[Résolu] PC infecté par download.win32.agent.uj

[Thanos]

Voici le topic de H3N3 >

 

icon_confused.gif c'est bien ma vaine! le forum plante lorsque je veux ajouter un nouveau topic!!

en attendant que sa refonctionne je te donne mon log

 

Logfile of HijackThis v1.99.1

Scan saved at 19:39:22, on 10/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\scanner.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

O1 - Hosts: 88.191.30.28 L2authd.lineage2.com

O1 - Hosts: 88.191.30.28 L2testauthd.lineage2.com

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Rien de visible sur ton rapport si ce n'est le lignes visibles dans ton fichier Hosts : est ce toi qui les a rajouté?? (ca a rapport avec le server Hades?)

 

* Télécharge DiagHelp.exe sur ton bureau

• quitte toutes les applications en cours, il va y avoir un redémarrage de ton pc.
  
• Double-clique sur DiagHelp.exe : une fenêtre cmd va s'ouvrir, choisis l'option 1
  
• On te demandera d'appuyer sur une touche lorsque le scan est terminé: le pc va alors redémarrer.
  
• au redémarrage du pc copie/colle le contenu du bloc-note qui vient de s'ouvrir, dans ton prochain post.
  

@+

Modifié le 18 janvier 2007 par charles ingals

[H3N3]

Voici le topic de H3N3 >

 

 

Rien de visible sur ton rapport si ce n'est le lignes visibles dans ton fichier Hosts : est ce toi qui les a rajouté?? (ca a rapport avec le server Hades?)

 

* Télécharge DiagHelp.exe sur ton bureau

• quitte toutes les applications en cours, il va y avoir un redémarrage de ton pc.
  
• Double-clique sur DiagHelp.exe : une fenêtre cmd va s'ouvrir, choisis l'option 1
  
• On te demandera d'appuyer sur une touche lorsque le scan est terminé: le pc va alors redémarrer.
  
• au redémarrage du pc copie/colle le contenu du bloc-note qui vient de s'ouvrir, dans ton prochain post.
  

@+

 

bien non, je n'ai rien rajouter.

mais la ya encore un autre probleme, windows ne redemarre plus!!!!!bref

des que ce soucis est reparé (peu etre ce soir si j'ai le temps) je te fais signe.ou je vais tenter en mode sans echec( lui il fonctionne!)

 

(Un pc sans probleme est un pc éteint!

[Thanos]

salut H3N3

 

Est ce que tu reçois un message d'erreur de Windows? (un fichier manquant par ex? NTDLR ?)

As tu accès au Mode sans Echec avec prise en charge du réseau?

 

Quand tu auras de nouveau accès à ton pc , poste aussi un rapport comme ceci pour mettre en évidence les fichiers cachés liés à l'infection>

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

[H3N3]

salut H3N3

 

Est ce que tu reçois un message d'erreur de Windows? (un fichier manquant par ex? NTDLR ?)

As tu accès au Mode sans Echec avec prise en charge du réseau?

 

Quand tu auras de nouveau accès à ton pc , poste aussi un rapport comme ceci pour mettre en évidence les fichiers cachés liés à l'infection>

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

mdr!

le probleme du pc n'est juste un mauvais contatc avec une nappe ide et un disque dur!!j'ai des frais a faire!

bon je me mets au travail.

[H3N3]

alors voici le log de DiagHelp.exe mais apres avoir choisi (1) dans la fenetre commande, rien ne se passe.j'ai alors redemarré le pc et me voici maintenant avec une dixaine de fichiers sur le bureau dont le bloc-note (normal?)

le log:

Service Pack 212 2 2006 14:06:09.500

Loaded driver \WINDOWS\system32\ntoskrnl.exe

Loaded driver \WINDOWS\system32\hal.dll

Loaded driver \WINDOWS\system32\KDCOM.DLL

Loaded driver \WINDOWS\system32\BOOTVID.dll

Loaded driver ACPI.sys

Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS

Loaded driver pci.sys

Loaded driver isapnp.sys

Loaded driver compbatt.sys

Loaded driver \WINDOWS\system32\DRIVERS\BATTC.SYS

Loaded driver intelide.sys

Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

Loaded driver MountMgr.sys

Loaded driver ftdisk.sys

Loaded driver dmload.sys

Loaded driver dmio.sys

Loaded driver PartMgr.sys

Loaded driver VolSnap.sys

Loaded driver atapi.sys

Loaded driver vmscsi.sys

Loaded driver \WINDOWS\system32\DRIVERS\SCSIPORT.SYS

Loaded driver disk.sys

Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

Loaded driver fltMgr.sys

Loaded driver sr.sys

Loaded driver KSecDD.sys

Loaded driver Ntfs.sys

Loaded driver NDIS.sys

Loaded driver Mup.sys

Loaded driver agp440.sys

Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys

Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys

Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys

Loaded driver \SystemRoot\system32\DRIVERS\vmmouse.sys

Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys

Loaded driver \SystemRoot\system32\DRIVERS\parport.sys

Loaded driver \SystemRoot\system32\DRIVERS\serial.sys

Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys

Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys

Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys

Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys

Loaded driver \SystemRoot\system32\DRIVERS\vmx_svga.sys

Loaded driver \SystemRoot\system32\DRIVERS\vmxnet.sys

Loaded driver \SystemRoot\system32\DRIVERS\CmBatt.sys

Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys

Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys

Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys

Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys

Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys

Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys

Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys

Loaded driver \SystemRoot\system32\DRIVERS\psched.sys

Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys

Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys

Loaded driver \SystemRoot\system32\DRIVERS\rdpdr.sys

Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys

Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys

Loaded driver \SystemRoot\system32\DRIVERS\update.sys

Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys

Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS

Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS

Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys

Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS

Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS

Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS

Did not load driver \SystemRoot\System32\Drivers\Changer.SYS

Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS

Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS

Loaded driver \SystemRoot\System32\Drivers\Null.SYS

Loaded driver \SystemRoot\System32\Drivers\Beep.SYS

Loaded driver \SystemRoot\System32\drivers\vga.sys

Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS

Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys

Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS

Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS

Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys

Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys

Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys

Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys

Loaded driver \SystemRoot\System32\drivers\afd.sys

Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys

Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS

Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys

Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys

Did not load driver \SystemRoot\system32\DRIVERS\imapi.sys

Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys

Loaded driver \SystemRoot\System32\Drivers\Fips.SYS

Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS

Loaded driver \SystemRoot\system32\DRIVERS\ndisuio.sys

Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys

Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys

Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS

Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys

Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS

Loaded driver \SystemRoot\system32\DRIVERS\srv.sys

Loaded driver \SystemRoot\System32\Drivers\HTTP.sys

 

voici le log de Blacklight:

 

01/11/07 20:58:28 [info]: BlackLight Engine 1.0.55 initialized

01/11/07 20:58:28 [info]: OS: 5.1 build 2600 (Service Pack 2)

01/11/07 20:58:29 [Note]: 7019 4

01/11/07 20:58:29 [Note]: 7005 0

01/11/07 20:58:35 [Note]: 7006 0

01/11/07 20:58:35 [Note]: 7011 1276

01/11/07 20:58:35 [Note]: 7026 0

01/11/07 20:58:35 [Note]: 7026 0

01/11/07 20:58:41 [Note]: FSRAW library version 1.7.1021

01/11/07 21:00:38 [info]: Hidden file: c:\WINDOWS\system32\cscps.exe

01/11/07 21:00:38 [Note]: 7002 32

01/11/07 21:00:38 [Note]: 7003 1

01/11/07 21:00:38 [Note]: 10002 1

01/11/07 21:02:09 [Note]: 7007 0

 

puis voici le rapport de avg.anti-spyware:

+ Créé à: 17:24:15 05/01/2007

 

+ Résultat de l'analyse:

 

 

 

[1184] VM_003F0000 -> Downloader.Agent.uj : Aucune action entreprise.

[1296] VM_009F0000 -> Downloader.Agent.uj : Aucune action entreprise.

[1308] VM_00950000 -> Downloader.Agent.uj : Aucune action entreprise.

[2792] VM_01130000 -> Downloader.Agent.uj : Aucune action entreprise.

[540] VM_00D70000 -> Downloader.Agent.uj : Aucune action entreprise.

[568] VM_00A30000 -> Downloader.Agent.uj : Aucune action entreprise.

[952] VM_00930000 -> Downloader.Agent.uj : Aucune action entreprise.

 

 

Fin du rapport

[Thanos]

re!

 

Une remarque: tu vois les annotations en gras dans le rapport AVg As ? >

[1184] VM_003F0000 -> Downloader.Agent.uj : Aucune action entreprise.

[1296] VM_009F0000 -> Downloader.Agent.uj : Aucune action entreprise.

[1308] VM_00950000 -> Downloader.Agent.uj : Aucune action entreprise.

Ca signifie que tu n'as pas configuré Avg de manière à ce qu'il élimine les infections!! Il les détecte, mais ne fais rien de plus! La prochaine fois que tu refais un scan, il faudra veiller à configurer comme ceci >

 

Dans l'onglet "Paramètres

Sous la question "Comment réagir ?", il faut cliquer sur "Actions recommandées" et choisir "Quarantaine"

 

Ok, le rapport Blacklight montre l'infection WareOut ! Poste stp le rapport suivant >

 

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

Quand ton système aura redémarré, suis les invites des messages.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

Au final,poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

[H3N3]

re

merci mais c'est avg qui n'arrive pas a agir face a cette menace!biensure que j'ai tenté mais en vain.

bon je tente FixWareout

[Thanos]

Oui Avg ne parviens pas à éliminer cette infection, je suis d'accord. Ce que j'essaie de te dire, c'est que Avg As doit être configuré comme il faut pour désinfecter, sinon il n'efface rien et se contente de dresser un rapport de ce qu'il a trouvé

[H3N3]

excuse moi je ne l'entendais pas comme ça.possible en effet que avg soit mal configuré, puis j'ai uniquement la version limitée.

revenons au probleme,

j'ai fait les manips, telecharger bfu.zip, dézipper dans fiwareout, refais fixit.exe, mais rien ne se passe.j'ai redémarré, et rien encore.pas meme un demarrage plus long.normal docteur?

Modifié le 11 janvier 2007 par H3N3

[Thanos]

heu , je ne t'ai pas parlé de BFU ?? Qu'est ce que tu as "dézipper dans fiwareout" ??

est ce que tu as suivi exactement ceci ? >

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Tu dois avoir un rappport nomméreport.txt , il se trouve ici > C:\fixwareout

Poste le stp