Win32 trojan-gen/win32 agent LTS à l'aide!
Résolu
mattsari
Messages postés
4
Statut
Membre
-
mattsari Messages postés 4 Statut Membre -
mattsari Messages postés 4 Statut Membre -
Salut à tous,
Mes mauvaises fréquentations m'ont porté malheur et je me retrouve avec (au moins) 2 agents infectieux impossibles à éradiquer avec les anti-virus classiques : avast 4, ad-aware et trojan remover.
Là ça commence à devenir carrément flippant car en plus des messages qui se multiplient à travers avast, mon fond d'écran a changé pour devenir menaçant et internet explorer m'ouvre des pages de pub en permanence (tiens pour des sites de sécurité...).
Enfin voilà je crie à l'aide, qu'une bonne âme me sorte de ce pétrin.
Merci d'avance.
PS: si au passage je peux avoir droit à un lien explicatif des manip à faire j'en serai aussi reconnaissant.
Mes mauvaises fréquentations m'ont porté malheur et je me retrouve avec (au moins) 2 agents infectieux impossibles à éradiquer avec les anti-virus classiques : avast 4, ad-aware et trojan remover.
Là ça commence à devenir carrément flippant car en plus des messages qui se multiplient à travers avast, mon fond d'écran a changé pour devenir menaçant et internet explorer m'ouvre des pages de pub en permanence (tiens pour des sites de sécurité...).
Enfin voilà je crie à l'aide, qu'une bonne âme me sorte de ce pétrin.
Merci d'avance.
PS: si au passage je peux avoir droit à un lien explicatif des manip à faire j'en serai aussi reconnaissant.
A voir également:
- Win32 trojan-gen/win32 agent LTS à l'aide!
- Win32:pup-gen ✓ - Forum Virus
- Agent ransack - Télécharger - Divers Utilitaires
- Trojan agent ✓ - Forum Virus
- Puabundler win32 candyopen - Forum Virus
- Télécharger win32 valide pour windows 7 gratuit - Forum Windows
5 réponses
Bonjour
Trois outils à utiliser :
Conseil : Toujours télécharger avant utilisation pour profiter des dernières mises à jour.
1° Télécharge Navifix de Il-Mafioso sur ton bureau:
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Installe-le en cliquant sur le fichier Navilog1.exe
Double-clique sur le raccourci créé sur le bureau.
Au menu principal suivant, choisis 1 et valide par Entrée.
[b]Ne fais pas le choix 2,3 ou 4 sans mon avis.[/b]
Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Sauvegarde le blocnote qui s'ouvre sur le bureau sous cleanavi.txt et psote-le dans ta prochaine réponse.
2° Télécharge VundoFix de Atribunesur ton bureau :
http://www.atribune.org/ccount/click.php?id=4
Double clic sur Vundofix.exe.
Coche la case Run VundoFix as a task
Répond OK au popup qui s'ouvre.
Il va se refermer et réouvrir au bout d'une minute environ.
Quand il est rouvert, clique sur Scan for Vundo
Quand le scan est terminé, clique sur Remove Vundo
Réponds Yes à la demande de suppression des fichiers.
Il te sera demandé de redémarrer ton ordinateur, accepte bien sûr.
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse
3° Télécharge SmitfraudFix de S!Ri Balltrap et Moe :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Toujours charger avant l'utilisation pour profiter des dernières mises à jour.
Lance-le en cliquant sur Smitfraud.exe
Dans la fenêtre bleue, choisis l'option 1] et Entrée
Fais un copier coller du rapport qui s'ouvre dans ta prochaine réponse.
Ce rapport sera enregistré comme suit : C:\rapport.txt
Renomme-le rapport1.txt, très important et poste-le pour examen.
Il me faut donc ces trois rapports :
C:\rapport.txt
C:\vundofix.txt
cleanavi.txt
Trois outils à utiliser :
Conseil : Toujours télécharger avant utilisation pour profiter des dernières mises à jour.
1° Télécharge Navifix de Il-Mafioso sur ton bureau:
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Installe-le en cliquant sur le fichier Navilog1.exe
Double-clique sur le raccourci créé sur le bureau.
Au menu principal suivant, choisis 1 et valide par Entrée.
[b]Ne fais pas le choix 2,3 ou 4 sans mon avis.[/b]
Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Sauvegarde le blocnote qui s'ouvre sur le bureau sous cleanavi.txt et psote-le dans ta prochaine réponse.
2° Télécharge VundoFix de Atribunesur ton bureau :
http://www.atribune.org/ccount/click.php?id=4
Double clic sur Vundofix.exe.
Coche la case Run VundoFix as a task
Répond OK au popup qui s'ouvre.
Il va se refermer et réouvrir au bout d'une minute environ.
Quand il est rouvert, clique sur Scan for Vundo
Quand le scan est terminé, clique sur Remove Vundo
Réponds Yes à la demande de suppression des fichiers.
Il te sera demandé de redémarrer ton ordinateur, accepte bien sûr.
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse
3° Télécharge SmitfraudFix de S!Ri Balltrap et Moe :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Toujours charger avant l'utilisation pour profiter des dernières mises à jour.
Lance-le en cliquant sur Smitfraud.exe
Dans la fenêtre bleue, choisis l'option 1] et Entrée
Fais un copier coller du rapport qui s'ouvre dans ta prochaine réponse.
Ce rapport sera enregistré comme suit : C:\rapport.txt
Renomme-le rapport1.txt, très important et poste-le pour examen.
Il me faut donc ces trois rapports :
C:\rapport.txt
C:\vundofix.txt
cleanavi.txt
salut à toi mon sauveur,
voilà les rapports
1Navifix:
Search Navipromo version 3.3.0 commencé le 18/10/2007 à 12:30:10.57
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 17.10.2007 à 20h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\mateo\Application Data ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun fichier trouvé dans :
- C:\WINDOWS\system32
- C:\DOCUME~1\MATEO\LOCALS~1\APPLIC~1
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans C:\DOCUME~1\MATEO\LOCALS~1\APPLIC~1 *
*** Recherche fichiers ***
2. Vundofix :
VundoFix V6.5.10
Checking Java version...
Sun Java not detected
Scan started at 12:13:16 18/10/2007
Listing files found while scanning....
No infected files were found.
VundoFix V6.5.10
Checking Java version...
Sun Java not detected
Scan started at 12:27:08 18/10/2007
Listing files found while scanning....
No infected files were found.
et 3. smithfraudfix
SmitFraudFix v2.240
Rapport fait à 12:31:49.82, 18/10/2007
Executé à partir de C:\Documents and Settings\mateo\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\regsvr32.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\msmhost.dll PRESENT !
C:\WINDOWS\privacy_danger PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mateo
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mateo\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\mateo\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: NVIDIA nForce MCP Networking Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 80.58.61.250
DNS Server Search Order: 80.58.61.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F0FAE125-FF20-40FD-B80A-ECFA19BBE22A}: NameServer=80.58.61.250,80.58.61.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F0FAE125-FF20-40FD-B80A-ECFA19BBE22A}: NameServer=80.58.61.250,80.58.61.254
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F0FAE125-FF20-40FD-B80A-ECFA19BBE22A}: NameServer=80.58.61.250,80.58.61.254
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
voilà les rapports
1Navifix:
Search Navipromo version 3.3.0 commencé le 18/10/2007 à 12:30:10.57
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 17.10.2007 à 20h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\mateo\Application Data ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun fichier trouvé dans :
- C:\WINDOWS\system32
- C:\DOCUME~1\MATEO\LOCALS~1\APPLIC~1
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans C:\DOCUME~1\MATEO\LOCALS~1\APPLIC~1 *
*** Recherche fichiers ***
2. Vundofix :
VundoFix V6.5.10
Checking Java version...
Sun Java not detected
Scan started at 12:13:16 18/10/2007
Listing files found while scanning....
No infected files were found.
VundoFix V6.5.10
Checking Java version...
Sun Java not detected
Scan started at 12:27:08 18/10/2007
Listing files found while scanning....
No infected files were found.
et 3. smithfraudfix
SmitFraudFix v2.240
Rapport fait à 12:31:49.82, 18/10/2007
Executé à partir de C:\Documents and Settings\mateo\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\regsvr32.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\msmhost.dll PRESENT !
C:\WINDOWS\privacy_danger PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mateo
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mateo\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\mateo\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: NVIDIA nForce MCP Networking Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 80.58.61.250
DNS Server Search Order: 80.58.61.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F0FAE125-FF20-40FD-B80A-ECFA19BBE22A}: NameServer=80.58.61.250,80.58.61.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F0FAE125-FF20-40FD-B80A-ECFA19BBE22A}: NameServer=80.58.61.250,80.58.61.254
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F0FAE125-FF20-40FD-B80A-ECFA19BBE22A}: NameServer=80.58.61.250,80.58.61.254
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Bonsoir,
Ton fournisseur d'accès est-il bien Rima ?
Tu relances Smitfraud, en suivant ce qui suit :
Redémarre ton ordinateur en mode sans échec : https://www.malekal.com/demarrer-windows-mode-sans-echec/
Ouvre le dossier SmitfraudFix
Double clic sur [b]Smitfraud.cmd[/b] choisis l'option 2 et Entrée
Réponds O aux deux questions suivantes:
-Voulez-vous nettoyer le registre ?
-Corriger le fichier infecté ?
Un rapport.txt sera généré et tu le postes pour contrôle.
Et tu donnes des infos sur tes problèmes.
Ton fournisseur d'accès est-il bien Rima ?
Tu relances Smitfraud, en suivant ce qui suit :
Redémarre ton ordinateur en mode sans échec : https://www.malekal.com/demarrer-windows-mode-sans-echec/
Ouvre le dossier SmitfraudFix
Double clic sur [b]Smitfraud.cmd[/b] choisis l'option 2 et Entrée
Réponds O aux deux questions suivantes:
-Voulez-vous nettoyer le registre ?
-Corriger le fichier infecté ?
Un rapport.txt sera généré et tu le postes pour contrôle.
Et tu donnes des infos sur tes problèmes.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut nardino
Bon j'ai un peu pété un cable hier après avoir essayé tout les antivirus possibles et avoir essayé de comprendre les rapports générés (notamment par Hijakthis). Alors comme j'avais fait pas mal de modif entre-temps et que j'avais un disque dur vierge sous la main j'ai mis linux dessus pour rapatrier mes données et j'ai reformaté le système infécté...
La méthode bourin quoi. Là je me retrouve à tout réinstaller...
Désolé du dérangement.
Ah oui mon fournisseur d'accès c'est Telefonica, je suis en Espagne.
Voilà, ) une prochaine fois (sur un autre topic j'espère).
Mat.
Bon j'ai un peu pété un cable hier après avoir essayé tout les antivirus possibles et avoir essayé de comprendre les rapports générés (notamment par Hijakthis). Alors comme j'avais fait pas mal de modif entre-temps et que j'avais un disque dur vierge sous la main j'ai mis linux dessus pour rapatrier mes données et j'ai reformaté le système infécté...
La méthode bourin quoi. Là je me retrouve à tout réinstaller...
Désolé du dérangement.
Ah oui mon fournisseur d'accès c'est Telefonica, je suis en Espagne.
Voilà, ) une prochaine fois (sur un autre topic j'espère).
Mat.
