infection trojan vundo.gen helpRésolu/Fermé

Question

Bonjour,
Avira me détecte un trojan vundo.gen, dans C:\windows\system32\awtsr.dll  et dans C:\windows\system32\hggeffd.dll, je suis obligée de désactiver antivir guard à chaque démarrage sans quoi il m'envoie plein de messages de détection mais ne peut rien faire, et me bloque totalement, voici un rapport hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 15:53:25, on 10/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\utilitaire
ero\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\kerio\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\kerio\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\utilitaire
ero\InCD\InCD.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Fichiers communs\AOL\1166744164\ee\AOLSoftware.exe
C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqWRG.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\UTILIT~1\POP-UP~1\PSFree.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\ethan\Application Data\WinButler\WinButler.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\utilitaire\picture package\Picture Package Menu\SonyTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\utilitaire\picture package\Picture Package Applications\Residence.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\kerio\Personal Firewall\kpf4gui.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: (no name) - {0209CB5B-3DEA-4694-91D9-033F200B5824} - C:\WINDOWS\system32\awtsr.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {ED120D76-BF31-412C-A99B-783C6676E128} - C:\WINDOWS\system32\hggeffd.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\utilitaire
ero\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe"  -osboot
O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Program Files\SinEspias
o-spy.exe /autorun
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1166744164\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [HPpromo psc 2175] "C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqWRG.exe" /N "psc 2175" -r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\AdobeReader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\UTILIT~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinButler] C:\Documents and Settings\ethan\Application Data\WinButler\WinButler.exe
O4 - HKCU\..\Run: [SfKg6wIPu] C:\Documents and Settings\ethan\Application Data\Microsoft\Windows\aghqehb.exe
O4 - Startup: Ubisoft register.lnk = C:\Program Files\Ubisoft\Crytek\Far Cry\Registeregister\schedule.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Picture Package Menu.lnk = C:\Program Files\utilitaire\picture package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Program Files\utilitaire\picture package\Picture Package Applications\Residence.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\aolserv.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\utilitaire
ero\InCD\InCDsrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\kerio\Personal Firewall\kpf4ss.exe
O23 - Service: SPYWAREfighterRP - Unknown owner - C:\Program Files\SPYWAREfighter\spfprc.exe (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

merci de votre aide

jorginho67 · Answer

(1)  Télécharge VundoFix.exe par Atribune  sur ton Bureau.

#  Double-clique sur VundoFix.exe afin de le lancer
  Clique sur le bouton Scan for Vundo
  Lorsque le scan est terminé, clique sur le bouton Remove Vundo
  Une invite te demandera si tu veux supprimer les fichiers, clique YES
  Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK

Le  rapport est situé dans C:\vundofix.txt 

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage. 
Il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

(2)  Télécharge virtumondebegone 
    
#  Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.

Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau, celui de vundofix situé dans C:\vundofix.txt et un nouveau rapport HijackThis dans ta prochaine réponse.


@+

jorginho67 · Answer

Ta version HJT est obsolete ! Supprime la et prends celle ci ! Télécharge HIJACKTHIS HIJACKTHIS <--- ici. Enregistre HJTInstall.exe sur ton bureau. Ace moment là, clic droit et renommer , nomme la CCM.ex ( par exemple ) Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là : C:\Program Files\HijackThis\HijackThis.exe Accepte la license en cliquant sur le bouton "I Accept" Relance Hijackthis en double cliquant sur son raccourci sur le Bureau. Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" ->> Copier" pour copier tout le contenu du rapport Comment fixer les lignes et générer un rapport <---- voir ici Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement IMPERATIF !! Avant de lancer HIJACKTHIS , il faut fermer tous les programmes ouverts, se déconnecter d' INTERNET !! @+

jorginho67 · Answer

Refais moi un vundofix stp, je pense qu'il en reste.........
# Double-clique sur VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est terminé, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK

Le rapport est situé dans C:\vundofix.txt

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage.
Il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

jorginho67 · Answer

Vundo addmoreFiles 

Double-clique sur  VundoFix.exe afin de le lancer.
Ne clique pas sur le bouton Scan for Vundo mais fais un clic droit dans la fenêtre blanche et clique "Add more files?"
Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (au haut):

C:\windows\system32\hggeffd.dll 

Copie/colle le chemin du fichier suivant dans la seconde case (au centre):


Clique sur le bouton "Add File(s)"
Clique sur le bouton "Close Window"
Clique à nouveau sur "Remove Vundo"
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

@+

@+

jorginho67 · Answer

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". O2 - BHO: (no name) - {204A1098-B7ED-4362-8F3C-CCDE13FEF972} - C:\WINDOWS\system32\awtsr.dll (file missing) O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun O4 - HKLM\..\Run: [stnospy] C:\Program Files\SinEspias o-spy.exe /autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\AdobeReader 8.0\Reader\Reader_sl.exe" O4 - Global Startup: hpoddt01.exe.lnk = ? tuto en images ferme Hjt ! Tu me feras ceci tranquilement ... La console Java n'est pas à jour: Faille de sécurité !!! Clique sur Download Latest Version Choisis la première ligne de téléchargement puis installe java. En fin d'installation, revient sur la page pour vérifier ton installation. Quand l'installation a réussi, ouvre le panneau de configuration > Ajout/suppression de programmes et supprimes les anciennes versions (de java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. Fais cela pour chacune d'elle, une a une, fais redémarrer ton PC quand cela te le sera demandé . Tu gardes la Java\jre1.6.0_05 ! ---------------------------------------------------------------------------- Je te conseille de copie/coler ce texte et de l'enregister sur ton bureau ! noirci le texte a l'aide de ta souris, puis clic droit > copier! fais un clic droit sur ton bureau et selectionnes > nouveau > doccument texte colles le texte dans le blocnotes ! laisse le sur le bureau . Important: tu n'auras pas accès à Internet à partir du moment ou te redémarrera en mode sans échec Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous. Si un élément te paraît obscur, demande des explications avant de commencer la désinfection 1)Télécharge si tu ne les as pas ... CCleaner << ici . Choisi de préférence la version SLIM-No Toolbar. Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour. Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Pour les autres paramètres, laisse-le avec ses réglages par défaut. Ferme le programme pour l’instant. la version d'essai d 'AVG Anti-Spyware 7.5 << ici TUTO d'installation à lire absolument Installe la puis...Lancer AVG Anti-Spyware. Clique sur le menu Mise à jour. Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour. Attends la fin de cette mise à jour puis ferme le programme. Ne pas lancer d'analyse maintenant 2) Redémarre en mode sans échec Regarde ici si besoin avant ici : demarrer en mode sans echec Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuie sur [Entrée] Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre. Ouvre le document texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut. 3) Lance AVG Anti-Spyware 7.5 Clique sur le menu Analyse puis sur l' onglet Paramètres. Dans Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine. Ensuite dans Comment faire l' analyse ? et dans Programmes potentiellement dangereux, vérifie que toutes les cases soient cochées. Idem pour le bouton-radio Générer un rapport après chaque analyse. Dans l' onglet Analyse, clique sur Analyse complète du système. Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l' exécution d' Avg antispyware, cela pourrait interférer avec le procéssus de recherche. Très important : A la fin de l' analyse, coche tout ce qui a été trouvé puis clique sur Appliquer toutes les actions. Clique ensuite sur Enregistrer le rapport (celui-ci génère un rapport en fichier texte qui se trouve dans le dossier reports du dossier d' AVG Antispyware de C:\Programfiles\AVG Antispyware 7.5\Reports). Ferme AVG Antispyware. 4) Lance : CCleaner Dans le menu Nettoyeur, clique sur Analyse (laisse-le travailler, cela peut durer longtemps la 1ère fois). Puis clique sur le bouton Lancer le nettoyage. Fais cela plusieurs fois jusqu'a ne plus rien avoir a nettoyer et ferme CCleaner 5) Redémarre en mode normal : Poste le rapport Avg antispyware. @+ Jo.

jorginho67 · Answer

Logfile of HijackThis v1.99.1   tu la sort d'ou cette version ?
Elle est obsolete .

Logfile of Trend Micro HijackThis v2.0.2  je t'ai fait télécharger la bonne, tu m'a même posté un log avec
http://www.commentcamarche.net/forum/affich 5394258 infection trojan vundo gen help#3

Il faut que tu retrouve le bon icone... essaye avec l'autre que tu doit avoir ( pas celui que tu viens d'utiliser )

jorginho67 · Answer

Attention avec ça > Shareaza ;-// après, faut pas se plaindre..... ça semble ok, mais j'ai un doute avec ces dossiers ! Il va falloir analyser un fichier suspect ! Il se peut qu'il se trouve dans les " dossiers cachés " du systeme. Il faut donc les rendre visibles pour le scan. Pour afficher les dossiers et fichiers cachés: Panneau de configuration > Options des dossiers > onglet Affichage. coche Afficher les fichiers et dossiers cachés, décoche Masquer les extensions de fichiers connus décoche Masquer les fichiers protégés du Système. Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix. Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence. Lorsque tu aura fini d'intervenir dans les répertoires système, fait la manip inverse pour recacher les fichiers système. Rend toi chez Virus Total pour analyser ce fichier. Clik sur parcourir Recherche ceci : C:\Documents and Settings\ethan\Application Data\WinButler\WinButler.exe C:\Documents and Settings\ethan\Application Data\Microsoft\Windows\aghqehb.exe Fais le un dossier à la fois ! Clik send et poste le rapport ici stp Comment faire <<< Aide toi de ce tuto.

jorginho67 · Answer

1) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.


2) Relance HijackThis, choisis "do a scan only"  
coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

O4 - HKCU\..\Run: [WinButler] C:\Documents and Settings\ethan\Application Data\WinButler\WinButler.exe
O4 - HKCU\..\Run: [SfKg6wIPu] C:\Documents and Settings\ethan\Application Data\Microsoft\Windows\aghqehb.exe 

tuto en images


3) double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous, ( en gras )

C:\Documents and Settings\ethan\Application Data\WinButler\WinButler.exe
C:\Documents and Settings\ethan\Application Data\Microsoft\Windows\aghqehb.exe 

et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved.
(La case Unregister Dll's and OCX's doit être cochée.)
tutoriel en cas de doute

clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results à droite.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
EN CAS DE DOUTE REGARDE ce TUTO

Un rapport sera enregistré dans C:\_OTMoveIt\MovedFiles.(xxxxxxxx_xxxxxx.log)
Les x sont des chiffres qui correspondent à la date et l'heure du scan.
Poste le moi stp !
  
@+

jorginho67 · Answer

Est ce que tu as fais ceci ?
Relance HijackThis, choisis "do a scan only"
coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

O4 - HKCU\..\Run: [WinButler] C:\Documents and Settings\ethan\Application Data\WinButler\WinButler.exe
O4 - HKCU\..\Run: [SfKg6wIPu] C:\Documents and Settings\ethan\Application Data\Microsoft\Windows\aghqehb.exe


Refais un scan HJT et poste moi le log stp .

jorginho67 · Answer

Note: 
Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer > Paramètres > Panneau de configuration > Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.


(1)
Télécharger et installer Ccleaner Slim dans un dossier spécifique, par exemple C:\ccleaner
Page de téléchargement: https://www.ccleaner.com/ccleaner/download

Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch

- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures

- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


(2)
Télécharger la version d'essai de AVG Anti-Spyware depuis https://www.avg.com/en-ww/free-antivirus-download
L'installer.

Lancer AVG Anti-Spyware.
Cliquer sur le menu Analyse.
Cliquer sur l'onglet Paramètres.
Dans Comment réagir ?, cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse ?, vérifier que toutes les cases soient cochées.
Dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées.
Vérifier que le bouton-radio Ne pas générer automatiquement de rapport soit coché.

Cliquer sur le menu Mise à jour.
Si nécessaire, dans la colonne Paramètres (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant !

(3)
Redémarrer en mode sans échec en utilisant la méthode F8 (F5 sur certains PCs).
Voir http://assiste.com.free.fr/...
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.

(4)
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse.
Cliquer sur Analyse complète du système.
IMPORTANT: Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.

A la fin de l'analyse, cliquer sur Appliquer toutes les actions
Ensuite, Sauver le rapport: Enregistrer le rapport d'analyse puis Enregistrer le rapport sous.
Fermer AVG Anti-Spyware. 

poste moi le rapport stp !

@+

jorginho67 · Answer

Re !

Refais moi un log Hijack's stp !

Ce devrait etre bon...

@+

chacha106 · Answer

Bonjour Jo, voici le log hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:42, on 2008-03-25
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\utilitaire
ero\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\kerio\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\kerio\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\kerio\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\utilitaire
ero\InCD\InCD.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Fichiers communs\AOL\1166744164\ee\AOLSoftware.exe
C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\UTILIT~1\POP-UP~1\PSFree.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\utilitaire\picture package\Picture Package Menu\SonyTray.exe
C:\Program Files\utilitaire\picture package\Picture Package Applications\Residence.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\utilitaire
ero\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe"  -osboot
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1166744164\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [HPpromo psc 2175] "C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqWRG.exe" /N "psc 2175" -r
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\UTILIT~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Picture Package Menu.lnk = C:\Program Files\utilitaire\picture package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Program Files\utilitaire\picture package\Picture Package Applications\Residence.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\aolserv.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\utilitaire
ero\InCD\InCDsrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\kerio\Personal Firewall\kpf4ss.exe
O23 - Service: SPYWAREfighterRP - Unknown owner - C:\Program Files\SPYWAREfighter\spfprc.exe (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

jorginho67 · Answer

Ok, c'est propre !

Pour nettoyer les outils téléchargés pendant cette désinfection qui ne te serviront  plus, vu qu'ils sont mis a jour régulierement, il vaut mieux les télécharger en cas de besoin au dernier moment .......:

Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

Double-clique sur ToolsCleaner2.exe et 
Clique sur Recherche et laisse le scan se terminer.
Clique, sur Suppression pour finaliser.
# Ton Bureau va disparaître. Ceci est normal.
# S'il ne réapparait pas, fais ceci : CTRL+ALT+SUP pour faire apparaître le gestionnaire de tâches.
Rends-toi à l'onglet Processus, clique en haut à gauche sur "Fichiers" et choisis "Exécuter". 
Tape "explorer" et valide. Cela te fera ré-apparaître ton Bureau.

Tu peux, et dois te servir des Options facultatives.
- Point de Restauration.
- Corbeille. ------------------------------------------------> a faire !
- Nettoyage des fichiers Temporaires.------------------------> a faire !
Clique sur quitter, pour que le rapport puisse se créer.

Ferme le rapport qui s'ouvre, et poste le dans ta prochaine réponse.
  Il se trouve a la racine du disque C:\TCleaner.txt


ensuite je te donne quelques conseils pourque tu puisses surfer avec un max de tranquilité !

jorginho67 · Answer

Tu pourras utiliser ToolsCleaner de temps en temps pour nettoyer la corbeille, etc...etc ...! *. Maintenant que ton ordinateur est propre je te conseille de créer un point de restauration sain, comme ça en cas de probleme (virus , plantage ..ect) tu pourras toujours revenir en arriere Désactive ta "Restauration du système" puis réactive la. (1) Désactivation Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs" Appliquer . patiente jusqu a que cela soit marqué "désactivée" puis Ok. (2) Activation Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs" Appliquer. attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarre l'ordinateur ! ------------------------------------------------------------------------------------------------------------ *.Rétablir l'affichage des dossiers: Démarrer, Poste de travail ou autre dossier, Menu Outils, Options des dossiers, onglet Affichage : Activer l'option : Ne pas afficher les fichiers et dossiers cachés Activer l'option : Masquer les fichiers protégés du système d'exploitation Laisser désactivé : Masquer les extensions des fichiers dont le type est connu ------------------------------------------------------------------------------------------------------------ prends le temps de lire ceci ! La meilleur protection reste une connaissance minimale des infections et leurs méthodes de propagation. Securiser son ordinateur et connaître les menaces Comment je me fais infecter Conseils de base pour surfer avec un max de sécurité *. Utiliser le navigateur Mozzilla plus sur que IE7 POURQUOI ? Lire Attentivement ceci Tutoriel pour le sécuriser *. Vérifie les mises a jours des différents softs régulièrement ici https://www.flexera.com/products/operations/software-vulnerability-management.html Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ Pour java il faut désinstaller les anciennes versions (de java) via panneau de config / ajouts et suppression de programme *. Ne pas telecharger n'importe quoi, eviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games ...ect *. Toujours analyser les fichiers telechargés depuis un peer to peer (emule ,Shareaza, kazza ... ect) avant de les executer Un peu de lecture à ce sujet *. Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir *. Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus *. MSN PREVENTION ---------------------------------------------------------------------------------------------------------------- *. Passe regulierement les antispywares, Passe regulierement les antispywares, un seul, pas la peine d'en avoir plusieurs... Pense a les mettre a jour avant de les lancer c'est tres important *. Malwarebytes' Anti-malware << ici TUTO D'UTILISATION *. Ad-aware 2007 free 7.0.2.6 > http://www.commentcamarche.net/telecharger/telecharger 83 ad aware 2007 free *. spybot 1.5.1 > http://www.commentcamarche.net/telecharger/telecharger 122 spybot *. AVG as 7.5.1.43 > http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware *. Supprime regulierement les fichiers inutiles (fichiers temporaires , cookies .. ect) a l'aide de CCleaner https://www.malekal.com/tutoriel-ccleaner/ *. CCleaner 2.04.543 > http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner *. Nettoie ta base de registre avec regcleaner https://www.malekal.com/nettoyer-sa-base-de-registre-avec-windows-registry-cleaner/ *. RegCleaner 4.3.0.780 >http://www.commentcamarche.net/telecharger/telecharger 171 regcleaner ------------------------------------------------------------------------------------------------------------------ Il est possible de temps en temps de supprimer le contenu du dossier c/windows/prefetch pour accelerer le demarrage de windows , mais seulement le contenu non le dossier... VIDE le !!! - Clique sur l'icône Poste de travail - Sélectionne le disque c:\ - Positionne toi dans le dossier c:\Windows\Prefetch - Sélectionne le Menu Edition, Sélectionner tout - Appuie sur le touche Suppr du clavier afin de vider ce dossier ------------------------------------------------------------------------------------------------------------------- *. Pense a défragmenter ton Disque Dur au moins une fois par mois ! comment ? http://www.infetech.com/article.php3?id_article=69 -------------------------------------------------------------------------------------------------------------------- Encore un peu de lecture : sécuriser son pc et connaitre les menaces tu peux mettre le sujet en résolu ! @+

Infection trojan vundo.gen help

14 réponses

Discussions similaires

Newsletters