Winlog.dll

[chelnov]

D'abord un grnad merci a vous pour un tel site qui a du sauvé pas mal de nuits balnche a nous tous

 

mon souci :

 

Comme un con (j'avoue !!) j'ai lancé un exe recu via mail ayant mal lu l'expedieur et j'ai topé un virus !!

 

J'ai uploadé le virus sur cerains sites d'anti virus qui m'ont envoyé le rapport suivant :

 

AntiVir 6.33.0.70 12.23.2005 TR/Bagle.FL

Avast 4.6.695.0 12.24.2005 Win32:Beagle-GR

AVG 718 12.23.2005 I-Worm/Bagle

Avira 6.33.0.70 12.23.2005 TR/Bagle.FL

BitDefender 7.2 12.24.2005 Trojan.Bagle.BK

CAT-QuickHeal 8.00 12.24.2005 TrojanDownloader.Bagle.l

ClamAV devel-20051108 12.24.2005 Trojan.Bagle.BN

DrWeb 4.33 12.24.2005 Win32.HLLM.Beagle.9042

eTrust-Iris 7.1.194.0 12.23.2005 Win32/Bagle.AntiTroj!Downloader

eTrust-Vet 12.4.1.0 12.24.2005 Win32/Glieder.CO

Fortinet 2.54.0.0 12.24.2005 W32/Mitglieder.GZ!tr

F-Prot 3.16c 12.23.2005 security risk named W32/Mitglieder.GY

Ikarus 0.2.59.0 12.23.2005 Trojan-Downloader.Win32.Bagle.I

Kaspersky 4.0.2.24 12.24.2005 Trojan-Downloader.Win32.Bagle.l

McAfee 4658 12.23.2005 W32/Bagle.gen

NOD32v2 1.1338 12.23.2005 Win32/Bagle.DR

Norman 5.70.10 12.23.2005 W32/Mitglied.OJ

Panda 8.02.00 12.24.2005 W32/Bagle.FZ.worm

Sophos 4.01.0 12.23.2005 Troj/BagleDl-AU

Symantec8.0 12.24.2005 Trojan.Lodear.H

TheHacker5.9.1.060 12.21.2005 no virus found

VBA32 3.10.5 12.24.2005 Trojan-Downloader.Win32.Bagle.l

 

pas mal de merde !!

 

Les symptomes etaient :

 

- plus d'acces a certain sites

- mozilla rame 2 fois plus

- live update (des definitions de virus) et lancement de certain anti-virus (virus scan) et firewal impossible

- Perte de me bookmark sous Mozilla Firefox 1.7 !!! (pleures)

- et surtout impossible pour moi d'acceder au gestinnaire de tache -----> (Ctrl Maj Ech) ou meme

le basic Ctrl Alt Supp !!!

 

 

J'ai testé de nouveaux antivirus :

 

Avast

PC tools

Cyberscrub

 

j'ai meme lancé Fxbeagle.exe sans resultats probant !!

 

"Pc tools" a kleané pas mal de virus .. virus que j'ai peut etre choppé depuis que j'ai cliquer sur ce putain

d'.exe il ya 3 jours ... mais peut etre pas la cause meme du mal ca je n'ai toujours pas acces au gestionaire de taches et l'icone dans ma barre de tache "Alerte de sécurité Windows" m'indique toujours :

 

-Fire wall

-Protection anti virus

-Mise a jour automatique

comme etant toujours d'esactivés !!!

 

Pc tools pendant le scan vire tous les trojan mais bloque sur :

 

Winlog.dll

Winlog.exe

Anti_troj.exe

 

qu'il ne peut pas enlevé apparement !!

 

Que me conseillez vous ... faut il que je passe par la procédure Hijack this (+ envoie du log)??

 

D'avance merci

 

Chelnov

[angelique]

Bienvenue à toi chelnov sur zébulon,

 

oui une procédure hijack suivie à la lettre stp

 

http://forum.zebulon.fr/index.php?showtopic=69176

 

et tu posts ton .txt d'hijack à suivre.

[chelnov]

Apres install, au moment de se lancer Anti-vir (personal edition) me demande si je veux lancer

l'update (def des nouveaux virus j'imagine).

J'accepte et j'ai droit a

 

Connection Failed while downloading the file

 

http://free-av.com/upd/idx/classic-nt-en.info.gz.

 

J'imagine que l'update est bloqué par mon virus ....

 

Je continue le process Hijack sans me soucier de l'update d'Antivir ou cela est il redibitoire ??

[angelique]

salut,

 

on va essayé comme ça alors:

tu dl le vdf file,scan engine,....(la maj de antivir) à cette adresse:

 

http://s43.yousendit.com/d.aspx?id=0GUE0G8...0Z1XFQLCPHSNUZ2

 

j'ai uploader les defs necessaire sur yousendit.c'est un .rar que tu dois decompresser.

 

tu arretes ds le systray le resident antivir "close control program"

ds les processus tu "termines le processus" (ctrl+alt+supp)--->avguard.exe et avwupsrv.exe

 

tu décompresses ce rar qui contient 5 rar,et tu" extraits ici" ces 5 fichiers que tu copies/colles ds ce directory---> c:\program files\avpersonnal\....<------ici tu mets les 5 rar decompressés.

 

ton antivir sera donc à jour et tu pourras appliquer la procédure.

 

l'url yousendit est valable 7jours!

 

 

mp de chelnov:

Lo ... la version anti vir que tu me conseilles d'utiliser dans le process hijack n'est pas la meme que celle qui se trouve dans le tuto de Tesgaz qd je dois le configurer !!

 

http://speedweb1.free.fr/frames2.php?page=tuto5

 

c'est normal ??

du coup il y a qqs options auquelles je n'ai pas acces ... Menu miscellaneous par exemple ...

ma reponse:

y'a un post pour ça!! pas la peine le mp si tu veux que tout le monde participent à ton probleme.

les conseillers sécu comprendront mieux.

merci .

[angelique]

t'as bien xp.....???????

 

si oui tu as téléchargé Antivir ( http://www.free-av.com ) là,download miror fr??????

[chelnov]

Oui j'ai XP ...

Non je n'ai pas telecharger directement l'exe antivir car apparement le virus que j'ai bloc l'acces aux site

anti virus les plus connus !!

 

Du coup j'ai envoyé l'URL a un amis qui l'a Uploader sur son site perso ...

 

J'ai recuperer ton rar ..... mais qd tu dis

"ds les processus tu "termines le processus" (ctrl+alt+supp)--->avguard.exe et avwupsrv.exe"

 

ca va etre dur vu que je ne peux pas faire "Ctrl Alt Supp" ou meme "Ctrl Maj Echap" depusi que j'ai topé mon

virus ...

 

J'ai dezziper les 5 rar dans le rep d'Antivir ... il a pas hurlé a la violation de fichier deja utilises ... j'imagien que c'est ok du coup ??

[angelique]

fais une verif,lances antivir ,vas ds "help" et verifies la version de tes updates:

 

main program----6.32.00.51>>>3/11/2005

search engine----6.33.0.70>>>21/12/2005

vdf----6.33.0.71>>>>27/12/2005

avrep.dll----6.33.00.69>>27/12/2005

 

si c'est oki lances la procédure,si j'ai le tmp je regarderai ton log,sinon un conseiller sécurité le regardera.

merci charles,megataupe,.........et tous les autres

[chelnov]

C'est pas gagné !!

Je deviens fou ...

 

Build.dat 101 21 /12/05

avewin32.dll 6.33.00.70 20/12/05

antivir.vdf n/a n/a

avcenter 7.00.0019 19/12/05

avscan.exe 7.00.00.14 20/12/05

avpack.32.dll 6.32.01.01 8/11/05

avguard.exe 7.00.00.11 19/12/05

sched.exe 7.00.00.03 12/12/05

update.exe 1.02.06.07 21/12/05

 

tous cela malgré que j'ai dezippé tes fichiers dans le rep d'antivir !!!

 

je lance un scan un mode sans echec pour voir ce qui en ressort qd meme la ....

[sebdraluorg]

Salut a tous,

 

Pour les fichiers recalcitrants,telecharge et essai ce soft il te suffi de double cliquer sur le fichier KillFile.bat

 

Apres si ca a marcher, telecharge Zeb-Restore Et coche la case "Gestionaire de taches" et clic sur restaurer..

 

Bon courrage

++

[chelnov]

Alors ....

J'ai retrouvé l'usage du "Ctrl Alt supp" ET du "Ctrl Maj Ech" grace a Zeb Restore (merci Seb !!!) ...

 

Pour HiJack

 

J'ai suivi la procedure, sauf que comme il m'a été impossible de l'ancé l'update de

Antivir ni meme de lancé le scan Antivir lui meme, j'ai utilisé PC Tools antivirus (le seul qui me permette de faire un Live Update des def de virus .... )

 

Je l'ai lancé un mode sans Echec (cf procédure Hijack This) puis j'ai lancé Hijack This ...

 

Voici le log :

 

Logfile of HijackThis v1.99.1

Scan saved at 21:03:13, on 27/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.looksmart.com/p/search?pi=lstb2&tv=1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O3 - Toolbar: LookSmart Toolbar - {CC8C8F4F-F2E8-404B-A43D-5CC57876A008} - C:\Program Files\LookSmart Toolbar\tbu2B6\toolbar.dll

O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off

O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Festoon] C:\Program Files\Santa Cruz Networks\Festoon\Festoon.exe /BOOT

O4 - HKLM\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe

O4 - HKLM\..\Run: [key2] C:\WINDOWS\system32\winlog.exe

O4 - HKLM\..\Run: [PCTAVApp] "C:\Program Files\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/147dac9c2881159fc823/...ip/RdxIE601.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/d.../ITDetector.cab

O18 - Protocol: Festoon - (no CLSID) - (no file)

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: License Management Service ESD - Unknown owner - C:\Program Files\Fichiers communs\element5 Shared\Service\Licence Manager ESD.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

 

bon je sais je n'ai pas suivt la procédure à la lettre (utilisation de PC tools au lieu d'Antivir) mais bon j'ai fait de mon mieux ...

 

Si qqun peu jetter un oeil a mon Log

 

Les PB qui subsistent:

 

J'ai toujours un Icon " Alerte de sécurité Windows" dans ma barre de tache avec :

 

-Parefeu

-Mise a jours automatique

-Protection antivirus

 

qui sont tous "Desactivés" ....

 

-Sinon mon PC selectionne/deselectionne la fenetre qui est ouverte sous windows !!! comme si qqun cliquait une fois sur le desktop, une fois sur le fenetre ouvrerte en cours ???

 

Ce qui me fait penser que tout n'est reglé niveau Troj et virus sur mon PC