Arrèt direct WLM

[Invité wizard42]

Refait un log hijackthis

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

[toin10]

Logfile of HijackThis v1.99.1

Scan saved at 23:02:34, on 29/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\svchost.exe

c:\windows\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\ATI\Bureau\scan.exe

 

F2 - REG:system.ini: Shell=c:\windows\explorer.exe

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - Startup: backup-20071028-213134-223-zlclient.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - Startup: backup-20071028-213134-891-Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documents\Settings\bot.dll

O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Conexant Systems, Inc. - (no file)

 

J'ai désinstallé, supprimé tout les dossiers, reinstallé, redémarrer, je ne sais pas quoi, rien n'y fait, je désespère la...

[Invité wizard42]

Tu es encore infecté

 

Fait un scan online kaspersky et colle le rapport

http://webscanner.kaspersky.fr/ (utilisé internet explorer)

[toin10]

Ok je fais sa... sa prend du temp? ^^

[Invité wizard42]

Un peu sa dépend de la taille de ton disque dur

[toin10]

Vu que sa risque de prendre du temp, tu peux me dire ce que je dois faire par la suite stp? merci d'avance.

[toin10]

Voila voila ^^

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Monday, October 29, 2007 11:50:16 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 30/10/2007

Enregistrements dans la base antivirus Kaspersky : 420841

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: faux

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Zones critiques:

C:\WINDOWS

C:\DOCUME~1\ATI\LOCALS~1\Temp\

 

Statistiques de l'analyse:

Total d'objets analysés: 15322

Nombre de virus trouvés: 5

Nombre d'objets infectés: 13 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 00:31:02

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\WINDOWS\$NtUninstallQ308387$\spuninst\spuninst.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308387$\spuninst\spuninst.inf L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308402$\spcmdcon.sys L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308402$\spuninst\spuninst.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308402$\spuninst\spuninst.inf L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308402$\srrstr.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.inf L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308677$\userenv.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308678$\msobmain.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308678$\msobshel.htm L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308678$\spuninst\spuninst.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308678$\spuninst\spuninst.inf L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ315000$\netsetup.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.inf L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ315000$\upnp.dll L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\ferggreg.exe Infecté : Trojan-Spy.Win32.Agent.xt ignoré

C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\SN6584187041.ldb L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\20287962ld.exe Infecté : Trojan-Proxy.Win32.Dlena.bb ignoré

C:\WINDOWS\system32\43476252ld.exe Infecté : Trojan-Proxy.Win32.Dlena.bb ignoré

C:\WINDOWS\system32\56509372ld.exe Infecté : Trojan-Proxy.Win32.Dlena.bb ignoré

C:\WINDOWS\system32\57139532ld.exe Infecté : Trojan-Proxy.Win32.Dlena.bb ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edbtmp.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\{00AAC56B-CD44-11D0-8CC2-00C04FC295EE}\catdb L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\dllcache\user32.dll Infecté : Trojan.Win32.Patched.bb ignoré

C:\WINDOWS\system32\drivers\aswRdr.sys Infecté : Email-Worm.Win32.Nulprot.e ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\jcwawkcfgk Infecté : Trojan.Win32.Patched.bb ignoré

C:\WINDOWS\system32\kdmgu.exe L'objet est verrouillé ignoré

C:\WINDOWS\system32\lkgdyf.dll Infecté : Backdoor.Win32.Agent.adr ignoré

C:\WINDOWS\system32\mczwprxddcj Infecté : Trojan.Win32.Patched.bb ignoré

C:\WINDOWS\system32\nvrssk.dll L'objet est verrouillé ignoré

C:\WINDOWS\system32\rpcc.dll L'objet est verrouillé ignoré

C:\WINDOWS\system32\rvldby.dll Infecté : Backdoor.Win32.Agent.adr ignoré

C:\WINDOWS\system32\user32.dll Infecté : Trojan.Win32.Patched.bb ignoré

C:\WINDOWS\system32\vpjj.dll Infecté : Backdoor.Win32.Agent.adr ignoré

C:\WINDOWS\Temp\ZLT04cb2.TMP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT05895.TMP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\DOCUME~1\ATI\LOCALS~1\Temp\Cookies\index.dat L'objet est verrouillé ignoré

C:\DOCUME~1\ATI\LOCALS~1\Temp\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\DOCUME~1\ATI\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

Analyse terminée.

 

Ahem =D

[toin10]

Quelqu'un pourrait m'aider s'il vous plait? ^^

[Invité wizard42]

Comme tu a pu le voir tu es infecté

 

C:\WINDOWS\ferggreg.exe Infecté : Trojan-Spy.Win32.Agent.xt ignoré

C:\WINDOWS\system32\20287962ld.exe Infecté : Trojan-Proxy.Win32.Dlena.bb ignoré

C:\WINDOWS\system32\43476252ld.exe Infecté : Trojan-Proxy.Win32.Dlena.bb ignoré

C:\WINDOWS\system32\56509372ld.exe Infecté : Trojan-Proxy.Win32.Dlena.bb ignoré

C:\WINDOWS\system32\57139532ld.exe Infecté : Trojan-Proxy.Win32.Dlena.bb ignoré

C:\WINDOWS\system32\dllcache\user32.dll Infecté : Trojan.Win32.Patched.bb ignoré

C:\WINDOWS\system32\drivers\aswRdr.sys Infecté : Email-Worm.Win32.Nulprot.e ignoré

C:\WINDOWS\system32\jcwawkcfgk Infecté : Trojan.Win32.Patched.bb ignoré

C:\WINDOWS\system32\lkgdyf.dll Infecté : Backdoor.Win32.Agent.adr ignoré

C:\WINDOWS\system32\mczwprxddcj Infecté : Trojan.Win32.Patched.bb ignoré

C:\WINDOWS\system32\rvldby.dll Infecté : Backdoor.Win32.Agent.adr ignoré

C:\WINDOWS\system32\user32.dll Infecté : Trojan.Win32.Patched.bb ignoré

C:\WINDOWS\system32\vpjj.dll Infecté : Backdoor.Win32.Agent.adr ignoré

 

Quand tu fait une analyse avec Antivir a jours c'est fichier sont détecté?

Sinon si il sont pas détecté a tu la possibilité de les uploader sur leur site pour qui les ajoute a leur définition de virus?

 

Pour les uploader c'est ici: http://analysis.avira.com/samples/index.php merci de la part de tout les utilisateurs si tu fait sa

 

Tu recevra de nouvelle d'antivir aujourdhui ou demain pour l'analyse final

 

Edit: sa me parait bizare qu'antivir ne les détecte pas c'est virus qui date de pas mal de temps:

 

Trojan-Proxy.Win32.Dlena.bb

Date de détection 12 déc 2006 15:19 GMT

Date de la mise à jour 12 déc 2006 16:44 GMT

Comportement Trojan-Proxy

 

Backdoor.Win32.Agent.adr

Date de détection 12 jul 2006 19:01 GMT

Date de la mise à jour 12 jul 2006 20:22 GMT

Comportement Backdoor, porte dérobée

 

Source: http://www.viruslist.com/fr/index.html

Modifié le 2 novembre 2007 par wizard42

[toin10]

Euh je met quoi dans "Your file"? ^^"