fichier winlogon.exe infecté par qpy-agent.bw!mem, type trojan

[Pang]

Coucou Isa (c'est moi ), bonjour Desch (merci pour ton aide)

 

Vous devez jouir des privilèges d'administrateur sur ce poste ;

Peut être que le pare feu d'XP est en cours d'éxécution.

Essayes de le désactiver, le temps de charger l'active X.

[Invité double]

bonsoir desch,

 

j'ai lancé bitdefender, bloqué aussi, par contre le lancement du controle activeX m'a été demandé.

je suis donc retourné chez kaspersky, et lancé le contrôle également proposé en bas de la fenêtre, installation réussit.

 

le résultat n'est pas joyeux : mon micro est tjs infecté.

 

je vais encore avoir besoin de ton aide.

 

les rapports :

 

KASPERSKY ON-LINE SCANNER REPORT

Monday, May 05, 2008 8:15:17 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 5/05/2008

Enregistrements dans la base antivirus Kaspersky : 662995

 

 

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

 

Cible de l'analyse Zones critiques

C:\WINDOWS

C:\DOCUME~1\famille\LOCALS~1\Temp\

 

Statistiques de l'analyse

Total d'objets analysés 18117

Nombre de virus trouvés 1

Nombre d'objets infectés 1 / 0

Nombre d'objets suspects 0

Durée de l'analyse 00:10:36

 

Nom de l'objet infecté Nom du virus Dernière action

C:\WINDOWS\$_hpcst$.hpc L'objet est verrouillé ignoré

 

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

 

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

 

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

 

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

C:\DOCUME~1\famille\LOCALS~1\Temp\CGlC.exe Infecté : Trojan-Spy.Win32.Zbot.bki ignoré

 

Analyse terminée.

---------------------------------------------------------------------

 

KASPERSKY ON-LINE SCANNER REPORT

Monday, May 05, 2008 8:43:20 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 5/05/2008

Enregistrements dans la base antivirus Kaspersky : 662995

 

 

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

 

Cible de l'analyse Poste de travail

A:\

C:\

D:\

E:\

F:\

G:\

 

Statistiques de l'analyse

Total d'objets analysés 43242

Nombre de virus trouvés 1

Nombre d'objets infectés 3 / 0

Nombre d'objets suspects 0

Durée de l'analyse 00:24:03

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\All Users\Application Data\Network Associates\Common Framework\Db\Agent_PC_64.log L'objet est verrouillé ignoré

 

C:\Documents and Settings\All Users\Application Data\Network Associates\Common Framework\Db\PrdMgr_PC_64.log L'objet est verrouillé ignoré

 

C:\Documents and Settings\All Users\Application Data\Network Associates\VirusScan\OnAccessScanLog.txt L'objet est verrouillé ignoré

 

C:\Documents and Settings\famille\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\QUAR1.30999 Infecté : Trojan-Spy.Win32.Zbot.bki ignoré

 

C:\Documents and Settings\famille\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\famille\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\famille\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\famille\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\famille\Local Settings\Historique\History.IE5\MSHist012008050520080506\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\famille\Local Settings\Temp\CGlC.exe Infecté : Trojan-Spy.Win32.Zbot.bki ignoré

 

C:\Documents and Settings\famille\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\famille\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\famille\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

 

C:\System Volume Information\_restore{BDE78004-D2D9-4970-8CEF-A4A0C9ED1858}\RP370\A0141466.exe Infecté : Trojan-Spy.Win32.Zbot.bki ignoré

 

C:\System Volume Information\_restore{BDE78004-D2D9-4970-8CEF-A4A0C9ED1858}\RP378\change.log L'objet est verrouillé ignoré

 

C:\WINDOWS\$_hpcst$.hpc L'objet est verrouillé ignoré

 

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

 

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

 

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

 

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

 

F:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

 

Analyse terminée.

[Invité Invité]

bonsoir Desch,

 

En attendant j'ai lancé mon antivirus MC AFEE.

 

des virus (apparemment les précédents) ont été trouvé et nettoyé, voilà le rapport :

 

05/05/2008 21:02 Scan Started PC_64\famille Scan All Fixed Disks

05/05/2008 21:02 Infected PC_64\famille C:\Documents and Settings\famille\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\QUAR1.30999 Spy-Agent.bw.gen.e (Trojan) (Removable)

05/05/2008 21:02 Deleted PC_64\famille C:\Documents and Settings\famille\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\QUAR1.30999 File was deleted as part of Cleaning it

05/05/2008 21:03 Infected PC_64\famille C:\Documents and Settings\famille\Local Settings\Temp\CGlC.exe Spy-Agent.bw.gen.e (Trojan) (Removable)

05/05/2008 21:03 Deleted PC_64\famille C:\Documents and Settings\famille\Local Settings\Temp\CGlC.exe File was deleted as part of Cleaning it

05/05/2008 21:09 Infected PC_64\famille C:\System Volume Information\_restore{BDE78004-D2D9-4970-8CEF-A4A0C9ED1858}\RP370\A0141466.exe Spy-Agent.bw.gen.e (Trojan) (Removable)

05/05/2008 21:09 Deleted PC_64\famille C:\System Volume Information\_restore{BDE78004-D2D9-4970-8CEF-A4A0C9ED1858}\RP370\A0141466.exe File was deleted as part of Cleaning it

05/05/2008 21:17 Scan Summary PC_64\famille Scan Summary (Regular Scanning)

05/05/2008 21:17 Scan Summary PC_64\famille Boot sectors scanned : 3

05/05/2008 21:17 Scan Summary PC_64\famille Boot sectors infected : 0

05/05/2008 21:17 Scan Summary PC_64\famille Boot sectors cleaned : 0

05/05/2008 21:17 Scan Summary PC_64\famille Files scanned : 67631

05/05/2008 21:17 Scan Summary PC_64\famille Files infected : 3

05/05/2008 21:17 Scan Summary PC_64\famille Files cleaned : 0

05/05/2008 21:17 Scan Summary PC_64\famille Files deleted : 3

05/05/2008 21:17 Scan Summary PC_64\famille Files moved : 0

05/05/2008 21:17 Scan Summary PC_64\famille Scan Summary (Memory Scanning)

05/05/2008 21:17 Scan Summary PC_64\famille Files scanned : 44

05/05/2008 21:17 Scan Summary PC_64\famille Files infected : 0

05/05/2008 21:17 Scan Complete PC_64\famille Scan All Fixed Disks

[Loup blanc]

Bonsoir Double, Pang

 

Rien de bien grave dans ce qu'on trouvé Bitdefender et Kaspersky, ils vont être supprimés avec la suite :

 

Tu peux conserver Malwarebyte pour vérifier ton PC régulièrement (il faut juste penser à lancer la mise à jour a chaque fois)

Pour supprimer les autres utilitaires de nettoyage qui ont été utilisé,

 

 

 

• Télécharge Toolscleaner2 (A.Rothstein ) sur ton bureau
  
• Lance le programme puis clique sur « Recherche »
  
• Quand la recherche est terminée, clique sur suppression.
  
• Puis sur «Corbeille» et sur «Fichiers temp»
  
• Supprime le fichier Toolscleaner.exe
  

 

Comme ta restauration système a aussi été infectée, il faut supprimer les points de restauration et en créer un nouveau :

 

• Fait un clic droit sur le poste de travail puis "Propriétés", onglet "Restauration du système".
  
• Coche "désactiver la restauration du système sur tous les lecteurs" puis clique sur "Appliquer".
  
• Décoche ensuite cette case et re-clique sur "Appliquer" puis OK.
  
• Va ensuite dans Démarrer, Programmes, Accessoires, "Outils système", "Restauration du système".
  
• Coche "Créer un point de restauration" puis clique sur "Suivant" et donne un nom quelconque pour la description
  
• Et pour finir clique sur "Créer" puis sur "fermer".
  
• Tu auras un nouveau point de restauration "propre" à ta disposition en cas de besoin.
  

Est-ce que tu as d'autres problèmes sur ce PC ?

[Invité double]

Bonsoir Desch,

 

j'ai suivi ta dernière procédure. tout s'est bien déroulé.

 

j'espère que maintenant mon micro est clean.

 

En tout cas, je tiens à te remercier pour ton aide, ton suivi et ton sérieux.

Dépanner un micro infecté n'est pas rien, expliquer en se mettant à la porter des autres non plus.

Merci à Zébulon d'exister.

je viendrai souvent faire un tour sur ce forum.

[Loup blanc]

Bonsoir Double,

 

Edit : Oups, j'ai posté trop vite, je reviens

 

Bon finalement c'était bon, en relisant le topic j'avais zaper le dernier scan avec MacAfee qui a viré les infections.

je te donne quand même ce que je voulais faire, cela peut te servir de temps en temps pour virer les fichiers inutiles :

 

• Télécharge Ccleaner Slim et lances l'installation,
  
• Va ensuite dans les options du programme section "Avancé" et décoche "Effacer uniquement les fichier du dossier temp plus vieux que 48 heures"
  
• Retourne ensuite dans la section "Nettoyeur" et lances le nettoyage.
  
• Vide ta corbeille
  

Si tout est bon de ton coté, tu peux éditer ton premier message et rajouter "Résolu" dans le titre.

 

Bonne soirée et bon surf.

Modifié le 10 mai 2008 par Desch

[isabelle13]

bonsoir Desch,

 

impossible de répondre à ton dernier message, j'obtiens un message d'erreur.

Donc je me suis inscrite au forum.

 

j'ai téléchargé et lancé Ccleaner Slim.

 

je peux pas modifier le titre de mon premier message pour indiquer résolu car j'avais posté en tant qu'invité.

 

peut-être qu'un membre de ZEBULON peut le faire à ma place.

 

merci encore pour ton aide.

Modifié le 21 mai 2008 par isabelle13

[Loup blanc]

Bonjour Isabelle,

 

J'ai répondu sans regarder que tu avais posté ton premier message en invité, ce n'est pas très grave si "résolu" n'apparait pas.

 

Passe une bonne journée.

Modifié le 22 mai 2008 par Desch