Infection avec un trojan win32\Agent.okd [Résolu/Fermé]

Signaler
-
Messages postés
9638
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
-
Bonjour,

tout d'abord je tiens a vous remercier pour votre travail, tant de fois j'ai trouvé les solutions sans poster le moindre message :)

mais il y a un début a tout, hélas :(

je vous expose mon problème.

j'ai eu plusieurs infections sur un PC qui tourne sous XP SP3 le soucis c'est que je ne peux même pas nettoyer et pour cause je n'arrive pas a installer de logiciel que ce soit Antivirus, Anti Spy ou autre

Je n'ai ni internet, la page censée afficher mes périphériques dans le Gestionnaire de périph est désespérément vierge, les outils d'admin ( Services.msc et autres ) le sont aussi, plus d'imprimantes, en gros il reste plus grand chose, (je me demande si le pc ne demarre pas en mode réduit )

j'ai quand même accès a la Base de registre.

j'ai quand même réussi a installer Mbam (malwarebytes Anti-malware) en lui changeant de nom, et il m'a trouvé un certain nombre d'infections qu'il a nettoyé ( si quelque veut le rapport je peux le poster )

impossible de mettre Hijackthis, ni kaspersky, ni Bitdefender.

la clé que j'ai mis sur le pc est infectée, quand je la mets sur mon PC (ESET NOD32 Smart Sécurity ) il me détecte ceci:

G:\m.exe - Win32/Agent.OKD cheval de troie - nettoyé par suppression - mis en quarantaine


Voila a vous maintenant, je vous remercie par avance et j'espère que quelqu'un pourra m'aider.

11 réponses

Messages postés
9638
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
96
salut

Telecharge FindyKill sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l installation avec les paramètres par defaut

--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 1 (Recherche)

--> Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Je te remerice pour ta réponse,

voila le rapport de FindlyKill



----------------- FindyKill V4.709 ------------------

* User : STEPHANE - SROYER
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 10/12/08 par Chiquitine29
* Recherche effectuée à 15:03:10 le 15/12/2008
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\FSC\WebCam HotKey Utility\WebCam_HotKey.exe
C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Samsung\EmoDio\SMSTray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:

Found ! [13/12/2008 18:19] - C:\fsc.tmp
Found ! [15/12/2008 12:39] - C:\InfoSat.txt

»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch


»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\config\systemprofile\AppData\Roaming


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


»»»» Presence des fichiers dans C:\Documents and Settings\STEPHANE\Application Data


»»»» Presence des fichiers dans C:\DOCUME~1\STEPHANE\LOCALS~1\Temp


»»»» Presence des fichiers dans C:\Documents and Settings\STEPHANE\Local Settings\Temporary Internet Files\Content.IE5


--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
TomTomHOME.exe="C:\Program Files\TomTom HOME 2\HOMERunner.exe"
swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
WebCamHotKey=C:\Program Files\FSC\WebCam HotKey Utility\WebCam_HotKey.exe
TouchPadHotKey=C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
SMSTray=C:\Program Files\Samsung\EmoDio\SMSTray.exe
RTHDCPL=RTHDCPL.EXE
Persistence=C:\WINDOWS\system32\igfxpers.exe
Kernel and Hardware Abstraction Layer=KHALMNPR.EXE
IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
Google Desktop Search="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
BEWINTERNET-FR-DMESessionManager="C:\Program Files\OrangeBS\BEWInternet\SessionManager\SessionManager.exe"
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

[HKEY_CURRENT_USER\software\local appwizard-generated applications\DestComp]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\FSC Browser]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\hprbui]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Samsung Media Studio]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Video Conversion Tool 1.1]

--------------- [ Registre / Clés infectieuses ] ----------------



--------------- [ Etat / Services ] ----------------



+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio - Type de démarrage = 3

/!\ EapHost - Type de démarrage = 4

Ip6Fw - Type de démarrage = 3

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Lecteur fixe

F: - Lecteur amovible


+- Contenu de l'autorun : F:\autorun.inf

[AutoRun]
shellexecute=F:\m.exe /s
Action=Autorun


+- presence des fichiers :

Found ! [13/12/2008 18:19][d--------] - C:\fsc.tmp
Found ! [15/12/2008 15:01][---h-----] - F:\autorun.inf (c'est ma clé usb)


--------------- [ Registre / Mountpoint2 ] ----------------


-> Not found !


------------------- ! Fin du rapport ! --------------------
Messages postés
9638
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
96
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir


--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 2 (Suppression)


/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

-------> ensuite post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides


Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que ­tu es libre...Merci a australe13
voila j'ai fait tout ce que tu m'as dit de faire

voila le rapport, ce que je sais d'ores et déjà est le trojan existe toujours car en mettant le rapport sur la clé, je la trouve toujours infectée par Win32/Agent.odk ( NOD32)

Merci



----------------- FindyKill V4.709 ------------------

* User : STEPHANE - SROYER
* executed from : C:\Program Files\FindyKill
* Update on 10/12/08 par Chiquitine29
* Start at 15:24:08 the 15/12/2008
* Windows XP - Internet Explorer 7.0.5730.13


((((((((((((((( *** deleting *** ))))))))))))))))))


--------------- [ Active Processes ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

--------------- [ Infected files / folders ] ----------------


»»»» Supression files in C:

Deleted ! - C:\fsc.tmp
Deleted ! - C:\InfoSat.txt

»»»» Supression files in C:\WINDOWS


»»»» Supression files in C:\WINDOWS\Prefetch


»»»» Supression files in C:\WINDOWS\system32


»»»» Supression files in C:\WINDOWS\system32\config\systemprofile\AppData\Roaming


»»»» Supression files in C:\WINDOWS\system32\drivers


»»»» Supression files in C:\Documents and Settings\STEPHANE\Application Data


»»»» Supression files in C:\DOCUME~1\STEPHANE\LOCALS~1\Temp


»»»» Supression files in C:\Documents and Settings\STEPHANE\Local Settings\Temporary Internet Files\Content.IE5

Deleted ! - C:\Documents and Settings\STEPHANE\Local Settings\Application Data\Microsoft\Media Player\Cache d'images\LocalMLS\{A6D84BDB-C9B4-4195-ABDC-BDEFB6478781}.jpg
Deleted ! - C:\Documents and Settings\STEPHANE\Local Settings\Application Data\Microsoft\Media Player\Cache d'images\LocalMLS\{EC1BA0BE-BAF9-4E8A-9B64-E41122269457}.jpg

--------------- [ Registry / Infected keys ] ----------------


--------------- [ States / Restarting of services ] ----------------



+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Ip6Fw - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2


--------------- [ Cleaning removable drives ] ----------------

+- Informations :

C: - Lecteur fixe


+- deleting files :


--------------- [ Registry / Mountpoint2 ] ----------------


-> Not found !


--------------- [ Searching Cracks / Keygen ] ----------------

C:\Documents and Settings\STEPHANE\Mes documents\PERSO\technique\specif PEPSI\Appendix\PET Bottles\j1. A6 TestMethods-PET\TM A6-10 StressCracking-PET-February 21, 2005.doc


---------------- ! End of report ! ------------------
Messages postés
9638
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
96
poste un rapport hijackthis (outil de diagnostic)

Télécharge http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

--) Enregistre HJTInstall.exe sur ton bureau
--) Double-clique sur HJTInstall.exe pour lancer le programme
--) Par défaut, il s'installera içi C:\Programme Files\Trend Micro\HijackThis
--) Accepte la license en cliquant sur le bouton "I Accept"
--) Choisis l'option "Do a system scan and save a log file"
--) Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
--) Clique sur "Édition -> Sélectionner tout", puis sur "Édition -> Copier" pour copier tout le contenu du rapport
--) Colle le rapport que tu viens de copier sur ce forum
--) Ne fixe encore AUCUNE ligne,
en fait comme je le dis sur mon premier message, impossible d'installer hijackthis la fenêtre s'ouvre et se referme instantanément :s

par contre je ne sais pas si le fait d'avoir nettoyer avec FindlyKill a résolu le problème, et je ne peux pas le faire avant demain je n'ai pas le pc devant moi

je te remercie encore une fois pour ton aide :)
Messages postés
9638
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
96 > Nando
ok a demain

et bonne soirée
bonjour benurrr,

toujours pas possible de mettre Hijackthis :s

j'ai horreur des formatage je trouve que c'est une solution de facilité mais je crains que cette fois ci ça ne soit obligatoire :s

Merci pour tout :)
Messages postés
9638
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
96
SALUT

Moi aussi j'aime pas le formatage

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.

-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

::Si combofix demande a faire mise a jour tu refuse
::Si combofix detecte quelque chose et de demande a redemarer tu accepte

bonjour a tous!! je m'ajoute à la liste des vaincus!! lolll
j'ai une amie qui a fait une bêtise et la ça fait 3 jour que je douille!!
j'ai le même soucis, impossible de lancer qui que ce soit:
hijhackthis, combofix ou encore findykill,
le seul qui a réussit à passer est spybot!!! bref, j'y vai en tatonnant,
j'ai ouvert un topic sur un autre site: je le colle ici:

Bonjour à tous et à toutes,
je viens ici après grand désespoir!!! il me reste une seule chose à faire c'est démonter le hdd mais l'ordi à 15j!!! la garantie va sauter!!
tout ça parce que une jeune demoiselle à connecté l'ordi sur le net sans protection!!!!

bilan:
-plus aucune application qui peut irriter les spywares, tojans et virus ne se lance (ils la pourrissent avant)
-mode sans echec et un echec total car c'est pareil, et en prime, l'explorer reboute toute les 15 secondes
-en démarrage normal, sous internet explorer ou firefox, dès qu'on tape un nom genre: avg, bitdefender,avast,kaspersky, antivirus scan online..... ca coupe la fenetre
-killbox, se fait jarter, hijhackthis se fait remballer, clean de malekal et bein il fait son boulot mais dès qu'il a fini il faut recommencer.
-quand j'essaye de remettre windows depuis le cdrom, ecran bleu, xp pro aussi, bref: total loose!!!
-spybot est installé dessus, il nettoye tant qu'il peut, bit defender et bien, il boite, il a perdu tout ses bouton à l'ecran!! bref!

c'est un toshiba nb100, sans lecteur de cd, ni cd de restoration qui tourne sous windows XP... ça fait 2j que je m'arrache les cheveux dessus et il me remballe aussi sec!!
il démarre normalement, il va sur internet, mais dès qu'on le fait chier, il rapplique. Ah aussi, spyware guard 2008 qui se lance toute les 30 secondes!!!
les seuls éléments que je peux vous donner sont:
-Spyware guard 2008 qui revient à chaque fois
-clean de malekal m'indique -> c:\windows\sys???????????.exe
puis -> unable to kill process c:\windows\sys???????????.exe après la désinfection
fichier supprimé c: \windows\syscert.exe
fichier supprimé c: \windows\sysexplorer.exe
-quand une clé usb va sur cet ordi elle ressort avec uen vérole qui s'appelle m.exe et qui se cache sous l'icone de skype.
-sinon, le rapport spyware guard 2008 dit ça (je ne sais pas si je dois en tenir compte vu que lui même pourrit l'ordi:



Backdor c: \windows\explorer.exe
Torjan c: \windows\reged.exe
Torjan c: \windows\spoolsystem.exe
Spyware c: \windows\sys.com
Internet virus c: \windows\taskman.exe
Malware c: \windows\vemreg.dll
Internet virus c: \windows\AppPatch\sysmain.sdb
Internet virus c: \windows\Microsoft.NET\framework\sbs_iehost.dll
Backdor c: \windows\Microsoft.NET\framework\Sharedreg12.dll
Spyware program c: \windows\PeerNet\sqldb20.dll
Spyware program c: \windows\PeerNet\sqlqp20.dll
Spyware program c: \windows\PeerNet\sqlse20.dll
Malware c: \windows\srchasst\msgr3en.dll
Malware c: \windows\srchasst\srchctls.dll
Backdor c: \windows\system32\dxdiag.exe
Malware c: \windows\system32\iernonce.dll
Spyware program c: \windows\system32\jobexec.dll
Internet virus c: \windows\system32\mfc40.dll
Backdoor c: \windows\system32\msdtc.exe
Spyware program c: \windows\system32\ntmsevt.dll
Internet virus c: \windows\system32\runas.exe
Spyware program c: \windows\system32\wpabaln.exe
Spyware program c: \windows\system32\wiatwain.ds

y a t il un mode plus sécurisé que le mode sans echec sous windows XP? j'en ai entendu parlé, en changeant un truc dans le boot!!!

j'en ai depanné une paire des pc infecté, d'autres ont joué au chat et à la souris, je m'en étais toujours bien tiré mais là!!!
je clame votre aide,
pour les curieux, les balaises, les furax qui n'aiment pas que ça leur tienne tête!! c'est pour vous lachez vous, testez votre force lolll!!!

merci d'avance
> anvaratoustra
Bonjour anvaratoustra

tu peux essayer de renommer le logiciel avant de le copier sur ton pc, pour moi ça a marché pour Mbam et un autre logiciel

télécharge Mbam

http://www.commentcamarche.net/telecharger/telechargement 34055379 malwarebyte s anti malware

renomme le, et essaye de le lancer il se peut que ça marche, si tu peux faire la MAJ c'est encore mieux

Bon courage
Messages postés
9638
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
96
salut a vous

nando sa donne quoi avec ton problème ?
Salut benurrr,

en fait je n'avais pas vu ton message mais j'avais déjà formaté, j'avais perdu trop de temps a essayer de reparer un pc qui contenait essentiellement des données Audio/Vidéo

Je te remercie encore une fois d'avoir pris le temps de me répondre

merci pour le tips, c'est passé pour le test, mais pa pour la mise a jour car j'ai un peu titillé les petits habitants trojans avec spybot killbox, ils m'ont coupé ma connexion, j'aurai aussi a restorer mes parametres tcpip et netsh!! :)
bref, fallait s'y attendre en represailles.
voici le rapport



Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1456
Windows 5.1.2600 Service Pack 3

23/12/2008 15:46:03
mbam-log-2008-12-23 (15-45-53).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 65440
Temps écoulé: 10 minute(s), 58 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\gadonesi.dll (Trojan.Vundo.H) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3fc65612-41ae-4d2d-90ce-0c27309caf88} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3fc65612-41ae-4d2d-90ce-0c27309caf88} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3fc65612-41ae-4d2d-90ce-0c27309caf88} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\spyware guard 2008 (Rogue.SpywareGuard) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zofawezodi (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\gadonesi.dll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\gadonesi.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\gadonesi.dll -> No action taken.

Dossier(s) infecté(s):
C:\Program Files\Spyware Guard 2008 (Rogue.SpywareGuard) -> No action taken.
C:\Program Files\Spyware Guard 2008\quarantine (Rogue.SpywareGuard) -> No action taken.

Fichier(s) infecté(s):
C:\WINDOWS\system32\dunuhobu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ubohunud.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rovoyato.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\gadonesi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\59324aed4cc9aba23233c86eeb6b43f6.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\59324aed4cc9aba23233c86eeb6b43f6.sys.bd.ren (Trojan.Agent) -> No action taken.
C:\Program Files\Spyware Guard 2008\conf.cfg (Rogue.SpywareGuard) -> No action taken.
C:\Program Files\Spyware Guard 2008\mbase.vdb (Rogue.SpywareGuard) -> No action taken.
C:\Program Files\Spyware Guard 2008\quarantine.vdb (Rogue.SpywareGuard) -> No action taken.
C:\Program Files\Spyware Guard 2008\queue.vdb (Rogue.SpywareGuard) -> No action taken.
C:\Program Files\Spyware Guard 2008\spywareguard.exe (Rogue.SpywareGuard) -> No action taken.
C:\Program Files\Spyware Guard 2008\uninstall.exe (Rogue.SpywareGuard) -> No action taken.
C:\Program Files\Spyware Guard 2008\vbase.vdb (Rogue.SpywareGuard) -> No action taken.
C:\WINDOWS\sysexplorer.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\reged.exe (Rogue.SpywareGuard) -> No action taken.
C:\WINDOWS\spoolsystem.exe (Rogue.SpywareGuard) -> No action taken.
C:\WINDOWS\sys.com (Rogue.SpywareGuard) -> No action taken.
C:\WINDOWS\syscert.exe (Rogue.SpywareGuard) -> No action taken.
C:\WINDOWS\vmreg.dll (Rogue.SpywareGuard) -> No action taken.
C:\Documents and Settings\mélanie bajolet\Bureau\Spyware Guard 2008.lnk (Rogue.SpywareGuard) -> No action taken.
Je vois que Mbam n'a pas fait sont travail ou alors tu n'as pas supprimé les objets infectés

refait un Scan si des malwares ont été détectés, leur liste s'affiche. tu cliques sur "Suppression"

il va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

y aura surement des clés qui ne pourront pas étre supprimées il va te le faire au redémarrage

tu redémarres et tu refais le scan et tu postes le rapport
j'ai trouvé aussi un outils spécifique pour toi

Télécharge VundoFix.exe (par Atribune)

tu fais un scan
a la fin du scan clique sur Remove Vundo.
tu devras confirmer en cliquant sur YES
ton pc va rebooter et tu trouveras un rapport sur la racide du disque au nom de vundofix.txt

voila, mais dès que je supprime les cle du registre, en a peine 5min, les meme infections reviennent!!!!
et vundo j'avais deja essayé, pareil, il est coupé.

Ah aussi, moi ça ne me dérange pas de formatter et tout recommencer, le seul hic c'est que c'est bloqué de partout, je ne peux rien faire: à l'installation, g un ecran bleu!! y a pas un moyen plus radical? sans ouvrir le hdd du portable?
c'est quand meme bizarre que tu ne puisses pas formater ton disque normalement ça se passe au démarrage du PC avant meme que windows ne rentre en action

tu es sur que tu boot sur le CD d'installation de windows ?

par ailleurs y a bien d'autres solution comme mettre Linux ou mieux je crois que tu peux formater ton disque avec partition magique de chez PowerQuest (payant)

y a aussi un autre logiciel Gratuit lui qui permet de formater mais dont j'ai oublié le nom, je vais le chercher pour toi demain.

y a aussi une version de Linux qui démarre a partir d'un CD ou tu as le système d'exploitation sans avoir a l'installer, tu peux explorer cette piste.

tiens moi au courant

Bonne soirée

merci encore pour tout,

je boote bien sur le disque de démarrage, j'ai aussi tenté de booter avec ubunthu mais tt se squeeze,
tout à l'heure, windows m'a sortir le message d'erreure "de l'ecriture décalée" je commence à penser que le hdd s'est peu etre pris un coup!! mais c'es très con, le pc à 15j!!!
bref
formater serait la solution rapide, easy recovery me dit que le systeme de fichier est corrompu. je vais tenter le powerquest, il doit trainer ds un tirroir. j'aimerai récuperer le command.com pour booter dessus afin d'avori acces à chkdsk ou au fdisk, bref,
sacrée vérole qui est chopée sur la machine!!
Messages postés
9638
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
96
salut

vérifie et répare ton dd

Fait Démarrer, Exécuter et taper la commande: chkdsk /f/r il va faire sa au redémarrage