Trojan hacktool.rootkit, à laide svp!
Kopernik
-
la solution final -
la solution final -
Bonjour,
Je suis infecté par un virus qu'avast détecte, et nomme "Win32:AgentKCD". Il propose de l'enlever, mais sans résultat : dès que je rallume l'ordinateur, le fichier est de nouveau là.
J'ai fait un scan symantec online, et lui l'appelle "hacktool.Rootkit"... j'ai essayé la méthode de désinfection proposée par symantec sur leur site (avec réinitilisation des clef de registre affectées), mais pas de résulats.
Alors voilà, je lance la procédure suivante, que j'ai trouvé sur ce forum:
"
1/ Télécharger et scanner son PC avec Ewido Security Suite :
https://www.avg.com/en-ww/free-antivirus-download
Copier/coller le rapport entier sur le forum.
2/ Scanner son PC avec cet antivirus en ligne (sous Internet Explorer) :
https://www.bitdefender.com/toolbox/
Cliquer sur "I Agree" et scanner tout le PC.
Penser à accepter l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).
Copier/coller le rapport entier sur le forum.
3/ Télécharger HijackThis :
http://www.merijn.org/files/hijackthis.zip
- L'installer dans son propre dossier.
Par exemple, C:\HijackThis
- Choisir l'option "do a scan and a logfile", attendre que le log se génère puis copier et coller le rapport sur le forum.
Regarder la démo d'utilisation :
http://pageperso.aol.fr/balltrap34/demohijack.htm
(Merci à balltrap34 pour cette réalisation)
__________________________________________________________________________
Voici déjà le rapport d'Ewido:
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 13:00:37 4/11/2007
+ Résultat de l'analyse:
C:\29.tmp -> Dropper.Small.bbs : Nettoyé et sauvegardé (mise en quarantaine).
[1656] VM_01A70000 -> Proxy.Small.ck : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@revenue[1].txt -> TrackingCookie.Revenue : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@trafficmp[1].txt -> TrackingCookie.Trafficmp : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\WINDOWS\SYSTEM32\DefLib.sys -> Trojan.Agent.asu : Nettoyé et sauvegardé (mise en quarantaine).
Fin du rapport
________________________________________________________________________________________
scan de bit defender (il semble que l'antivirus n'arrive pas à tout enlever) :
BitDefender Online Scanner
Scan report generated at: Sun, Nov 04, 2007 - 14:11:14
Scan path: A:\;C:\;D:\;
Statistics
Time
01:05:25
Files
185865
Folders
8044
Boot Sectors
3
Archives
4570
Packed Files
7235
Results
Identified Viruses
2
Infected Files
2
Suspect Files
0
Warnings
0
Disinfected
0
Deleted Files
1
Engines Info
Virus Definitions
860209
Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Scan plugins
14
Archive plugins
38
Unpack plugins
7
E-mail plugins
6
System plugins
1
Scan Settings
First Action
Disinfect
Second Action
Delete
Heuristics
Yes
Enable Warnings
Yes
Scanned Extensions
*;
Exclude Extensions
Scan Emails
Yes
Scan Archives
Yes
Scan Packed
Yes
Scan Files
Yes
Scan Boot
Yes
Scanned File
Status
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Infected with: Trojan.Proxy.Agent.AZP
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Disinfection failed
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Delete failed
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
Infected with: Trojan.Agent.ABGK
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
Disinfection failed
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
Deleted
___________________________________________________________________________________________
et enfin, le rapport de hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 14:24:10, on 4/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\DOCUME~1\CLMENC~1\LOCALS~1\Temp\winlogon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\OLITEC\PC Card 802.11g OLITEC \Installer\Winxp\olitec.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Executive Software\Diskeeper Home Edition\DKService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ccapp.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HyperappelPL2003] C:\Program Files\Larousse\Petit Larousse 2003\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [TalkAndWrite] C:\Documents and Settings\All Users\Application Data\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\CLMENC~1\LOCALS~1\Temp\winlogon.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: olitec.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper Home Edition\DKService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Voilà, à partir de là j’ai vraiment besoin d’aide…..
Merci d’avance
Je suis infecté par un virus qu'avast détecte, et nomme "Win32:AgentKCD". Il propose de l'enlever, mais sans résultat : dès que je rallume l'ordinateur, le fichier est de nouveau là.
J'ai fait un scan symantec online, et lui l'appelle "hacktool.Rootkit"... j'ai essayé la méthode de désinfection proposée par symantec sur leur site (avec réinitilisation des clef de registre affectées), mais pas de résulats.
Alors voilà, je lance la procédure suivante, que j'ai trouvé sur ce forum:
"
1/ Télécharger et scanner son PC avec Ewido Security Suite :
https://www.avg.com/en-ww/free-antivirus-download
Copier/coller le rapport entier sur le forum.
2/ Scanner son PC avec cet antivirus en ligne (sous Internet Explorer) :
https://www.bitdefender.com/toolbox/
Cliquer sur "I Agree" et scanner tout le PC.
Penser à accepter l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).
Copier/coller le rapport entier sur le forum.
3/ Télécharger HijackThis :
http://www.merijn.org/files/hijackthis.zip
- L'installer dans son propre dossier.
Par exemple, C:\HijackThis
- Choisir l'option "do a scan and a logfile", attendre que le log se génère puis copier et coller le rapport sur le forum.
Regarder la démo d'utilisation :
http://pageperso.aol.fr/balltrap34/demohijack.htm
(Merci à balltrap34 pour cette réalisation)
__________________________________________________________________________
Voici déjà le rapport d'Ewido:
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 13:00:37 4/11/2007
+ Résultat de l'analyse:
C:\29.tmp -> Dropper.Small.bbs : Nettoyé et sauvegardé (mise en quarantaine).
[1656] VM_01A70000 -> Proxy.Small.ck : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@revenue[1].txt -> TrackingCookie.Revenue : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@trafficmp[1].txt -> TrackingCookie.Trafficmp : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\WINDOWS\SYSTEM32\DefLib.sys -> Trojan.Agent.asu : Nettoyé et sauvegardé (mise en quarantaine).
Fin du rapport
________________________________________________________________________________________
scan de bit defender (il semble que l'antivirus n'arrive pas à tout enlever) :
BitDefender Online Scanner
Scan report generated at: Sun, Nov 04, 2007 - 14:11:14
Scan path: A:\;C:\;D:\;
Statistics
Time
01:05:25
Files
185865
Folders
8044
Boot Sectors
3
Archives
4570
Packed Files
7235
Results
Identified Viruses
2
Infected Files
2
Suspect Files
0
Warnings
0
Disinfected
0
Deleted Files
1
Engines Info
Virus Definitions
860209
Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Scan plugins
14
Archive plugins
38
Unpack plugins
7
E-mail plugins
6
System plugins
1
Scan Settings
First Action
Disinfect
Second Action
Delete
Heuristics
Yes
Enable Warnings
Yes
Scanned Extensions
*;
Exclude Extensions
Scan Emails
Yes
Scan Archives
Yes
Scan Packed
Yes
Scan Files
Yes
Scan Boot
Yes
Scanned File
Status
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Infected with: Trojan.Proxy.Agent.AZP
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Disinfection failed
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Delete failed
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
Infected with: Trojan.Agent.ABGK
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
Disinfection failed
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
Deleted
___________________________________________________________________________________________
et enfin, le rapport de hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 14:24:10, on 4/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\DOCUME~1\CLMENC~1\LOCALS~1\Temp\winlogon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\OLITEC\PC Card 802.11g OLITEC \Installer\Winxp\olitec.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Executive Software\Diskeeper Home Edition\DKService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ccapp.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HyperappelPL2003] C:\Program Files\Larousse\Petit Larousse 2003\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [TalkAndWrite] C:\Documents and Settings\All Users\Application Data\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\CLMENC~1\LOCALS~1\Temp\winlogon.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: olitec.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper Home Edition\DKService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Voilà, à partir de là j’ai vraiment besoin d’aide…..
Merci d’avance
A voir également:
- Trojan hacktool.rootkit, à laide svp!
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan al11 ✓ - Forum Virus
- Trojan impossible à supprimer! ✓ - Forum Virus
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Trojan win32 - Forum Virus
16 réponses
slt,
utilise pour supprimer tes traces et supprime bien les fichiers temporaires:
CCLEANER: (lance un nettoyage et répare 3 fois les erreurs) sans installer la barre yahoo
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
_______________________
désactive la restauration système pour purger les virus qui seraient dedans puis réactive là (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre
_______________________
Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
utilise pour supprimer tes traces et supprime bien les fichiers temporaires:
CCLEANER: (lance un nettoyage et répare 3 fois les erreurs) sans installer la barre yahoo
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
_______________________
désactive la restauration système pour purger les virus qui seraient dedans puis réactive là (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre
_______________________
Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Merci beaucoup pour la réponse.
Voilà, j'ai fait tout ça (j'ai même réparé le registre une 4 fois, il restait des erreurs.). C'est quoi la suite?
Voici le log.
Search Navipromo version 3.3.4 commencé le dim. 04/11/2007 à 19:07:13.54
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 02.11.2007 à 12h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\Cl‚mence Ringlet\Application Data ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun fichier trouvé dans :
- C:\WINDOWS\system32
- C:\DOCUME~1\CLMENC~1\LOCALS~1\APPLIC~1
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans C:\DOCUME~1\CLMENC~1\LOCALS~1\APPLIC~1 *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
3)Recherche Certificats :
Certificat Egroup absent !
*** Analyse terminée le dim. 04/11/2007 à 19:07:59.01 ***
Voilà, j'ai fait tout ça (j'ai même réparé le registre une 4 fois, il restait des erreurs.). C'est quoi la suite?
Voici le log.
Search Navipromo version 3.3.4 commencé le dim. 04/11/2007 à 19:07:13.54
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 02.11.2007 à 12h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\Cl‚mence Ringlet\Application Data ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun fichier trouvé dans :
- C:\WINDOWS\system32
- C:\DOCUME~1\CLMENC~1\LOCALS~1\APPLIC~1
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans C:\DOCUME~1\CLMENC~1\LOCALS~1\APPLIC~1 *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
3)Recherche Certificats :
Certificat Egroup absent !
*** Analyse terminée le dim. 04/11/2007 à 19:07:59.01 ***
J'ai redémarré mon ordi en attendant...pour info, le virus est toujours là.
Je lance le bit defender et je colle le log après.
Dans tous les cas, merci pour ton aide. J'essaie de m'en débarasser depuis ce matin. Ca fait plaisir de se faire épauler
Je lance le bit defender et je colle le log après.
Dans tous les cas, merci pour ton aide. J'essaie de m'en débarasser depuis ce matin. Ca fait plaisir de se faire épauler
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voilà déjà le rapprt bit defender
BitDefender Online Scanner
Scan report generated at: Sun, Nov 04, 2007 - 20:50:38
Scan path: A:\;C:\;D:\;
Statistics
Time
01:02:01
Files
178658
Folders
7829
Boot Sectors
3
Archives
4460
Packed Files
6803
Results
Identified Viruses
2
Infected Files
2
Suspect Files
0
Warnings
0
Disinfected
0
Deleted Files
1
Engines Info
Virus Definitions
860224
Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Scan plugins
14
Archive plugins
38
Unpack plugins
7
E-mail plugins
6
System plugins
1
Scan Settings
First Action
Disinfect
Second Action
Delete
Heuristics
Yes
Enable Warnings
Yes
Scanned Extensions
*;
Exclude Extensions
Scan Emails
Yes
Scan Archives
Yes
Scan Packed
Yes
Scan Files
Yes
Scan Boot
Yes
Scanned File
Status
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Infected with: Trojan.Proxy.Agent.AZP
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Disinfection failed
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Delete failed
C:\WINDOWS\SYSTEM32\DefLib.sys
Infected with: Trojan.Agent.ABGK
C:\WINDOWS\SYSTEM32\DefLib.sys
Disinfection failed
C:\WINDOWS\SYSTEM32\DefLib.sys
Deleted
BitDefender Online Scanner
Scan report generated at: Sun, Nov 04, 2007 - 20:50:38
Scan path: A:\;C:\;D:\;
Statistics
Time
01:02:01
Files
178658
Folders
7829
Boot Sectors
3
Archives
4460
Packed Files
6803
Results
Identified Viruses
2
Infected Files
2
Suspect Files
0
Warnings
0
Disinfected
0
Deleted Files
1
Engines Info
Virus Definitions
860224
Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Scan plugins
14
Archive plugins
38
Unpack plugins
7
E-mail plugins
6
System plugins
1
Scan Settings
First Action
Disinfect
Second Action
Delete
Heuristics
Yes
Enable Warnings
Yes
Scanned Extensions
*;
Exclude Extensions
Scan Emails
Yes
Scan Archives
Yes
Scan Packed
Yes
Scan Files
Yes
Scan Boot
Yes
Scanned File
Status
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Infected with: Trojan.Proxy.Agent.AZP
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Disinfection failed
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Delete failed
C:\WINDOWS\SYSTEM32\DefLib.sys
Infected with: Trojan.Agent.ABGK
C:\WINDOWS\SYSTEM32\DefLib.sys
Disinfection failed
C:\WINDOWS\SYSTEM32\DefLib.sys
Deleted
Voilà,
j'ai scanné avec avast...et il n'a rien trouvé. C'est en condradiction avec le scan de bit defender (ci-dessus) qui dit avoir trouvé 2 fichers infectés et qu'il n'a pu ni nettoyer ni supprimer.
j'ai scanné avec avast...et il n'a rien trouvé. C'est en condradiction avec le scan de bit defender (ci-dessus) qui dit avoir trouvé 2 fichers infectés et qu'il n'a pu ni nettoyer ni supprimer.
Télécharge OTMoveIt : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
Déplace-le sur ton bureau. Important.
Tu le lances, il ne nécessite pas d'installation.
Tu inscris ou tu colles le chemin du fichier/dossier à supprimer dans la fenêtre de gauche (Paste List of Files/Folders to be moved) et tu cliques sur MoveIt!.
(La case Unregister Dll's and OCX's doit être cochée.)
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Le fichier passe alors dans la fenêtre de droite.
Et tu obtiendras à la racine du système un dossier C:\_OTMoveIt
Dans ce dernier il y aura un sous-dossier Moved Files dans lequel il y aura une sauvegarde du/des fichier(s) supprimé(s) et un fichier
de ce type ********_******.log (mm/jj/aaaa_hh/mm/ss = date et horaire de la suppression) que tu posteras par copier-coller pour contrôle.
Si un redémarrage est demandé, accepte-le après avoir fermé tes applications en cours.
__________________________
si ca persiste
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
Déplace-le sur ton bureau. Important.
Tu le lances, il ne nécessite pas d'installation.
Tu inscris ou tu colles le chemin du fichier/dossier à supprimer dans la fenêtre de gauche (Paste List of Files/Folders to be moved) et tu cliques sur MoveIt!.
(La case Unregister Dll's and OCX's doit être cochée.)
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
Le fichier passe alors dans la fenêtre de droite.
Et tu obtiendras à la racine du système un dossier C:\_OTMoveIt
Dans ce dernier il y aura un sous-dossier Moved Files dans lequel il y aura une sauvegarde du/des fichier(s) supprimé(s) et un fichier
de ce type ********_******.log (mm/jj/aaaa_hh/mm/ss = date et horaire de la suppression) que tu posteras par copier-coller pour contrôle.
Si un redémarrage est demandé, accepte-le après avoir fermé tes applications en cours.
__________________________
si ca persiste
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
Merci, j'essaierai ça en rentrant chez moi ce soir.
Une question : en passant un scan avec noAdaware (le scan est gratuit, masi pas l'antivirus complet), il a repéré toute une partie de la base de registre corrompue, au nom de "kazaa" (dans hkey_local_machine, je crois), alors que Kazaa n'a jamais été installé sur l'ordi, je crois (je vérifie auprès de ma compagne, à qui appartient l'ordi)... Il pourrait y avoir un rapport avec le virus?
Une question : en passant un scan avec noAdaware (le scan est gratuit, masi pas l'antivirus complet), il a repéré toute une partie de la base de registre corrompue, au nom de "kazaa" (dans hkey_local_machine, je crois), alors que Kazaa n'a jamais été installé sur l'ordi, je crois (je vérifie auprès de ma compagne, à qui appartient l'ordi)... Il pourrait y avoir un rapport avec le virus?
oui kazaa est souvent associé avec des espions , desisntalle le via AJOUT/suprreseeion de prog
________
lance aussi spybot: pour supprimer les espions
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html
________
lance aussi spybot: pour supprimer les espions
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html
Je ne dois pas aussi virer DefLib.sys, tant que j'y suis?? (Pour l'instant, je l'ai laissé, mais il est infecté aussi d'après bit defender, non?)
Autre chose : j'ai été dans ajout/suppression de programmes...pas de kazaa, louche non?
Je redémarre mon ordi et je te dis s'il reste une crasse
Voici le rapport move it:
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe moved successfully.
Created on 11/05/2007 19:17:26
Autre chose : j'ai été dans ajout/suppression de programmes...pas de kazaa, louche non?
Je redémarre mon ordi et je te dis s'il reste une crasse
Voici le rapport move it:
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe moved successfully.
Created on 11/05/2007 19:17:26
Ca a l'air bon : plus d'alerte avast au démarrage.
Merci beaucoup pour le coup de main!!!!!!
Juste avant de te lacher, tu pourrais me dire
-si je dois aussi utiliser move it pour supprimer DefLib.sys (indiqué comme infecté par bit defender)
-comment supprimer cette base de registre Kazaa? (Le programme n'est pas dans la liste quand je démarre "ajout/suppression de programmes").
Merci beaucoup pour le coup de main!!!!!!
Juste avant de te lacher, tu pourrais me dire
-si je dois aussi utiliser move it pour supprimer DefLib.sys (indiqué comme infecté par bit defender)
-comment supprimer cette base de registre Kazaa? (Le programme n'est pas dans la liste quand je démarre "ajout/suppression de programmes").
tu peux supprimer DefLib.sys
avec move it ou tu le supprime manuellement
____________
tu fais demarrer puis RECHERCHER puis tu recherche kazaa et tu vire
______________
pour protéger gratos ton ordi
http://www.commentcamarche.net/telecharger/logiciel 4 securite
mettre un antivirus
AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
AD AWARE + SPYBOT + si tea timer non active de spybot: WINDOWS DEFENDER ou SPYWARE TERMINATOR
+/-
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...
Rq : spybot et ad-aware on sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm
-----------
CCLEANER pour effacer les traces de surf
avec move it ou tu le supprime manuellement
____________
tu fais demarrer puis RECHERCHER puis tu recherche kazaa et tu vire
______________
pour protéger gratos ton ordi
http://www.commentcamarche.net/telecharger/logiciel 4 securite
mettre un antivirus
AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
AD AWARE + SPYBOT + si tea timer non active de spybot: WINDOWS DEFENDER ou SPYWARE TERMINATOR
+/-
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...
Rq : spybot et ad-aware on sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm
-----------
CCLEANER pour effacer les traces de surf
toujours pas de kazaa dans les résultats de recherche. Bah, pas grave
En tout cas, encore merci pour tout.
Pour les protections, j'ai AVAST, Ad aware et le pare-feu Windows. Mais apparemment, c'est pas au point, je vais passer sur antivir et installer spybot et windows defender en plus (il faut vraiment 3 logiciels????).
Merci des conseils
En tout cas, encore merci pour tout.
Pour les protections, j'ai AVAST, Ad aware et le pare-feu Windows. Mais apparemment, c'est pas au point, je vais passer sur antivir et installer spybot et windows defender en plus (il faut vraiment 3 logiciels????).
Merci des conseils
si tu active le tea timer de spybot windows defender n'est pas necéssaire
par contre remplace le parefeu de windows par un des trois autres car plus efficaces, ils analysent ce qui rentre et sort de ton ordi alors que le parefeu de windows n'analyse que ce qui rentre (rq: desactiver le parefeu de windows avant d'installer un autre
par contre remplace le parefeu de windows par un des trois autres car plus efficaces, ils analysent ce qui rentre et sort de ton ordi alors que le parefeu de windows n'analyse que ce qui rentre (rq: desactiver le parefeu de windows avant d'installer un autre
salut
je suis de liban
i will speak in english sorry but i find teh solution and he worj with me
1- go to safe mode >> restart the pc and press F8
after that
open any page internet explorer and type at the address bad
%temp%
and delete all file u find it .
the virus it's there and his name winlogon.exe
after
go to Run
and type msconfig
>>> startup
>>>>> unselect the winlogon
after restart the pc
and that it
:)
bye bye
je suis de liban
i will speak in english sorry but i find teh solution and he worj with me
1- go to safe mode >> restart the pc and press F8
after that
open any page internet explorer and type at the address bad
%temp%
and delete all file u find it .
the virus it's there and his name winlogon.exe
after
go to Run
and type msconfig
>>> startup
>>>>> unselect the winlogon
after restart the pc
and that it
:)
bye bye
