à autre avec un nouveau pour voir.. 
cela dit de nouvelles lignes ne veulent pas forcément dire infection.

installes toi un pare feu.

quelques petits conseils pour l'avenir : se premunir des virus et autres saletes pas si complique

Cocochanelle · Answer

Justement, concernant les protections, je vais aller voir le lien que tu me donnes, mais jusqu'ici, j'avais bitdefender comme anti virus et pare feu, on m'a conseillé avast. J'aimerais bien avoir ton avis ?
Et comme protection anti spyware, tu as des conseils à me donner ?
Et enfin, il y a quand meme une chose qui m'inquiète, c'est mon mode sans échec. Comment se fait il qu'il déconne comme ca ?
En tout cas, merci encore pour ton aide et pour le temps que tu m'as accorcé !!! Si tu étais en face de moi, je t'embrasserais !!! (en tout bien tout honneur bien évidemment ! mdr !)

clownface · Answer

pour les antivirus l'essentiel est qu'il soit a jour, certains préfère avast, d'autre antivir, a toi de voir,
avast parle français...
un parefeu est indispensable..
spybot, ad-aware et/ou a-squared
et c cleaner pour faire du menage de temps en temps.
enfin rien de bien neuf par rapport au lien que je t'ai donné.. il y a là l'essentiel

pour ton mode sans echec, c'est toujours pareil ?
si c'est le cas, tu peux peut etre poster un sujet sur le forum windows, ils sauront surement mieux que moi.. la partie technique n'est pas mon fort.
bonne soirée ;)

Cocochanelle · Answer

Ok merci pour tous tes conseils, je n'ai pas été vérifié pour le mode sans échec, je le ferai demain.
Bonne soirée et merci encore pour tout.
A bientôt :)

Infecté par agent KHB

29 réponses

Votre réponse

Newsletters