winloghon.exe infecté par un trojan

[sam01]

Bonjour,

je suis sur XP SP3 , avec Avira Antivir Personal comme antivirus te Kerio en tant que FireWall. Depuis quelques jours le cheval de troie suivant :

TR/Patched.KL.196 qui à infetcté un fichier système. Le winlogon.exe

Je résous le problème tous les matins en restaurant mon système. Ca se passe bien la journée, mais chaque matin, le virus revient...

comment puis-je faire pour m'en débarrasser ?

Merci pour votre aide.

[Tmutantv1]

Après avoir restauré ton système fait le analysé par
Kaspersky Virus Removal Tool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/.

[sam01]

Bonjour,

comment ça restauré ?

[Benj.]

Bonjour. La réponse est dans le post précédent :

Citation:

Envoyé par sam01

Bonjour,

comment ça restauré ?

Citation:

Envoyé par sam01

Je résous le problème tous les matins en restaurant mon système.

La démarche habituelle donc

[sam01]

c'est déjà fait plusieurs fois, mais le trojan est toujours là....

je pense qu'il doit être dans ma partition de données, et à chaque foi que je restaure ma partition système, le trojan réinfecte mon fichier sytème..

[{F-I}]

Qu'est ce qu'il est aussi vicieux lui ....

Est-ce que tu te rappelles comment ça s'est fait infecté ? (en visitant un site ? ou en installant un software ?)

[sam01]

non,

mais il semble que ce soit un rootkit...

[{F-I}]

Cela se pourrait, alors dans ce cas c'est plus dur de le dégager...

Il y a plusieurs outils voir chez Malekal, les anti-rootkit / scanner rootkit.

Tiens nous au courant

[Tmutantv1]

Bonjour,
As-tu fait le scan? Si oui quel est le résultat?

[tigzy]

C'est surement un Batimal

Télécharger et enregistrer sur le bureau
Combofix

=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l’outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus

[Benj.]

L'idéal serait de passer par une solution "offline" afin d'optimiser les chances de supprimer le rootkit/malware/virus/trojan/etc. qui provoque ces problèmes. AVG Rescue CD est un très bon produit qui pourra très probablement s'avérer efficace. Un tutoriel est disponible à cette adresse.

[sam01]

Citation:

Envoyé par tigzy

C'est surement un Batimal

Télécharger et enregistrer sur le bureau
Combofix

=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l’outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus

Voici mon rapport :

http://www.cijoint.fr/cj201011/cij5goppgW.txt

Je tente aussi la solution de Benj.

[sam01]

Citation:

Envoyé par Benj.

L'idéal serait de passer par une solution "offline" afin d'optimiser les chances de supprimer le rootkit/malware/virus/trojan/etc. qui provoque ces problèmes. AVG Rescue CD est un très bon produit qui pourra très probablement s'avérer efficace. Un tutoriel est disponible à cette adresse.

Bonjour Benj.,

j'ai gravé le fichier iso, mais ça ne fonctionne pas au démarrage....

J'entends le CD tourner en boucle mais rien ne se passe...

[Benj.]

Le boot principal est-il configuré sur le lecteur CD ?
Si oui, il faut, je pense et suivant la configuration de l'ordinateur, attendre plus ou moins longtemps.

[sam01]

Ca y est j'ai réussi mais il n'a rien trouvé.

Uniquement des cookies liés à Firefox...

[sam01]

et ce matin mon antivirus détecte un trojan :

D:\Système Volume Information\...\A0006238. exe, un virus ou programme indésirable 'TR/Agent.fgmh' à été trouvé...

C'est bizarre, mais j'ai l'impression qu'il se multiplie...

[{F-I}]

Batimal ?

Je n'ai pas trouvé sa définition, quelqu'un peut m'expliquer que c'est ? SVP.


L'ordinateur en question, est un pc à usage personnelle ?
Parce que là, c'est assez flou et le virus est vraiment vicieux, j'aurais tendance à proposer une formatage complète afin de s'assurer que la bête est bien dégagée...
Ce n'est pas toujours une excellente solution, certes mais ... Faut voir...

[sam01]

Juste une chose, je veux bien tout reformatter mais j'aimerais savoir coment ne plus attraper un telle m....

Mieux vaut prévenir que guérir...


Je pensais pourtant que j'étais bien protégé avec Avira et Kério...

Comment ça se fait que c'est passé à travers tout ça ?

[10_GOTO_10]

Citation:

Envoyé par sam01

Voici mon rapport :

http://www.cijoint.fr/cj201011/cij5goppgW.txt

Citation:

uStart Page = hxxp://www.google.fr/

hxxp? C'est normal, ça ?

[Benj.]

Citation:

Envoyé par 10_GOTO_10

hxxp? C'est normal, ça ?

Quand bien même, ça ne doit pas être l'origine du problème d'infection.