trojan-downloader.win32.agent.uj

[sunny1231231]

bon voici mon log! aidé moi svp!

je suis pas capable de le supprimer de manière conventionelle

 

Logfile of HijackThis v1.99.1

Scan saved at 23:10:34, on 2006-12-26

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Windows\xpupdate.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\MSN\MSNCoreFiles\msn6.exe

C:\PROGRA~1\MSNMES~1\msnmsgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\PowerArchiver\POWERARC.EXE

C:\DOCUME~1\SIMONP~1\LOCALS~1\Temp\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.canoe.com/index.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\System32\nzdd.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing

O16 - DPF: {13EC55CF-D993-475B-9ACA-F4A384957956} (Controller Class) - https://www.windowsonecare.com/install/cli/...nSSWebAgent.CAB

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/d...lscbase8460.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{88C3A7FF-EE23-4166-8494-8AD22DFDEC5C}: NameServer = 85.255.116.134,85.255.112.210

O17 - HKLM\System\CCS\Services\Tcpip\..\{FD79CB9C-3D4C-4EFE-A2C1-DA2DA7BE7F45}: NameServer = 85.255.116.134,85.255.112.210

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.134 85.255.112.210

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.134 85.255.112.210

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs:

O20 - Winlogon Notify: xartcd5 - xartcd5.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

[bibi26]

Bonjour et bienvenue sur zebulon,

 

Analyse en cours

[bibi26]

Il te faudra copier ces informations dans un fichier car tu n'auras pas accès à internet pour une grande partie des instructions !

 

Pour copier les informations tout en gardant la mise en forme, crée un dossier sur ton bureau du nom de "Instructions", en fonction de ton navigateur, fait :

 

-Internet Explorer 6 et moins : Clique sur "Fichier", "Enregistrer sous…", ouvre le dossier "Instructions" que tu as fait et clique sur "Enregistrer".

-Internet Explorer 7 : Clique sur "Page", "Enregistrer sous…", ouvre le dossier "Instructions" que tu as fait et clique sur "Enregistrer".

-Firefox : Clique sur "Fichier", "Enregistrer sous…", ouvre le dossier "Instructions" que tu as fait et clique sur "Enregistrer".

 

1-Ouvre AVG Anti-Spyware et clique sur "Mise à jour", décoche la case "Télécharger et installer les mises à jour automatiquement" et clique sur "Commencer la mise à jour". Attends que la mise à jour soit terminée et ferme AVG Anti-Spyware.

 

Télécharge HaxFix et sauvegarde-le sur le bureau.

 

Télécharge Smitfraudfix et met-le sur ton bureau, ne l’ouvre pas tout de suite.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

 

Télécharge FixWareout et met-le sur ton bureau, ne l'ouvre pas tout de suite.

 

Télécharge LSPFix et met-le sur ton bureau, ne l'ouvre pas tout de suite.

 

Pour finir, il te faut télécharger EasyCleaner. Installe-le en double-cliquant sur l’exécutable et en suivant les instructions.

 

 

2-Ouvre Smitfraudfix, appuie sur le chiffre "1" et sur la touche "Entrée" de ton clavier pour créer un rapport des fichiers responsables de l'infection. Du fichier "Rapport.txt", clique sur le menu "Fichier" >> "Enregistrer sous..."

- Renomme le fichier en Smitlog.txt

- Sauvegarde-le sur ton Bureau

• Double clique sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
  
• Coche "Create a desktop icon"
  
• Clique "Next"
  
• Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
  
• Clique sur "Finish"
  

Une fenêtre à fond rouge s'ouvre avec les options suivantes:

1. Make logfile (créer un rapport)

2. Run auto fix (lancer la réparation en mode automatique)

3. Run manual fix (lancer la réparation en mode manuel)

E. Exit Haxfix (quitter Haxfix)

• Avec ton clavier, appuie sur la touche "1" et sur "Entrée"
  
• Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)
  

Lance FixWareOut : Clique sur "Next", puis "Install", assure-toi que "Run fixit" est activé puis clique sur Finish. FixWareOut va lancer l’analyse, suit les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais-le. Ton système mettra un peu plus de temps au démarrage, c'est normal. Le rapport de FixWareOut sera dans C:\fixwareout\report.txt.

 

 

3-Redémarre ton ordinateur (encore !), dès que ton ordinateur redémarre, appuie plusieurs fois sur le bouton "F8" jusqu'à ce qu'un menu à choix multiples apparaisse, avec les flèches du clavier, sélectionne "Mode sans échec" et appuie sur le bouton "Entrée" de ton clavier pour continuer le démarrage de Windows. Choisis normalement ton utilisateur , il se peut qu'un message te demande si tu veux vraiment aller en mode sans échec, accepte. N'oublie pas, tu n'as pas accès à internet dans ce mode ! Copie les instructions dans un fichier. Voir ce lien pour avoir plus d’informations sur comment démarrer en mode sans échec.

 

Clique sur le bouton "Démarrer" et clique sur "Poste de travail", regarde un peu en haut, tu vas voir un menu qui s'appelle "Outils", clique dessus, sur "Options des dossiers" et sur l'onglet "Affichage" :

Sélectionne : Afficher les fichiers et dossiers cachés

Décoche : Masquer les extensions des fichiers dont le type est connu

Décoche : Masquer les fichiers protégés du système d'exploitation

Puis clique sur "Ok"

 

 

4-Ouvre Smitfraudfix, appuie sur le chiffre "2" et sur la touche"Entrée" de ton clavier pour supprimer les fichiers responsables de l'infection. A la question "Voulez-vous nettoyer le registre ?" répond "O" (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Smitfraudfix déterminera si le fichier "wininet.dll" est infecté. A la question "Corriger le fichier infecté ? " répond "O" (oui) pour remplacer le fichier corrompu. Un rapport va être fait, sauvegarde-le.

 

Démarre hijackthis et clique sur "do a system scan only", coche les lignes suivantes (Il se peut que certaines lignes aillent disparues ou qu'un "(file missing)" ait été rajouté à côté de certaines lignes) :

 

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{88C3A7FF-EE23-4166-8494-8AD22DFDEC5C}: NameServer = 85.255.116.134,85.255.112.210

O17 - HKLM\System\CCS\Services\Tcpip\..\{FD79CB9C-3D4C-4EFE-A2C1-DA2DA7BE7F45}: NameServer = 85.255.116.134,85.255.112.210

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.134 85.255.112.210

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.134 85.255.112.210

 

O20 - AppInit_DLLs:

 

O20 - Winlogon Notify: xartcd5 - xartcd5.dll (file missing)

 

Assure-toi que toutes tes autres fenêtres sont fermées et clique sur "Fix Checked". Ferme hijackthis.

 

 

5-Clique sur "Démarrer" et sur "Exécuter". Une boîte va apparaître, copie-colle (pour éviter les fautes de frappes) :

 

regsvr32 /u /s C:\WINDOWS\system32\xartcd5.dll

 

Clique sur "OK".

 

Supprime les fichiers suivants (si tu les trouves) :

 

-C:\Windows\xpupdate.exe

-C:\WINDOWS\system32\xartcd5.dll

 

 

6-Ouvre LSPFix, clique sur "I know what I'm doing", ne fait rien d'autre et clique sur "Finish".

 

Ouvre AVG Anti-Spyware, clique sur "Analyse" et sur "Analyse complète du système". Après que l'analyse est terminée, clique sur "Action recommandée" et sur "Quarantaine". Clique sur "Appliquer toutes les actions", sur "Enregistrer le rapport" et sur "Enregistrer le rapport sous", sauvegarde le rapport AVG Anti-Spyware. Après, ferme AVG Anti-Spyware.

 

Ouvre EasyCleaner, clique sur le bouton "inutiles" et sur le bouton "trouver" et après, quand l'analyse est terminée, clique sur le bouton "Supprimer tout". Après, clique sur "Fermer". Fait de même avec la fonction "registre". Après, retourne sur ton bureau, clique-droit sur la corbeille et sélectionne "Vider la corbeille".

 

 

7-Redémarre ton ordinateur normalement (pas en mode sans échec), fait un nouveau rapport hijackthis que tu posteras avec le rapport Smitfraudfix #1 et #2, celui d'AVG Anti-Spyware, de FixWareOut et de HaxFix.

Modifié le 27 décembre 2006 par bibi26

[Mark]

Coucou bibi , et bonjour sunny1231231 ;

 

sunny ; j'aimerais juste apporter une petite précision au sujet de SmitfraudFix : lorsque tu passeras l'option #1 et que le rapport apparaîtra à l'écran (fichier du Bloc-notes nommé "Rapport.txt"), j'aimerais que tu fasses ceci s'il te plaît :

 

Du fichier "Rapport.txt", clique sur le menu "Fichier" >> "Enregistrer sous..."

- Renomme le fichier en Smitlog.txt

- Sauvegarde-le sur ton Bureau

- Tu peux poursuivre avec la suite des manips.. (Redémarrer en Sans Échec, etc..).

- Tu posteras le contenu de ce rapport, ainsi que les autres rapports demandés. Merci

 

Tu as plusieurs infections coriaces, et peut-être quelques rootkits également. De ces infections, il y a un Bot qui installe une porte dérobée avec keylogger, un trojan Wareout protégé par rootkit ainsi qu'un trojan Goldun/Haxdoor qui est protégé par rootkit lui aussi. Il se peut que tu aies d'autres trucs cachés, et les outils prescris permettront de les dépister (si présents).

 

Bon succès à vous deux

[sunny1231231]

Malheureusement, je ne peux faire ce que vous me demandez parce que même en mettant avg à jour, aussitôt que j'effectue un scan complet rendu environs à 24 % il me fait un erreur fatale et je peux pas continuer, je ne peux donc rien supprimer... auriez vous une alternative de programme à uttiliser?

[bibi26]

Continue la procédure sans le scan AVG.