[trojan] win32 Wigon.Bk [Résolu]

larimoise · 14/05/2008, 22h10

Salut,
mon antivirus Nod32 vient de détecter un cheval de troie win32 wigon.bk, qu'il trouve dans le sous dossier drivers, du dossier system. De plus, dans l'arrière plan du bureau j'ai une image qui dit qu'il y'a un spyware, et donne plus bas un lien pour l'éliminer.
J'ai redémarrer le Pc en mode sans échec, et j'ai scané le dossier drivers avec nod32 , il retrouve le virus et l'élimine, mais dés que je redémarre le pc il revient.
Là je suis toujours en mode sans échec, j'ai cherché avec Google mais le seul lien que je trouve est en russe

.
Bref, j'ai besoin d'aide.
Merci d'avance.

rlgrand · 14/05/2008, 22h46

Salut,

Il y a peut être une tache planifiée qui réinstalle le virus à chaque redémarrage.
les infections lop.com fonctionnent de cette manière.
un truc du genre : C:\WINDOWS\tasks\A6967B349185F408.job
Il y a un outil pour ca ( lopsd )

Quant à l'image, c'est une fenêtre de navigateur ?

Tu peux faire un log hijackthis ou pas ?

f-k-z · 14/05/2008, 22h49

Yop,
trouvé sur un forum, il y a qques temps:

Citation:

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/R...ools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

++

F-k-z

rlgrand · 14/05/2008, 23h17

SDFix est un outil intéressant.
Mais sans log hijackthis, c'est comme donner un coup d'épée avec les yeux bandés.

larimoise · 15/05/2008, 09h50

Salut,
merci pour vos réponses, avant d'utiliser les outils que vous m'avais
proposé, voici le log Hidjack this:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55

Logfile of HijackThis v1.99.1
Scan saved at 08:41:49, on 15/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur.LOTFI-C5DB70\Bureau\procedure lop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing)
O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE\ZXDSL852\CnxDslTb.exe" "ZTE\ZXDSL852"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [advap32] c:\evny.exe/r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Program Files\DT\Sinus 154 stick\Wifiusb.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe

rlgrand · 15/05/2008, 11h47

Salut, Larimoise

Merci pour l'envoi du log. C'est bien plus facile de donner un avis.
Une remarque, Hijackthis ( ta version n'est pas la plus récente ) ne doit pas être installé dans un fichier temporaire.
Pour le prochain rapport.

Il y a une ligne en 020 qui révèle l'infection :

Citation:

http://www.bleepingcomputer.com/star...dll-22920.html

et deux autres lignes ( 02 et O21 )

Citation:

http://www.bleepingcomputer.com/star...dll-22939.html

et une autre ligne en 04

Commence par la première infection.
Tu peux passer SDFix.

Citation:

http://www.malekal.com/tutorial_SDFix.php

Il y aura sans doute d'autres choses à faire.
Passer un antimalware, ...
As-tu tout ce qu'il faut pour la protection de ton PC ( Pare-feu, antispyware ) ?

A+.

rlgrand · 15/05/2008, 12h02

Autre chose, Larimoise, est-ce qu'il y a une trace d'Antispyspider sur ton PC ?
( programmes, %Program files % )

larimoise · 15/05/2008, 18h16

Salut,
j'ai fait une restauration système et je crois que c'est réglé, je n'ai plus cette arrière plan sur le bureau. J'ai repassé hidjack this, voici le log:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
Logfile of HijackThis v1.99.1
Scan saved at 17:04:13, on 15/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ZTE\ZXDSL852\CnxDslTb.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\DT\Sinus 154 stick\Wifiusb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur.LOTFI-C5DB70\Bureau\procedure lop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://fr.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://fr.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://fr.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://fr.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE\ZXDSL852\CnxDslTb.exe" "ZTE\ZXDSL852"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\pando.exe" /Minimized
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Program Files\DT\Sinus 154 stick\Wifiusb.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe

rlgrand a dit:

Citation:

Autre chose, Larimoise, est-ce qu'il y a une trace d'Antispyspider sur ton PC ?
( programmes, %Program files % )

effectivement j'avais une page html ouverte pour utiliser antispyder.

Pour le pare feu je n'ai que celui de windows, et pas d'antispyware .
Merci.

rlgrand · 15/05/2008, 18h30

Excellent.

Le point de restauration était clean.

Ton rapport est propre. pas de trace d'infection.

Pense-y pour mieux protéger ton PC.
Le parefeu de XP n'est pas bon.
Trouve aussi un antispyware qui aura une protection en temps réel.
Il y a différentes discussions à ce sujet sur le forum.

Salut.

rlgrand · 15/05/2008, 21h10

Larimoise,
Jai lu un peu vite ta réponse.

Citation:

effectivement j'avais une page html ouverte pour utiliser antispyder.

Fini. Il ne faut surtout pas l'utiliser

Citation:

j'ai fait une restauration système

Certains virus résistent aux restaurations ( avec les points de restaurations ).
Salut

larimoise · 15/05/2008, 21h33

Citation:

Larimoise,
Jai lu un peu vite ta réponse.
Citation:
effectivement j'avais une page html ouverte pour utiliser antispyder.
Fini. Il ne faut surtout pas l'utiliser

Non je ne l'ai pas utilisé j'ai fermé la fenêtre toute de suite, je vais installer un nouveau parfeu et un antispy.

Merci pour ton aide.

14/05/2008, 22h10	#1
larimoise Membre habitué Inscription : octobre 2006 Messages : 215 Détails du profil Informations forums : Inscription : octobre 2006 Messages : 215 Points : 149 Points : 149	[trojan] win32 Wigon.Bk Salut, mon antivirus Nod32 vient de détecter un cheval de troie win32 wigon.bk, qu'il trouve dans le sous dossier drivers, du dossier system. De plus, dans l'arrière plan du bureau j'ai une image qui dit qu'il y'a un spyware, et donne plus bas un lien pour l'éliminer. J'ai redémarrer le Pc en mode sans échec, et j'ai scané le dossier drivers avec nod32 , il retrouve le virus et l'élimine, mais dés que je redémarre le pc il revient. Là je suis toujours en mode sans échec, j'ai cherché avec Google mais le seul lien que je trouve est en russe . Bref, j'ai besoin d'aide. Merci d'avance. __________________ Matlab version 7.1.0. (R14) Service Pack 3
	00

14/05/2008, 22h46	#2
rlgrand Membre éprouvé Enseignant Inscription : avril 2004 Messages : 431 Détails du profil Informations professionnelles : Activité : Enseignant Informations forums : Inscription : avril 2004 Messages : 431 Points : 466 Points : 466	Salut, Il y a peut être une tache planifiée qui réinstalle le virus à chaque redémarrage. les infections lop.com fonctionnent de cette manière. un truc du genre : C:\WINDOWS\tasks\A6967B349185F408.job Il y a un outil pour ca ( lopsd ) Quant à l'image, c'est une fenêtre de navigateur ? Tu peux faire un log hijackthis ou pas ?
	00

14/05/2008, 23h17	#4
rlgrand Membre éprouvé Enseignant Inscription : avril 2004 Messages : 431 Détails du profil Informations professionnelles : Activité : Enseignant Informations forums : Inscription : avril 2004 Messages : 431 Points : 466 Points : 466	SDFix est un outil intéressant. Mais sans log hijackthis, c'est comme donner un coup d'épée avec les yeux bandés.
	00

15/05/2008, 12h02	#7
rlgrand Membre éprouvé Enseignant Inscription : avril 2004 Messages : 431 Détails du profil Informations professionnelles : Activité : Enseignant Informations forums : Inscription : avril 2004 Messages : 431 Points : 466 Points : 466	Autre chose, Larimoise, est-ce qu'il y a une trace d'Antispyspider sur ton PC ? ( programmes, %Program files % )
	00

15/05/2008, 18h30	#9
rlgrand Membre éprouvé Enseignant Inscription : avril 2004 Messages : 431 Détails du profil Informations professionnelles : Activité : Enseignant Informations forums : Inscription : avril 2004 Messages : 431 Points : 466 Points : 466	Excellent. Le point de restauration était clean. Ton rapport est propre. pas de trace d'infection. Pense-y pour mieux protéger ton PC. Le parefeu de XP n'est pas bon. Trouve aussi un antispyware qui aura une protection en temps réel. Il y a différentes discussions à ce sujet sur le forum. Salut.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email