Infecté par Rootkit.Win32.Agent.qFermé

Question

Bonsoir,

Je suis infecté par un virus dont je n'arrive pas à m'en débarasser :
Rootkit.Win32.Agent.q
Je posséde l'antivirus SECURITOO.
Je suis sous environnement Windows XP.
Même avec Killbox.exe je n'arrive pas à le supprimer.
Alors si quelqu'un peut éventuellemnt m'aider , je suis à votre écoute

Salutations

Utilisateur anonyme · Answer

Salut,
Telecharge ceci :

A2 Free (anti-trojans et worms)
http://www.emsisoft.net/fr/software/download/

Et scan ton pc avec !

puis télécharge hijackthis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip

Dézippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Lancez le puis:
clic sur "do a system scan and save logfile" (cf demo)
faire un copier coller du log entier sur le forum

Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+

Utilisateur anonyme · Answer

salut
relance hijack, coche les cases devant ces lignes pusi fix checked
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:7180

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*windowsupdate.microsoft.com;*windowsupdate.com;download.microsoft.com;codecs.m icrosoft.com;activex.microsoft.com;liveupdate.symantecliveupdate.com;liveupdate. symantec.com;services.wanadoo.fr;secure.wanadoo.fr;webgen.wanadoo.fr;images.wana doo.fr;images2.wanadoo.fr;wanadoo.wha.com;wha.wanadoo.fr;pay.www.wanadoo.fr;www. wanadoo.fr;webmail*.wanadoo.fr;iapref.wanadoo.fr;wip2.wanadoo.fr;vip.voila.fr;ma j.wanadoo.fr;qos.wanadoo.fr;guidejuniorscontroleparental.wanadoo.fr;wip2pro.wana doo.fr;wpms.wanadoo.fr;mobile.wanadoo.fr;wpms.wanadoo.fr;photos.wanadoo.fr;music b.wanadoo.fr;wassup.wanadoo.fr

O4 - HKLM\..\Run: [eYVJU1Uw] C:\PROGRA~1\tttxrvtt\ecQAGkRN.exe

supprime
C:\PROGRA~1\tttxrvtt

puis lance ce scan en ligne
http://www.bitdefender.com/scan/licence.php
copie/colle le rapport

+remet un hijack this

a+

DE DEKEN · Answer

Bonsoir Régis,Tout d'abord deux problémes rencontrés :Le premier :Impossible de supprimer c:\Programe Files	ttxrvtt.J'ai le message d'erreur suivant : Impossible de supprimer cnml.exe.Le deuxiéme , lorsque je suis aller sur le net par le lien que tu m'as communiqué , j'avais plusieur choix possible en cochant virus online, free scan virus etc....A défaut, j'ai éditer un rapport d'analyse à partir de mon antivirus SECURITOO :Rapport d'analyselundi 8 août 2005 13:22:06Options--------------------------------------------------------------------------------Cible :: C:\ Action: Interroger l'utilisateur après l'analyse Options d'analyse : Analyser tous les fichiers Analyser le contenu des archives : inactif Moteurs d'analyse : F-Secure F-PROT: 3.12.410, 2005-08-05 F-Secure AVP: 4.0.164.4160, 2005-08-08 F-Secure Orion: 1.02.21, 2005-08-01 Résultats--------------------------------------------------------------------------------Secteurs d'amorçage Analysés: 1 Infectés: 0 Suspects: 0 Désinfectés: 0 Fichiers Analysés: 65224 Infectés: 1 Suspects: 0 Désinfectés: 0 Renommés: 0 Supprimés: 0 Mis en quarantaine: 0 Rapport--------------------------------------------------------------------------------C:\WINDOWS\system32\drivers\winik.sys Infection: Rootkit.Win32.Agent.q --------------------------------------------------------------------------------Erreur d'ouverture du fichier C:\PAGEFILE.SYS Erreur d'ouverture du fichier C:\hiberfil.sys Erreur d'ouverture du fichier C:\Program Files\Securitoo\av_fw\backweb\1044199\Users\Default\Data\storydb.dat Erreur d'ouverture du fichier C:\Program Files\Securitoo\av_fw\backweb\1044199\Users\Default\Data\L0000003.FCS Erreur d'ouverture du fichier C:\Program Files\Securitoo\av_fw\Common\admin.pub Erreur d'ouverture du fichier C:\Documents and Settings\utilisateur
tuser.dat.LOG Erreur d'ouverture du fichier C:\Documents and Settings\utilisateur
tuser.dat Erreur d'ouverture du fichier C:\Documents and Settings\utilisateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Erreur d'ouverture du fichier C:\Documents and Settings\LocalService
tuser.dat.LOG Erreur d'ouverture du fichier C:\Documents and Settings\LocalService
tuser.dat Erreur d'ouverture du fichier C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Erreur d'ouverture du fichier C:\Documents and Settings\NetworkService
tuser.dat.LOG Erreur d'ouverture du fichier C:\Documents and Settings\NetworkService
tuser.dat Erreur d'ouverture du fichier C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Erreur d'ouverture du fichier C:\WINDOWS\system32\CatRoot2\edb.log Erreur d'ouverture du fichier C:\WINDOWS\system32\config\system.LOG Erreur d'ouverture du fichier C:\WINDOWS\system32\config\SAM.LOG Erreur d'ouverture du fichier C:\WINDOWS\system32\config\DEFAULTEnfin voici mon hijackthis :Logfile of HijackThis v1.99.1Scan saved at 13:45:30, on 08/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXEC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exeC:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exeC:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXEC:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exeC:\Program Files\Securitoo\av_fw\fswsclds.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Securitoo\av_fw\Common\FSMA32.EXEC:\Program Files\Securitoo\av_fw\Common\FSMB32.EXEC:\Program Files\Securitoo\av_fw\Common\FCH32.EXEC:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXEC:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exeC:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Securitoo\av_fw\Common\FSM32.EXEC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Booster Wanadoo\wanadoo_booster.exeC:\Program Files\Nikon\NkView6\NkvMon.exeC:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exeC:\Program Files\Internet Explorer\iexplore.exeC:\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckRegO4 - HKLM\..\Run: [eYVJU1Uw] C:\PROGRA~1	ttxrvtt\ecQAGkRN.exeO4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splashO4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSWO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\RunServices: [Winpower] C:\Program Files\UpsPilot\Winpower.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: Booster Wanadoo.lnk = C:\Program Files\Booster Wanadoo\wanadoo_booster.exeO4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin
pjpi150_01.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin
pjpi150_01.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/direct/Photoweb_uploader.cabO16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{2C0424C2-EE38-4CE6-9240-2F82A1AEC9CF}: NameServer = 80.10.246.5 80.10.246.136O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXEO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exeO23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exeO23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exeO23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXEO23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exeO23 - Service: InCD Helper (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeDans l'attente de te lire,A bientôt

Utilisateur anonyme · Answer

salutva dans c:\Programe Files	ttxrvttà l'interieur, ouvre avec le bloc note le fichier profile.datcopie et colle ici le contenu iciensuite telecharge Silentrunnershttp://www.silentrunners.org/Silent%20Runners.vbslance le et poste le rapporta+

DE DEKEN · Answer

Bonjour moe31,

Tout d'abord ce que j'ai récupérer dans c:\Programe Files\tttxrvtt le fichier profile.dat :
H \ P r o g r a m F i l e s \ t t t x r v t t \ e c Q A G k R N . d l l H \ P r o g r a m F i l e s \ t t t x r v t t \ e c Q A G k R N . e x e H \ P r o g r a m F i l e s \ t t t x r v t t \ N R k G A Q c e . e x e @ \ P r o g r a m F i l e s \ t t t x r v t t \ c n m l . e x e F \ P r o g r a m F i l e s \ t t t x r v t t \ p r o f i l e . d a t F \ W I N D O W S \ s y s t e m 3 2 \ d r i v e r s \ W i n I K . s y s \ R E G I S T R Y \ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ e Y V J U 1 U w r \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ w i n i k j \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C o n t r o l S e t 0 0 1 \ S e r v i c e s \ w i n i k

Ensuite le rapport de Silentrunners :

"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"PinnacleDriverCheck" = "C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg" [empty string]
"eYVJU1Uw" = "C:\PROGRA~1\tttxrvtt\ecQAGkRN.exe" [file not found]
"F-Secure Manager" = ""C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]
"F-Secure TNB" = ""C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW" ["F-Secure Corporation"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{32A9D769-5B55-4a25-9A62-86B5683FE50A}" = "NikonView Drop Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Nikon\NkView6\NkvDropExt.dll" ["Nikon Corporation"]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Ahead\InCD\incdshx.dll" [file not found]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\utilisateur\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\COKEFI~1.SCR" (Coke Fireworks.scr) ["MacSourcery"]

Startup items in "utilisateur" & "All Users" startup folders:
-------------------------------------------------------------

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"Booster Wanadoo" -> shortcut to: "C:\Program Files\Booster Wanadoo\wanadoo_booster.exe" ["SlipStream Data Inc."]
"NkvMon.exe" -> shortcut to: "C:\Program Files\Nikon\NkView6\NkvMon.exe" ["Nikon Corporation"]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\ = "&Rechercher"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0001-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherche"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://GLOBAL.ACER.COM/
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

Missing lines (compared with English-language version):
[Strings]: 2 lines

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

C-DillaCdaC11BA, C-DillaCdaC11BA, "C:\WINDOWS\system32\drivers\CDAC11BA.EXE" ["Macrovision"]
F-Secure Distributed Firewall Daemon, FSDFWD, ""C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe"" ["F-Secure Corporation"]
F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."]
F-Secure Management Agent, FSMA, ""C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE"" ["F-Secure Corporation"]
F-Secure Windows Security Center Legacy Detection Service, Fswsclds, "C:\Program Files\Securitoo\av_fw\fswsclds.exe" ["F-Secure Corporation"]
fsbwsys, fsbwsys, ""C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe"" ["F-Secure Corp."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Securitoo AntiVirus Firewall, BackWeb Client - 1044199, "C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE" [null data]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 22 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 11 seconds.
---------- (total run time: 63 seconds)

Dans l'attente de tes nouvelles,
A bientôt

Utilisateur anonyme · Answer

salut

telecharge : Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est téléchargeable ici:
http://get.yourfile.net/qn53063.zip

Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

O4 - HKLM\..\Run: [eYVJU1Uw] C:\PROGRA~1\tttxrvtt\ecQAGkRN.exe

valider en cliquant sur [fix checked]

_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Ensuite, tres important:

:: Supprimer les fichiers temporaires ::

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
vider tout le contenu de ces dossiers.

_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

demarrer > executer tape ou fais un copier/coller dans la boite de dialogue:

sc stop WinIK

valide avec ok

demarrer > executer tape ou fais un copier/coller dans la boite de dialogue:

sc delete WinIK

valide avec ok

_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

1- Double-clic sur KillBox.exe (sert toi de l'aide si tu as du mal avec cette manip)
2- ouvre le bloc notes et copie la liste en gras ci-dessous
3- Selectionne "Delete on Reboot"
4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier
5- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard
5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI

liste

C:\Program Files\tttxrvtt\ecQAGkRN.dll
C:\Program Files\tttxrvtt\ecQAGkRN.exe
C:\WINDOWS\system32\drivers\winik.sys

laisse le pc redemarrer et supprime le dossier C:\Program Files\tttxrvtt
verifie si winik.sys n'est pas reapparu, si c'est le cas tu devrais pouvoir le supprimer

a+

Utilisateur anonyme · Answer

tu peux tout supprimer.tu as un doute sur un fichier ou dossier en particulier ?

Utilisateur anonyme · Answer

tu avais posté tout le contenu de ce qui se trouvait dans profile.dat ?
car d'habitude il liste tout les fichiers ce qui ce trouvent dans tttxrvtt

pour les rarsfx, fais les analyser ici:
http://www.virustotal.com/xhtml/virustotal_en.html
ou la:
http://virusscan.jotti.org/
s'ils sont ok laisse les

en general, pas de risque à supprimer ce qui se trouve dans "temp"

relance hijackthis et supprime si présent:
O4 - HKLM\..\Run: [eYVJU1Uw] C:\PROGRA~1\tttxrvtt\ecQAGkRN.exe

demarrer > executer tape ou fais un copier/coller dans la boite de dialogue:

sc stop WinIK

valide avec ok

demarrer > executer tape ou fais un copier/coller dans la boite de dialogue:

sc delete WinIK

valide avec ok

relance killbox
coche delete on reboot
Dans "Full Path of File to Delete"
copie et colle:
C:\Program Files\tttxrvtt
coche la case "deltree(include subdirectory)
valide

laisse le pc redemarrer , supprime winik.sys et dis moi si le dossier est toujours la

a+

Utilisateur anonyme · Answer

essaye en mode normal

balltrap34 · Answer

salut
copie colle ceci dans le bloc note attention respect la ligne vide a la fin du reg
------------
Windows Registry Editor Version 5.00

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinAwk"=-
"WinAwk.exe"=-
"smss.exe"=-
"winik.sys"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iTunesMusic]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous" =-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM" =-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Legacy_ITUNESMUSIC\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\Legacy_RDRIV\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\parameters\AutoShareServer]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\parameters\AutoShareWks]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\parameters\AutoShareServer]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\parameters\AutoShareWks]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2" =-
"AUOptions" =-

---------------
enregistre le sur ton bureau met lui comme nom
regspy.reg
et sur type tu met tous fichiers
-------------

double clik sur le fichier reg que tu vient de faire et confirme

-----
recherche et suppr si tu trouve ceci
rdriv.sys
winik.sys

redemarre passe ton anti virus
verifie que ton pare feu est actif
reconnecte toi et fait une mise a jour windows

Utilisateur anonyme · Answer

salut
tu as fais ceci?
demarrer > executer tape ou fais un copier/coller dans la boite de dialogue:

sc stop WinIK

valide avec ok

demarrer > executer tape ou fais un copier/coller dans la boite de dialogue:

sc delete WinIK

valide avec ok

Avec kill box, supprimer C:\WINDOWS\system32\drivers\winik.sys

a+

Utilisateur anonyme · Answer

re,Redemarre et dis moi si il a disparu !a+

Utilisateur anonyme · Answer

saluttelecharge Registry Search Toolhttp://www.billsway.com/vbspage/vbsfiles/RegSrch.ziplance le et dans la boite de dialogue, taperdrivensuite reposte un kijack + le contenu de profile.dat

balltrap34 · Answer

premiere fois qu il me resiste bizzard

Utilisateur anonyme · Answer

salut

redemarre en mode sans echecs

lance hijack et supprime
O4 - HKLM\..\Run: [eYVJU1Uw] C:\PROGRA~1\tttxrvtt\ecQAGkRN.exe

ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer

ensuite double clic sur fix.reg et accepte de fusionner

ensuite, avec killbox

1- Double-clic sur KillBox.exe (sert toi de l'aide si tu as du mal avec cette manip)
2- ouvre le bloc notes et copie la liste en gras ci-dessous
3- Selectionne "Delete on Reboot"
4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier
5- reviens sur killbox, et dans le menu du haut clic sur "file"puis sur paste from clipboard
5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI

liste

C:\Program Files\tttxrvtt\ecQAGkRN.dll
C:\Program Files\tttxrvtt\ecQAGkRN.exe
C:\Program Files\tttxrvtt\NRkGAQce.exe
C:\Program Files\tttxrvtt\cnml.exe
C:\Program Files\tttxrvtt\profile.dat
C:\WINDOWS\system32\drivers\winik.sys

laisse le pc redemarrer et supprime le dossier C:\Program Files\tttxrvtt
verifie si winik.sys n'est pas reapparu, si c'est le cas tu devrais pouvoir le supprimer

a+

Utilisateur anonyme · Answer

salutsi tu as gardé, Registry Search Tool, lance une recherche sur :winiket poste le resultatQuelques fois le service qu'il crée est difficile à supprimer, meme via un rega+

Utilisateur anonyme · Answer

salut

essaye ce reg un peut plus complet que le 1er

ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Security]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Security]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Security]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

Puis enregistrer sous et dans:
Nom du fichier, met fixwin.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer

ensuite double clic sur fixwin.reg et accepte de fusionner

redemarre le pc et refais une recherche sur winik et poste le resultat

a+

Utilisateur anonyme · Answer

salut

il va falloir les supprimer manuellement

demarrer> executer tape regedit

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK

ne supprime que ce qui est en gras, si elle ne veulent pas se supprimer, fais un clic droit dessus et clic sur autorisation
il faut mette le controle total pour ton compte

a+

Utilisateur anonyme · Answer

biens'il ne trouve plus rien, alors c'est oka+

Utilisateur anonyme · Answer

de rien ;-)a+

Infecté par Rootkit.Win32.Agent.q

20 réponses

Discussions similaires

Newsletters