bonjour,
je suis depuis quelques jours infesté par ce ver win32 trojan gen

j'ai donc procédé à une analyse en mode ss echec, (avast pro)
j'ai supprimer les fichiers infectés mais il reviennent systématiquement! je ne trouve pas la source réelle de l'infection.
je ne suis pas un pro dans ce domaine!
j'ai télécharger HJT mais je comprends pas trop
(j'ai aussi AVG, Spyblaster;spyware doctor,clean,smithfraudfx,registerclean) mais pas assez de compétences!!
help me please
Merci d'avance

Bonjour,

Quel est son emplacement ?

Télécharge Hijackthis (de Merjin).
Dézippe-le dans un dossier ou sur ton Bureau.

Lance l'application (Hijackthis.exe) :
- Choisis l'option "Do a system scan and save a logfile"
- Le Bloc-Notes s'ouvre, poste son contenu :

-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse

AIDE : Tuto en vidéo sur Hijackthis

bonsoir
merci angel de m'aider
voici le HJT:
Logfile of HijackThis v1.99.1
Scan saved at 22:47:56, on 11/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\csrss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\WINNT\Explorer.EXE
E:\Program Files\Winamp\winampa.exe
E:\Program Files\QuickTime\qttask.exe
E:\WINNT\Mixer.exe
E:\WINNT\system32\RUNDLL32.EXE
E:\Program Files\DAEMON Tools\daemon.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
E:\WINNT\system32\ctfmon.exe
E:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
E:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
E:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
E:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
E:\WINNT\System32\nvsvc32.exe
E:\WINNT\System32\svchost.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Documents and Settings\Chacha\Mes documents\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = E:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] E:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "E:\WINNT\system32\lqbniany.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [Configuration de la C-BOX] E:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [userinit.exe] E:\WINNT\userinit.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = E:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINNT\System32\nvsvc32.exe

pour ta première question voici le log d'avast
11/04/2007 08:00:41 Chacha 400 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\WINNT\system32\vxtnav.dll" file.
11/04/2007 08:02:04 Chacha 400 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\DOCUME~1\Chacha\LOCALS~1\Temp\{ea61ce20-860c-11d3-a05d-00104b6909d0}.exe" file.
11/04/2007 08:02:09 Chacha 400 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\DOCUME~1\Chacha\LOCALS~1\Temp\{ea61ce20-860c-11d3-a05d-00104b6909d0}.exe" file.
11/04/2007 08:02:13 Chacha 400 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\DOCUME~1\Chacha\LOCALS~1\Temp\{ea61ce20-860c-11d3-a05d-00104b6909d0}.exe" file.
11/04/2007 16:47:04 Chacha 596 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\WINNT\system32\vxtnav.dll" file.
11/04/2007 16:50:10 Chacha 596 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\WINNT\SYSTEM32\VXTNAV.DLL" file.
11/04/2007 16:50:29 Chacha 596 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\Documents and Settings\Chacha\Local Settings\Temp\{ea61ce20-860c-11d3-a05d-00104b6909d0}.exe" file.
11/04/2007 16:50:32 Chacha 596 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\DOCUME~1\Chacha\LOCALS~1\Temp\{ea61ce20-860c-11d3-a05d-00104b6909d0}.exe" file.
11/04/2007 20:34:53 Administrateur 1040 Function setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.
11/04/2007 21:18:21 Administrateur 1240 Sign of "Win32:Banker-APP [Trj]" has been found in "E:\WINNT\system32\__delete_on_reboot__r_a_m_v_x_t_._s_y_s_" file.
11/04/2007 21:54:53 Chacha 1888 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\DOCUME~1\Chacha\LOCALS~1\Temp\{ea61ce20-860c-11d3-a05d-00104b6909d0}.exe" file.
11/04/2007 21:55:41 Chacha 1888 Sign of "Win32:VBStat-C [Trj]" has been found in "E:\DOCUME~1\Chacha\LOCALS~1\Temp\kiijsaha.dll" file.
11/04/2007 22:01:21 Chacha 396 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\WINNT\system32\vxtnav.dll" file.
11/04/2007 22:01:37 Chacha 396 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\WINNT\SYSTEM32\VXTNAV.DLL" file.
11/04/2007 22:01:57 Chacha 396 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\Documents and Settings\Chacha\Local Settings\Temp\{ea61ce20-860c-11d3-a05d-00104b6909d0}.exe" file.
11/04/2007 22:09:04 Chacha 396 Sign of "Win32:Banker-APP [Trj]" has been found in "E:\WINNT\system32\ramvxt.sys" file.
11/04/2007 22:32:52 Chacha 508 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\WINNT\system32\vxtnav.dll" file.
11/04/2007 22:33:38 Chacha 508 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\WINNT\SYSTEM32\VXTNAV.DLL" file.
11/04/2007 22:56:50 Chacha 1168 Sign of "Win32:Trojan-gen. {Other}" has been found in "E:\Documents and Settings\Chacha\Local Settings\Temp\__delete_on_reboot__{_e_a_6_1_c_e_2_0_-_8_6_0_c_-_1_1_d_3_-_a_0_5_d_-_0_0_1_0_4_b_6_9_0_9_d_0_}_._e_x_e_" file.


ce n'est pas super en ordre dsl

Il y a du Vundo.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
• Clique sur le bouton Scan for Vundo
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Salut Angel,
J'ai déjà fait 2 ou 3 sacn Vundo, il a effacé 3 fichiers lors du dernier scan. mais rien n'y fait l'infection revient encore et toujours.
Avg me dit qu'il s'agitr de Logger.goldun.Ix soit un Keylogger (ce qui fait peur d'ailleurs) il le supprime mais il réapparait!

Tu peux recommencer ?

je recommence ce soir je suis au boulot pour le moment

Ok

dois-je le faire en mode normal ou en mode sans echec?

Mode normal.

Et voilà!
Merci

Logfile of HijackThis v1.99.1
Scan saved at 18:29:27, on 12/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\WINNT\Explorer.EXE
E:\Program Files\Winamp\winampa.exe
E:\Program Files\QuickTime\qttask.exe
E:\WINNT\Mixer.exe
E:\WINNT\system32\RUNDLL32.EXE
E:\Program Files\DAEMON Tools\daemon.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
E:\WINNT\system32\ctfmon.exe
E:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
E:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
E:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
E:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
E:\WINNT\System32\nvsvc32.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\system32\msiexec.exe
E:\WINNT\system32\wuauclt.exe
D:\UTILITAIRES\telecharge divers\portable\utilitaires\antispyware-\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = E:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0D6C9F7F-ED17-45A7-9947-2EB04C22C065} - E:\WINNT\system32\pmkjg.dll (file missing)
O2 - BHO: (no name) - {376719F4-5FB2-4B1D-9859-B3864A1648A9} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - E:\WINNT\system32\nulnxpox.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)
O2 - BHO: (no name) - {B64CFB95-AE2D-4EC5-B421-F433611475D3} - (no file)
O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)
O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
O2 - BHO: (no name) - {CC49785F-80A9-49CC-AB3C-ED3270452188} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] E:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "E:\WINNT\system32\lqbniany.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [Configuration de la C-BOX] E:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [userinit.exe] E:\WINNT\userinit.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = E:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: efccdda - efccdda.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINNT\System32\nvsvc32.exe

Avant de continuer.

Télécharge Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.

Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le 12/04/2007 a 18:59:00,60

*** Recherche de fichiers sur E:

*** Recherche des fichiers dans E:\WINNT\
E:\WINNT\userinit.exe FOUND

*** Recherche des fichiers dans E:\WINNT\system32

*** Fin du rapport !

Re,

- Lance Hijackthis ->Do a system scan only
->Coche les lignes ci-dessous :

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = E:\windows\system32\blank.htm
O2 - BHO: (no name) - {0D6C9F7F-ED17-45A7-9947-2EB04C22C065} - E:\WINNT\system32\pmkjg.dll (file missing)
O2 - BHO: (no name) - {376719F4-5FB2-4B1D-9859-B3864A1648A9} - (no file)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - E:\WINNT\system32\nulnxpox.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)
O2 - BHO: (no name) - {B64CFB95-AE2D-4EC5-B421-F433611475D3} - (no file)
O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)
O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
O2 - BHO: (no name) - {CC49785F-80A9-49CC-AB3C-ED3270452188} - (no file)
O4 - HKCU\..\Run: [userinit.exe] E:\WINNT\userinit.exe
O20 - Winlogon Notify: efccdda - efccdda.dll (file missing)

Clique sur Fix checked (en bas à gauche)

Redémarre en mode sans échec

Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 2 puis patiente.

Redémarre normalement

Poste le rapport clean : C:\rapport_clean.txt

bon je pense que mon pc est clean. je viens de tout réinstaller en formatant le disque
clean a supprimé userinit
le problème c'est que je ne pouvais plus démarrer de session, il ouvrait la session puis arretait le pc directement

Tu as utilisé quelle méthode pour passer en mode sans échec ?