Trojan hacktool.rootkit, à laide svp!

Kopernik -  
 la solution final -
Bonjour,

Je suis infecté par un virus qu'avast détecte, et nomme "Win32:AgentKCD". Il propose de l'enlever, mais sans résultat : dès que je rallume l'ordinateur, le fichier est de nouveau là.
J'ai fait un scan symantec online, et lui l'appelle "hacktool.Rootkit"... j'ai essayé la méthode de désinfection proposée par symantec sur leur site (avec réinitilisation des clef de registre affectées), mais pas de résulats.

Alors voilà, je lance la procédure suivante, que j'ai trouvé sur ce forum:

"
1/ Télécharger et scanner son PC avec Ewido Security Suite :
https://www.avg.com/en-ww/free-antivirus-download
Copier/coller le rapport entier sur le forum.

2/ Scanner son PC avec cet antivirus en ligne (sous Internet Explorer) :
https://www.bitdefender.com/toolbox/
Cliquer sur "I Agree" et scanner tout le PC.
Penser à accepter l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).
Copier/coller le rapport entier sur le forum.

3/ Télécharger HijackThis :
http://www.merijn.org/files/hijackthis.zip
- L'installer dans son propre dossier.
Par exemple, C:\HijackThis
- Choisir l'option "do a scan and a logfile", attendre que le log se génère puis copier et coller le rapport sur le forum.

Regarder la démo d'utilisation :
http://pageperso.aol.fr/balltrap34/demohijack.htm
(Merci à balltrap34 pour cette réalisation)

__________________________________________________________________________

Voici déjà le rapport d'Ewido:

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 13:00:37 4/11/2007

+ Résultat de l'analyse:

C:\29.tmp -> Dropper.Small.bbs : Nettoyé et sauvegardé (mise en quarantaine).
[1656] VM_01A70000 -> Proxy.Small.ck : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@revenue[1].txt -> TrackingCookie.Revenue : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@trafficmp[1].txt -> TrackingCookie.Trafficmp : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\WINDOWS\SYSTEM32\DefLib.sys -> Trojan.Agent.asu : Nettoyé et sauvegardé (mise en quarantaine).

Fin du rapport

________________________________________________________________________________________

scan de bit defender (il semble que l'antivirus n'arrive pas à tout enlever) :

BitDefender Online Scanner

Scan report generated at: Sun, Nov 04, 2007 - 14:11:14

Scan path: A:\;C:\;D:\;

Statistics

Time
01:05:25

Files
185865

Folders
8044

Boot Sectors
3

Archives
4570

Packed Files
7235

Results

Identified Viruses
2

Infected Files
2

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
1

Engines Info

Virus Definitions
860209

Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
14

Archive plugins
38

Unpack plugins
7

E-mail plugins
6

System plugins
1

Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions

Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes

Scanned File
Status

C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Infected with: Trojan.Proxy.Agent.AZP

C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Disinfection failed

C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Delete failed

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
Infected with: Trojan.Agent.ABGK

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
Disinfection failed

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
Deleted

___________________________________________________________________________________________

et enfin, le rapport de hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:24:10, on 4/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\DOCUME~1\CLMENC~1\LOCALS~1\Temp\winlogon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\OLITEC\PC Card 802.11g OLITEC \Installer\Winxp\olitec.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Executive Software\Diskeeper Home Edition\DKService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ccapp.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HyperappelPL2003] C:\Program Files\Larousse\Petit Larousse 2003\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [TalkAndWrite] C:\Documents and Settings\All Users\Application Data\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\CLMENC~1\LOCALS~1\Temp\winlogon.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: olitec.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper Home Edition\DKService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Voilà, à partir de là j’ai vraiment besoin d’aide…..

Merci d’avance
Configuration: Windows XP
Internet Explorer 6.0

16 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    utilise pour supprimer tes traces et supprime bien les fichiers temporaires:

    CCLEANER: (lance un nettoyage et répare 3 fois les erreurs) sans installer la barre yahoo

    https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

    _______________________

    désactive la restauration système pour purger les virus qui seraient dedans puis réactive là (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre

    _______________________

    Fais un clic droit sur ce lien : (IL-MAFIOSO)
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
    0
  2. Kopernik
     
    Merci beaucoup pour la réponse.

    Voilà, j'ai fait tout ça (j'ai même réparé le registre une 4 fois, il restait des erreurs.). C'est quoi la suite?

    Voici le log.

    Search Navipromo version 3.3.4 commencé le dim. 04/11/2007 à 19:07:13.54

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 02.11.2007 à 12h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2800.1106

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\Cl‚mence Ringlet\Application Data ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun fichier trouvé dans :

    - C:\WINDOWS\system32
    - C:\DOCUME~1\CLMENC~1\LOCALS~1\APPLIC~1

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\WINDOWS\system32 *

    * Recherche dans C:\DOCUME~1\CLMENC~1\LOCALS~1\APPLIC~1 *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :

    3)Recherche Certificats :

    Certificat Egroup absent !

    *** Analyse terminée le dim. 04/11/2007 à 19:07:59.01 ***
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu peux desinstaller navilog

    _____________

    refais un scan en ligne bitdefender et colle le rapport
    0
  4. Kopernik
     
    J'ai redémarré mon ordi en attendant...pour info, le virus est toujours là.

    Je lance le bit defender et je colle le log après.

    Dans tous les cas, merci pour ton aide. J'essaie de m'en débarasser depuis ce matin. Ca fait plaisir de se faire épauler
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    colle aussi un rapport avas t et dis les fichiers infectés
    0
  7. Kopernik
     
    voilà déjà le rapprt bit defender

    BitDefender Online Scanner

    Scan report generated at: Sun, Nov 04, 2007 - 20:50:38

    Scan path: A:\;C:\;D:\;

    Statistics

    Time
    01:02:01

    Files
    178658

    Folders
    7829

    Boot Sectors
    3

    Archives
    4460

    Packed Files
    6803

    Results

    Identified Viruses
    2

    Infected Files
    2

    Suspect Files
    0

    Warnings
    0

    Disinfected
    0

    Deleted Files
    1

    Engines Info

    Virus Definitions
    860224

    Engine build
    AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

    Scan plugins
    14

    Archive plugins
    38

    Unpack plugins
    7

    E-mail plugins
    6

    System plugins
    1

    Scan Settings

    First Action
    Disinfect

    Second Action
    Delete

    Heuristics
    Yes

    Enable Warnings
    Yes

    Scanned Extensions
    *;

    Exclude Extensions

    Scan Emails
    Yes

    Scan Archives
    Yes

    Scan Packed
    Yes

    Scan Files
    Yes

    Scan Boot
    Yes

    Scanned File
    Status

    C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
    Infected with: Trojan.Proxy.Agent.AZP

    C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
    Disinfection failed

    C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
    Delete failed

    C:\WINDOWS\SYSTEM32\DefLib.sys
    Infected with: Trojan.Agent.ABGK

    C:\WINDOWS\SYSTEM32\DefLib.sys
    Disinfection failed

    C:\WINDOWS\SYSTEM32\DefLib.sys
    Deleted
    0
  8. Kopernik
     
    Voilà,

    j'ai scanné avec avast...et il n'a rien trouvé. C'est en condradiction avec le scan de bit defender (ci-dessus) qui dit avoir trouvé 2 fichers infectés et qu'il n'a pu ni nettoyer ni supprimer.
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Télécharge OTMoveIt : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

    Déplace-le sur ton bureau. Important.
    Tu le lances, il ne nécessite pas d'installation.

    Tu inscris ou tu colles le chemin du fichier/dossier à supprimer dans la fenêtre de gauche (Paste List of Files/Folders to be moved) et tu cliques sur MoveIt!.
    (La case Unregister Dll's and OCX's doit être cochée.)

    C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe

    Le fichier passe alors dans la fenêtre de droite.
    Et tu obtiendras à la racine du système un dossier C:\_OTMoveIt
    Dans ce dernier il y aura un sous-dossier Moved Files dans lequel il y aura une sauvegarde du/des fichier(s) supprimé(s) et un fichier
    de ce type ********_******.log (mm/jj/aaaa_hh/mm/ss = date et horaire de la suppression) que tu posteras par copier-coller pour contrôle.

    Si un redémarrage est demandé, accepte-le après avoir fermé tes applications en cours.

    __________________________

    si ca persiste

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :

    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."
    0
  10. Kopernik
     
    Merci, j'essaierai ça en rentrant chez moi ce soir.

    Une question : en passant un scan avec noAdaware (le scan est gratuit, masi pas l'antivirus complet), il a repéré toute une partie de la base de registre corrompue, au nom de "kazaa" (dans hkey_local_machine, je crois), alors que Kazaa n'a jamais été installé sur l'ordi, je crois (je vérifie auprès de ma compagne, à qui appartient l'ordi)... Il pourrait y avoir un rapport avec le virus?
    0
  11. Kopernik
     
    Je ne dois pas aussi virer DefLib.sys, tant que j'y suis?? (Pour l'instant, je l'ai laissé, mais il est infecté aussi d'après bit defender, non?)

    Autre chose : j'ai été dans ajout/suppression de programmes...pas de kazaa, louche non?

    Je redémarre mon ordi et je te dis s'il reste une crasse

    Voici le rapport move it:

    C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe moved successfully.

    Created on 11/05/2007 19:17:26
    0
  12. Kopernik
     
    Ca a l'air bon : plus d'alerte avast au démarrage.

    Merci beaucoup pour le coup de main!!!!!!

    Juste avant de te lacher, tu pourrais me dire
    -si je dois aussi utiliser move it pour supprimer DefLib.sys (indiqué comme infecté par bit defender)
    -comment supprimer cette base de registre Kazaa? (Le programme n'est pas dans la liste quand je démarre "ajout/suppression de programmes").
    0
  13. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu peux supprimer DefLib.sys
    avec move it ou tu le supprime manuellement
    ____________

    tu fais demarrer puis RECHERCHER puis tu recherche kazaa et tu vire

    ______________

    pour protéger gratos ton ordi

    http://www.commentcamarche.net/telecharger/logiciel 4 securite

    mettre un antivirus

    AVAST en français ou ANTIVIR (en anglais mais très efficace)
    https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
    -------------
    des anti-espions :
    AD AWARE + SPYBOT + si tea timer non active de spybot: WINDOWS DEFENDER ou SPYWARE TERMINATOR

    +/-
    SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

    Rq : spybot et ad-aware on sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
    --------
    un pare feu :
    celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

    https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
    https://manuelsdaide.com/contact/
    http://www.open-files.com/forum/index.php?showtopic=29277
    http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

    -----------

    CCLEANER pour effacer les traces de surf
    0
  14. Kopernik
     
    toujours pas de kazaa dans les résultats de recherche. Bah, pas grave

    En tout cas, encore merci pour tout.

    Pour les protections, j'ai AVAST, Ad aware et le pare-feu Windows. Mais apparemment, c'est pas au point, je vais passer sur antivir et installer spybot et windows defender en plus (il faut vraiment 3 logiciels????).

    Merci des conseils
    0
  15. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    si tu active le tea timer de spybot windows defender n'est pas necéssaire

    par contre remplace le parefeu de windows par un des trois autres car plus efficaces, ils analysent ce qui rentre et sort de ton ordi alors que le parefeu de windows n'analyse que ce qui rentre (rq: desactiver le parefeu de windows avant d'installer un autre
    0
  16. la solution final
     
    salut
    je suis de liban
    i will speak in english sorry but i find teh solution and he worj with me

    1- go to safe mode >> restart the pc and press F8
    after that
    open any page internet explorer and type at the address bad
    %temp%

    and delete all file u find it .
    the virus it's there and his name winlogon.exe

    after

    go to Run
    and type msconfig

    >>> startup
    >>>>> unselect the winlogon

    after restart the pc

    and that it
    :)

    bye bye
    0