Infecter par le trojan Logon1_.exe

Bonsoir tout le monde,
Je suis en reseau avec un collegue et nous avons tout les deux attrapé
le meme trojan, je ne suis pas sur de son nom mais il creé dans les processus "Logon1_.exe" il m'est impossible de l'enlever avec a2 et kapersky
( en faite ils ne le detecte pas ).
J'ai meme formater le pc a l'instant et surprise je me retrouve toujours avec ce .exe
J'ai formaté la partit :/C qui contenais windows mais j'ai aussi un disque D
avec mes mp3, dvd, logiciel que je n'est pas formaté..
Si vous avez une solution ou un A.T pouvant le suprimer entierement sa serais super sympa.
Merci :x

bonjour
cela , montre une fois encore que le formatage n'est pas la solution première dans bien des cas
Sans autres précision , cela ressemble à du Gaobot.
-----

Télécharger
Ccleaner
et installer ==> Sur la page qui offre plusieurs choix , ne laisser cochés que les 2 premiers :
« ajouter un raccourci sur le bureau » et « ajouter un raccourci dans le menu démarrer »
----------------------- ---------------

Télécharger :
AVG Antispyware 7.5

= Installer
= Clic : Mise à jour
-----------------------
= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
------------------------
Lancer Ccleaner ==> Analyse puis lancer le nettoyage
---------------------
Lancer AVG anti-spy

= Dans ANALYSE
==> Paramètres ==> sous COMMENT REAGIR==>Actions recommandées ==>Quarantaine
==> Clic : Analyse complète du système
En fin de scan ( qui est assez long)
==> Clic Appliquer toutes les actions
==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
------------------------
En mode normal

Télécharger sur le bureau
Hijackthis
= clic droit dessus ==> renommer ==> Ecrire : test.exe ( à la place de hijackthis.exe)
=Double-clic dessus
= Clic Do a system scan and save the log
= copier le rapport, le coller dans la réponse
+
le rapport AVGAnti-spy

Bonjour land3
Ok je vais faire sa dessuite et j'edit
merci :x

Re.
Le logiciel avast ma suprimé 4 trojan dont :

Win32:QQpass-BM
Win32:Lineage-318

Ensuite AVG :
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 13:00:52 20/11/2006

+ Résultat de l'analyse:



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.


Fin du rapport



Et enfin HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 13:04:32, on 20/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\uninstall\rundl132.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\Intel\rundll32.exe
C:\Program Files\Microsoft\svhost32.exe
C:\WINDOWS\Download\svhost32.exe
C:\WINDOWS\Download\svhost32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Documents and Settings\Jerem\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RUPK - {604B283A-4E26-4504-98E7-72859F949547} - C:\PROGRA~1\HITWAR~1\sypcms.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [load] C:\WINDOWS\uninstall\rundl132.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [rzt] C:\WINDOWS\Intel\rundll32.exe
O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe
O4 - HKLM\..\Run: [wl] C:\WINDOWS\Download\svhost32.exe
O4 - HKLM\..\Run: [xy] C:\WINDOWS\Download\svhost32.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
O4 - HKCU\..\Run: [HitwarePKLite] C:\Program Files\Hitware Popup Killer Lite\HitwarePKLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1972c662b6e2d102f202/netzip/RdxIE601_fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EBACBD1-C193-4A05-9651-277CA18F8CC6}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.

A l'instant ou je te parle, aprés connection sur internet le logiciel AVG detecte : Trojan.Gamec.bw
Emplacement : C:\\WINDOWS\System32.xydll.dl
Risque : Elevé

C'est quoi la difference entre faire une analyse en mode normal et en mode sans echec ?
Merci

en fonction de l'avancement de ton infection elle va partir ou non en manuel
------
Télécharger et installer
RegSeeker
-----------

relancer hijack ( do a system scan only)

coher ces lignes et clic sur fix checked ensuite

O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe
O4 - HKLM\..\Run: [wl] C:\WINDOWS\Download\svhost32.exe
O4 - HKLM\..\Run: [xy] C:\WINDOWS\Download\svhost32.exe
---------
supprimer
svhost32.exe ==> dans C:\Program Files\Microsoft\
svhost32.exe ==> dans C:\WINDOWS\Download\
------------
= lancer Regseeker
= Dans language mettre en français
= Nettoyer le registre==> tout cocher y compris : backup avant suppression ( en bas)
= Ok ==> à la fin :clic Sélectionner tout , encore Sélectionner tout
= dans la partie devenue jaune ==> Clic Droit Supprimer les éléments sélectionnés
==> Ok
---------
il y a ça aussi qui est infecté ( dans le registre )
il faudra supprimer , je n'ai pas le temps de te dire comment
si tu ne sais pas faire , on verra après

{c95fe080-8f5d-11d2-a20b-00aa003c157a} ==> dans HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
--------
refaire un hijack

---------
en mode sans échec seul les processus essentiels sont lancés , ce qui facilite les interventions , les suppressions

En telechargent le logiciel RegSeeker, il y a AVG qui c'est ouvet et qui me dit
Nom : Worm.viking.bx
Risque : Elevé

Puis avast qui ce reveille et qui me dit
Fichier : http://60.XXX.XXX.XXX/ma/maaa1.exe\[UPX]
Je n'est pas mis le lien en complet pour que personne n'y aille ..
Nom du logiciel malveillant : Win32:Lineage-318 ( Celui la je lai deja suprimé 2 ou 3 fois et il revien..)

Sa a avoir qqchose avec ton logiciel ou pas ?
Je mets les deux en quarantaine en attendan ta réponse.
En tout cas je te remerci de m'aider je n'est jamais eu affaire a des trojan aussi coriace & je suis un formateur dans le sang mais la sa na pas l'aire d'etre la solution :x

Avast et avg deviennent fou..
Nouveau trojan detecté
Nom : Trojan.Nilage.aqd
Risque : élevé

PS: Y a t'il une commande edit ?

Je suppose que ton routeur a un pare-feu activé , sinon pare-feu indispensable
-------
non tes infections n'ont rien à voir avec les outils télécharger
-------
faire ceci

Télécharger sur le Bureau
eScan Antivirus Toolkit

= Double-clic sur mwav.exe ;
= Clic Unzip
= Clic OK

= Double-clic Poste de travail ==> C :==> Kaspersky
==> kavupd.exe ( c’est rangé par ordre alphabétique) , une fenêtre Dos apparaît et la mise à jour se fait : autoriser la connexion internet si demandé par le pare-feu
= A la fin il y a écrit Press any key to continue ==> appuyer sur une touche

Redémarre en mode Sans Échec
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.
Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel

= Dans C :Kaspersky ==> double-clic sur mwavscan.com
= Cocher Drive ==> juste en dessous Cocher alors Drive
= à Droite choisir C:\
= Cocher Scan All Files
= clic Scan Clean
= Attendre de voir Scan Completed
si des détections sont visibles ==> recommencer le scan , jusqu'à plus rien
------------
ta question : edit ; concerne l'édition des messages ? si oui ; tu vas à ton message et en bas tu cliques sur modifier

salut Land3 et Animahh

une question stp tu n'aurais pas télécharger stylexp avec des logons ?
le logiciel logons te pause peutetre des problemes ?

@+dédé

Salut land3, désoler du retard.
Je m'apercoi que le trojan s'installe quand je clique sur n'importe qu'elle .exe contaminé, je ne peux plus me servire de certain logiciel sans l'activer :/
Logfile of HijackThis v1.99.1
Scan saved at 07:20:26, on 24/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\RunDLL32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\zh\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O10 - Unknown file in Winsock LSP: c:\windows\system32\wsd_sock32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wsd_sock32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C79D8E50-A271-421F-86C6-95F7B6092D35}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



Anh.

PS : ONAIRO, non dsl cela vien d'un logiciel que je ne vais pas cités






[ Ce message a été modifié par : : Animahh le 25-04-2007 20:07 ]