TR/Drop.Agent.dgo.8, TrojanVundo, impossible installation de WLM

Reukin · le 7 janvier 2008

Bonjour, il y a quelques jours j'ai été infecté par le cheval de troie TR/Drop.Agent.dgo.8, j'ai essayé de le supprimer avec SUPERantispyware, il semblait l'avoir supprimé mais il est toujours présent. Par la suite il m'a été impossible d'utiliser WLM (il semblait avec disparu mais étant toujours installé, j'ai décidé de le desinstaller et puis de le réinstaller et c'est la qu'on me dit que je possède une version plus récente que je dois supprimer avant d'installer cette version. On me met le code d'erreur 1601, j'ai essayé ce qu'on me disais sur les forums avec le service "executer" mais rien ne se passe, j'en déduis que c'est à cause de l'infection) Ensuite sont venus d'autre "cheval de troie" du même type TR/Drop.Agent.dgo. Les TrojanVundo sont aussi apparus par la suite, mais il semble que je les ai supprimé avec VundoFix. Même en mode sans échec, les variantes de TR/Drop.Agent.dgo ne part pas. J'aimerais que vous m'aidiez à les enlever, eradiquer. Mon antivirus c'est Avira Antivir Personal Edition Classic, il les détecte, les supprimes mais ils sont toujours présents! Que faire??

Voice le rapport HiJackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:27:38, on 07/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

F3 - REG:win.ini: load=C:\WINDOWS\system32\awtss.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{4229D580-7E9B-44D8-9B00-9894079C64A8}: NameServer = 217.175.160.11 217.175.160.12

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--

End of file - 4010 bytes

Zonk · le 7 janvier 2008

Bienvenue sur le forum

Tu es infecté par quelque chose de tenace!!! (parle en à cosby112 )

Voici ce que l'on recommande avant d'aller plus loin:

Je te guide vers un pré-nettoyage......je ne crois pas que ca va régler ton problème totalement ,mais ca va aider……..et de plus ces procédures sont de mises avant d’aller plus loin….

J’aimerais que tu vérifie le paramètrage de Antivir :

Tuto ....à toi de choisir mais assure toi de bien suivre les conseils .....surveille à bien activer la recherche de " rootkits" et « scan master boot » (ces fonctions sont souvent oublier par les gens).....cherche à activer le mode "Expert"

http://www.libellules.ch/tuto_antivir.php

http://tutopat.hostonet.org/viewtopic.php?t=2417

(et personnellement dans l'onglet "scanner" j'active tout les items dans "Rootkit search" et "manual selection")

On va supprimer les fichiers inutiles …..

Télécharge ATF Cleaner par Atribune....(petit programme sans danger qui ne s'installe pas.... il ne fait que s'exécuter

....parfois avec des ordis moins performants, le nettoyage est lourd....alors si tu veux alléger la tache, va y deux cases à la fois et fait "Empty selected"......

si tu veux sauver tes cookies,exclu les.....

Nettoyeur ATF

Installe-le sur le bureau.

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All (ou deux cases à la fois....mais fait toutes les cases )

Cliquer sur le bouton Empty Selected

AVG Antipsyware (choix de langues)

http://free.grisoft.com/doc/5390/us/frt/0?prd=asf

http://www.kachouri.com/tuto/imprimer161.html

Une fois que tu auras la liste des menaces,il te restera à selectionner un à un les items et avec le bouton droit de ta souris tu auras un choix.....choisi soit la quarantaine ou la suppression.....

si tu ne veux pas acheter la licence alors suite au 30 jours de pleine version,

une fois la période d'essai terminée (IMPORTANT de ne pas mettre deux protections en temps réel de la même famille ),il y a celui-ci:

Windows Defender

ce n'est pas le ténor du genre...mais selon mon expérience,il fait un travail honnête...et gratuit !

applique ceci...le pré-nettoyage:

http://forum.zebulon.fr/index.php?showtopic=83986

tu devras aller en mode sans échec (tu auras les indications dans le lien du pré-nettoyage)......parfois lent à démarrer/fermer...soit patient.....l'affichage sera altéré, ça reviendra suite à un redémarrage

Tandis que tu es en "sans échec" profite en pour passer tout tes antipestes en ce mode.Tu verras une consigne disant de supprimer Antivir suite au pré-nettoyage…oublie là….Antivir est ton antivirus et tu dois le garder…….. souvent le pré-nettoyage n'est pas suffisant pour tout supprimer...mais ça peut arriver que ça règle les ennuis...alors ça prendra tout tes rapports .

et ensuite l’Équipe Sécurité te guidera pour parfaire le travail….ou te confirmer que tout est sain

Bye

Modifié le 7 janvier 2008 par Zonk

Reukin · le 10 janvier 2008

Merci beaucoup pour ta réponse rapide et précise!J'ai fait ce que tu m'as dit, j'ai fait aussi ce qui était indiquait sur le lien donnait, sa été un très long nettoyage! L'antivirus, l'antispyware avaient détecté plusieurs infections! mais certains persistent encore!Ils n'engendrent pas de problèmes de ralentissement, mais j'ai toujours le même problème de mon windows live messenger qui ne veut plus s'installer sous prétexte que j'ai une version plus récente...mais bon c'est pas très grave je peux utiliser le très ancien windows messenger, pas sympa mais on peut discuter. Merci encore!

Zonk · le 10 janvier 2008

Refait un autre HJT s'il te plaît......

...personnellement je te conseille de prolonger ton investigation sur ton problème...je serais surpris que ça soit déjà régler......un fois certifié "sain" ,on verra pour ton WLM

@+

Reukin · le 14 janvier 2008

Et tu as raison... c'est vrai au début il n'y avais plus rien!..mais j'ai vendu la peau de l'ours avant de l'avoir tuer! il en a encore...et enfaite Antivir les détectes quand le fond d'écran apparaît mais avant que icône ou l'explorateur windows (explorer.exe) soit exécuter!J'ai fait d'autre analyse mais ça reprends comme avant, quant à WLM je dois le réparer à chaque redemerrage pour qu'il fonctionne. (soupir) je suis désesperer maintenant...désolé pour le retard!et Merci encore de ton attention!

Rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:21:34, on 14/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm