Win32:Small-EPJ [Trj] :'(

Apparement ce n'est pas la seule bête dans le pc !
nouvelle infection de "Win32:Agent-KIR [Trj]" je peux supprimer mais je vais le supprimer a partir du fichier source et non par avast. Quelqu'un pourrais m'aider ? Une fois que vs ayez finis de manger bien sur ^^ ( 12h56 ) Le fichier infecté est "Ip6Fw.sys"

Une de plus -.-"
"Win32:Agent-MEB [Trj]" le fichier contaminé est runtime.sys
Si quelqu'un pourrais m'aider !  

Est-ce que ceci est normal?
Des messages sortant de "@waterdog.com" ??? et les messages sont envoyés a des adresses que je ne connais pas ! les adresse waterdog changent tt le tps et les adresses des destinataires aussi !

Scan integralement ton pc, le virus as dors et déja pu se multiplier...
runtime.sys est un fichier crée par le virus pour rentrer des clés dans le registre au démarrage du systeme. Si elles sont faites, tes encore plus dans la m....

j'ai deja scanné integralement avec plusieurs logiciel : /
j'ai l'impression que des mails s'envoie tt seul
et si neuf telecom voit sa c'est sur moi que sa va retomber puisque sa va être considéré comme du spam ...
j'ai tenté la restauration system et il a eu un message comme quoi aucun changement effectué . Il y aurait pas quelqu'un de dispo pr aider? en attendant je reboot pr voir si j'ai a nouveau des alertes car la je n'en n'est plus et aucun mail ne s'envoit .

Demande à AngelDark,  

Angel dark where are you ?
j'ai l'impression d'être ignoré ...

-.-" personne ? il est quand mm 14h13 ...

( merde ! )
Bon, alors je vais essayer moi meme
xD
Fais un log avec hijacthis, puis poste le ici

ok il faut être en sans echec pr le faire non ?
ps: j'ai des infos pr les mails qui s'envoient tt seuls
je pense que ça vient de "Email-Worm.Win32.Runouce.b" je suis en train de faire un scan avec "a-squared Anti-Malware 3.0" et je suis sûr que c'est ça !
bon je fais le hijackthis par merlin ? en sans echec ?

Non pas besoin d'etre en mse, mais va y comme tu le sens  

voila le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 15:45:34, on 04/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Rar$EX00.375\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\TEMP\VRT55.tmp
O4 - HKLM\..\Run: [04873611] rundll32.exe "C:\WINDOWS\system32\qgbckdke.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Cont...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00D205B.dat
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

sur le site de hijacjthis je ne comprend rien !
"O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Genre

Sûr
Sûr
Effacer à tout prix ! Cet élément a été classé comme bonne par nos visiteurs." sa veut dire qu'il faut le supprimer ou pas ? surement une mauvaise traduction

bonne nouvelle le logiciel "a-squared Anti-Malware 3.0" a supprimé plusieurs trojans et maintenant il n y a plus de mails qui s'envoient tt seuls !   bon il ne faut pas s'exiter ça n'est pas encore sûr :s
bon après il me reste juste a savoir se qu'il reste comme infection grace au rapport .

Oui, fixe le on ne sait jamais

Ensuite esque tu es bien sur d'avoir fais les scann avec spybot et ad aware ? c'est très important.

( Et qu'esquil fou angeldark ? merde !   )

spybot et ad aware oui le scan le plus precis avc ad aware et tt les mises a jours à été faites .

alors ???
personne sur le forum ?? ils sont où les modos !!!

zzzZZZzzz ...
Encore un peu et je passais page 2 en affaire classée ...

Tkt, je reviens xD
Mais bordel je suis pas un pro moi

Bon allez je vais faire comme eux alors

1- va sur le site de Sophos (éditeur AV),
2- clique sur le lien téléchargements,
3- tu dois tomber sur une liste de liens de produits téléchargeables dont un outil s'appelle sav32cli (outil dit d'urgence), clique dessus.
4- suis les indications de téléchargement puis d'installation prescrites (lancement en mode sans échec, etc..)
5- problème réglé (normalement)!
6- il est possible, qu'après la désinfection, lorsque tu relances ton PC, qu'une boîte de dialogue s'affiche pour te signaler qu'un fichier dll ne peut être chargé. En fait, c'est normal, cela doit faire référence au fichier qui s'exécutait automatiquement au démarrage et qui te pourrissait ta machine et qui a donc été supprimé par le logiciel de sophos.
7- si cela se produit, tu va dans le regedit : Rechercher puis tu saisis le nom du fichier dll que tu auras pris soin de noter. Tu appuies sur Entrée et tu attends que la recherche aboutisse sur une clé contenue dans HKLM/Software/Microsoft/Windows/CurrentVersion/Run.
En principe, tu dois trouver une clé dans le paramétrage de laquelle tu retrouves le nom de la dll incriminée. Supprime cette clé.

( c'est pas moi qu'est ecris mais bon   )

Bon Ensuite, tu va faire cette page dans l'ordre :
http://www.pc-infopratique.com/article-13-5-le-nettoyag...

ouep je sais que c'est pas toi je l'ais déjà fais ^^
j'ai supprimé plein plein plein de virus avec des logiciels
il me reste plus que:
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
Win32:Agent-KIR [Trj]

C:\WINDOWS\System32\drivers\runtime.sys
Win32:Agent-MEB [Trj]

et
Win32:Small-EPJ [Trj]

http://616957.ds.nac.net/s_135_3232235778?m=3&a=1&r=1&h...

http://616959.ds.nac.net/s_135_3232235778?m=3&a=1&r=1&h...

http://208.66.194.234/s_135_3232235778?m=3&a=1&r=1&hdd=...

http://221041.ds.nac.net/s_135_3232235778?m=3&a=1&r=1&h...

http://62.72.1243.static.theplanet.com/s_135_3232235778...

http://208.66.194.241/s_135_3232235778?m=3&a=1&r=1&hdd=...

http://616957.ds.nac.net/s_135_3232235778?m=3&a=1&r=1&h...

voilà "l'url" change à chaque fois que je fais "abandonner la connection" et toutes ces adresses tournent en rond ... UN EXPERT SVP !

Ben t sympa toi, tu met l'url du virus ici ( jai été curieu jai cliker xD )

Bon donc après cette frayeur ( j'espere que ta pas voulu minfecter aussi pour que je taide encore plus hein ? ) il faut que tu détailles ce que ta fait et que tu me dises ou tu en ais parcequ c'est le bordel :s

<< il me reste plus que:
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
Win32:Agent-KIR [Trj]

C:\WINDOWS\System32\drivers\runtime.sys
Win32:Agent-MEB [Trj]

et
Win32:Small-EPJ [Trj] >>

et la je suis en maque d'idée ! jr suis obligé de laisser l'alerte ( celle avc les url ) dans un coin de l'écran pour ne pas qu'il y en ai d'autre : /
et pour les autres il ne revienne que lorsque je relance ma session ou je redemarre le pc.

ok

Télécharger sur le bureau


SdFix

= Double-clic SDFix.
= Clic Install

= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d'accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqua l'apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel

Double-clic SDFix.

Clic Install

Double-clic sur le nouveau dossier SDFix qui est dans C:\

Double-clic RunThis

Presser Y

A l'invitation ==> appuyer sur une touche pour redémarrer

Redémarrage ( qui sera plus long ,car nettoyage en cours )

Continuer si un message derreurs apparaît ,dans ce cas aller directement au rapport dans SDfix

Apparition de Finished

Appuyer sur une touche

Dans SDFix , un rapport Report.

ok je teste sa tout de suite et je tient au courant .

re, mauvaise nouvelle je ne peut même pas lancer sdfix -.-"

"Seule une partie d'une requête ReadProcessMemory ou WhriteProcessMemory à été effectuée.

et je sais pas si c'est une bonne nouvelle mais en redemarrant le pc il ne me reste plus que l'alerte avec les url il n y a pas eu celle des 2 autres trojans, je reboot encore on ne sait jamais ... merci Electrical de m'aider, ce n'est pas comme certains ( pour ne pas citer les modos )

Me dis pas merci car jéssaye de t'aider alors que je ny connait rien

Moi sur le forum je suis plus partie logiciel tu vois...

Bon donc refait un résumé bref de ce qui se passe maintenant qu'on voye un peu.
Esque tu as bien fait un scann au démarrage avec avast ?
C'est important car c'est au démarrage que s'amorce parfois les virus, planifier un des le démarrage leur coupe l'herbe sous le pied, si jpuis dire.

a nan jmange puis je teste thanks a tt

bon ya personne de bien qualifié ici ?

desesperé là ! ya personne c'est mort !

Mais si juste le temps dun multi sur dark crusade  

Bon fais ce que je te dis.

PS De toute fasson sur le forum en haut a droite ya une option qui sapelle suivi des discussions   je peux pas toublier tu y es.

n'importe quoi !!!
un gars crée un sujet à 20h et en 2 h il a 25 reponses !
moi les 25 reponses je les ai eu en attendant de midi jusqu'à maintenant !
soit les modos on trop peur parce que c'est beaucoup trop dur pour eux soit y'en a qui en ont rien a foutre des problemes des gens .

mdr ok electrical mais la j'ai redémarer juste ma session et pas d'alerte
le tps de finir ma converse msn avc une meuf raide dingue de moi et inverse xD
( c'est bien rare sa lol ) et je redemare le pc pr voir se qu'il se passe  

N'en fais pas non plus un K, eu un cas, car tes plutot chanceux d'avoir un suivi de ton sujet plutot regulier....
Yen a qui nont toujours pas de réponse sur d'autres topics, c'est triste et sa donne forcement mauvaise image du forum, mais on ne peut etre partout, c'est déja bien assez de consacré un peu de son temps sur ce fofo, alors quand on a autre chose à faire, ils ne faut pas crier scandale, un modo a une vie derriere et na pas que sa à penser...

Et pis, aperemment ton probleme s'est arrangé  

Je vais dire que c'est grace à moi bien sur, pourtant si tu tétais attardé plus longtemps sur google, tu y serais parvenu toi meme...

re,
mon prob de c'est pas arrangé du tout
après plusieurs reboot et scans de différents logiciels dont les exelents "Uniblue" et bien toujours le virus, hier juste avant d'eteindre mon pc une nouvelle alerte cette fois-ci "vitorb.exe" ou dans le genre a infecté taskmsgr.exe, explorer.exe ... etc En gros les éléments essentiels, j'en avais tellement marre que du coup j'ai mis supprimer ... Alors que je sais se qu'il se passe quand on coupe le processus explorer.exe ! Mais j'ai fais le con et là impossible d'aller sur les sessions utilisateurs j'étais automatiquement deco.
Une idée de genie me parvient :
-je demarre le pc je tapotte F8
-je lance en "sans echec avc invite de commande"
-je tape "regedit.exe" la seule que je connaisse
-je met importer des clés et la je mets "tout les formats" et grâce à cela j'ai pu lancer mon nero et graver sur des dvd toutes mes photos et videos que j'avais besoin.
et puis je redemarre je tapotte F11 et je formatte ...
J'arrete avast je passe à antivir.

Merci quand même à toi Electro sur ce à bientôt pour un prochain pb.