Kindly be advised we cannot cancel subscriptions or issue refunds on the forum.
You may cancel your Bitdefender subscription from Bitdefender Central or by contacting Customer Support at: https://www.bitdefender.com/consumer/support/help/

Thank you for your understanding.

Rootkit.agent.dp

Options
jmbrugmans@skynet.be
jmbrugmans@skynet.be
dans Conseils codes malveillants

Ma fille a accepté sur MSN un fichier appelé "mes photos de vacances" ou quelque chose comme ça.


Elle a ensuite voulu installer une nouvelle version de MSN messenger d'un site non Microsoft.


Elle a chopé un virus donc je ne peux me défaire.


Bit defender a déjà tourné plusieurs fois et il y a toujours le même genre de virus, à croire qu'il se restaure tout seul.


Le PC démarre normalement mais ralenti après le login (100% des resouces CPU utilisées) puis semble se débloquer et tourner +/- normalement.


Ci-dessous le log de BitDefender et de HijackThis.


Merci d'avance des conseils.


--------------------------------------------------------------------------------------------------------------------


//-----------------------------------------------------------------


//


// Produit BitDefender Antivirus Plus v10


// Produit 10.2


//


// Créé le: 12/08/2007 17:25:41


//


//-----------------------------------------------------------------


Statistiques


Chemin cible: C:\


D:\


E:\


Dossiers : 7441


Fichiers : 50984


Processus Mémoire analysés : 50


Archives : 7


Fichiers enpaquetés : 2423


Virus trouvés : 2


Fichiers infectés : 2


Processus Mémoire infectés : 0


Fichiers suspects : 0


Alertes : 0


Fichiers désinfectés : 0


Fichiers effacés : 0


Fichiers déplacés : 2


Erreurs I/O : 46


Temps d'analyse :=00:22:45


Fichiers/seconde :37


Statistiques Spywares


Registres analysés : 2208


Registres infectés : 4


Cookies analysés : 0


Cookies infectés : 0


Fichiers spyware infectés : 0


Menaces Spyware détectées : 1


Définitions virus : 754738


Plugins d'analyse : 16


Plugins archives : 40


Plug-ins décompression : 6


Plug-ins messagerie : 6


Plug-ins système : 5


Options d'analyse


Détection


[X] Analyser le secteur de boot


[X] Processus mémoire


[ ] Analyser les archives


[X] Analyser les fichiers enpaquetés


[X] Analyser la messagerie


Masque fichiers


[X] Programmes


[ ] Tous les fichiers


[ ] Extensions définies par l'utilisateur:


[ ] Exclure les extensions: ;


Action


Objets infectés


[ ] Ignorer


[X] Désinfecter


[ ] Effacer


[ ] Mettre en quarantaine


[ ] Demander l'action


Seconde action


[ ] Ignorer


[ ] Effacer


[X] Mettre en quarantaine


[ ] Demander l'action


Options d'analyse


[X] Activer les alertes


[ ] Activer l'heuristique


[ ] Afficher tous les fichiers dans le journal


[X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\full_scan\1186932341.log


Options d'analyse Spyware


[X] Analyse contre les risques non-viraux


[ ] Ecarter de l'analyse les dialers et les applications


[X] Clés de registres


[X] Cookies


Résumé:


<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\IP6FW\ImagePath=>C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS Détecté: Rootkit.Agent.DP


<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\IP6FW\ImagePath=>C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS Désinfection impossible


<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\IP6FW\ImagePath=>C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS Déplacement impossible


<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\IP6FW\ImagePath=>C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS Détecté: Rootkit.Agent.DP


<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\IP6FW\ImagePath=>C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS Désinfection impossible


<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\IP6FW\ImagePath=>C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS Déplacement impossible


<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\IP6FW\ImagePath=>C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS Détecté: Rootkit.Agent.DP


<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\IP6FW\ImagePath=>C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS Désinfection impossible


<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\IP6FW\ImagePath=>C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS Déplacement impossible


<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET003\SERVICES\IP6FW\ImagePath=>C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS Détecté: Rootkit.Agent.DP


<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET003\SERVICES\IP6FW\ImagePath=>C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS Désinfection impossible


<System>=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET003\SERVICES\IP6FW\ImagePath=>C:\WINDOWS\SYSTEM32\DRIVERS\IP6FW.SYS Déplacement impossible


C:\Documents and Settings\adminisrator\Local Settings\Temp\3410750.exe Infecté: Rootkit.Agent.GV


C:\Documents and Settings\adminisrator\Local Settings\Temp\3410750.exe Désinfection impossible


C:\Documents and Settings\adminisrator\Local Settings\Temp\3410750.exe Déplacé


C:\WINDOWS\system32\drivers\ip6fw.sys Infecté: Rootkit.Agent.DP


C:\WINDOWS\system32\drivers\ip6fw.sys Désinfection impossible


C:\WINDOWS\system32\drivers\ip6fw.sys Déplacé


---------------------------------------------------------------------------------------------------------------------


Logfile of Trend Micro HijackThis v2.0.2


Scan saved at 18:03:29, on 12/08/2007


Platform: Windows XP SP2 (WinNT 5.01.2600)


MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Boot mode: Normal


Running processes:


C:\WINDOWS\System32\smss.exe


C:\WINDOWS\system32\winlogon.exe


C:\WINDOWS\system32\services.exe


C:\WINDOWS\system32\lsass.exe


C:\WINDOWS\system32\Ati2evxx.exe


C:\WINDOWS\system32\svchost.exe


C:\WINDOWS\System32\svchost.exe


C:\WINDOWS\system32\spoolsv.exe


C:\WINDOWS\System32\svchost.exe


C:\WINDOWS\System32\svchost.exe


C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe


C:\Program Files\NETGEAR\SC101 Manager Utility\ZeteraService.exe


C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe


C:\Program Files\Canon\CAL\CALMAIN.exe


C:\WINDOWS\system32\Ati2evxx.exe


C:\Program Files\iPod\bin\iPodService.exe


C:\WINDOWS\system32\winlogon.exe


C:\WINDOWS\system32\Ati2evxx.exe


C:\WINDOWS\Explorer.EXE


C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe


C:\Program Files\QuickTime\qttask.exe


C:\Program Files\iTunes\iTunesHelper.exe


C:\Program Files\MSI\Live Update 3\LMonitor.exe


C:\WINDOWS\SOUNDMAN.EXE


C:\Program Files\Softwin\BitDefender10\bdmcon.exe


C:\Program Files\Softwin\BitDefender10\bdagent.exe


C:\WINDOWS\system32\ctfmon.exe


C:\Program Files\totalcmd\TOTALCMD.EXE


C:\WINDOWS\system32\taskmgr.exe


C:\WINDOWS\System32\svchost.exe


C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe


C:\Program Files\Softwin\BitDefender10\vsserv.exe


D:\My Dowloads\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens


O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll


O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll


O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll


O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon


O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe


O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime


O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"


O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe


O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe


O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE


O4 - HKLM\..\Run: [bDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg


O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"


O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe


O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe


O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background


O4 - HKCU\..\Run: [Firewall auto setup] c:\16.tmp


O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')


O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')


O4 - HKUS\S-1-5-21-746137067-2077806209-725345543-1004\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'adminisrator')


O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')


O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')


O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000


O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html


O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html


O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html


O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html


O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll


O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll


O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe


O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe


O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL


O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab


O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab


O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/m...90/mcinsctl.cab


O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab


O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1121643752375


O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab


O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)


O21 - SSODL: printers - {E5F85518-DEE0-4C00-A63F-7CC808A909C9} - libcintles3.dll (file missing)


O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe


O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe


O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe


O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe


O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe


O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe


O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe


O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe


O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe


O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe


O23 - Service: Zetera - Zetera Corporation - C:\Program Files\NETGEAR\SC101 Manager Utility\ZeteraService.exe


--


End of file - 7595 bytes

Réponses

  • ben55
    ben55
    Options
    Ma fille a accepté sur MSN un fichier appelé "mes photos de vacances" ou quelque chose comme ça.


    Elle a ensuite voulu installer une nouvelle version de MSN messenger d'un site non Microsoft.


    Elle a chopé un virus donc je ne peux me défaire.


    Bit defender a déjà tourné plusieurs fois et il y a toujours le même genre de virus, à croire qu'il se restaure tout seul.


    .....................


    Bonsoir,


    Peut-être que ça pourra t'aider.


    http://www.commentcamarche.net/forum/affic...r-msn-aidez-moi


    Je n'ai pas tout lu.


    Dommage que BitDefender ne sache pas quoi faire pendant ces moments là.


    Bon courage.

  • Regis59
    Regis59
    Options

    Salut,


    Commence par ceci:


    Télécharge MSNFix.zip (de !aur3n7) sur le bureau:


    http://sosvirus.changelog.fr/MSNFix.zip


    Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.


    - Exécutez l'option R.


    -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage


    Note :


    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal


    - Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt


    post le sur le forum


    A+

  • jmbrugmans@skynet.be
    jmbrugmans@skynet.be
    Options
    Salut,


    Commence par ceci:


    Télécharge MSNFix.zip (de !aur3n7) sur le bureau:


    http://sosvirus.changelog.fr/MSNFix.zip


    Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.


    - Exécutez l'option R.


    -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage


    Note :


    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal


    - Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt


    post le sur le forum


    A+


    J'ai appliqué et le programme a en effet enlevé des truc mais ce n'est pas le fond du problème.

  • jmbrugmans@skynet.be
    jmbrugmans@skynet.be
    Options

    Je crois que c'est fini, je crois que j'ai réussi à éliminer cette saloperie.


    Je refais quelques scans et tests puis on verra.


    Grâce à Bitdefender (par ailleurs, incapable d'éliminer cette m... ! ) et un outil trouvé sur le net GMER.EXE, j'ai pu repérer les fichiers posant problème : RUNTIME.SYS, RUNTIME2.SYS, RUNTIME2.SY_.OLD (un vrai virus qui se transforme et change de nom) et les ai renommés (en quelquechose de complètement différent), en bootant le PC à partir du CD WINXP et via Repair, la console et la commande REN (heureusement j'ai connu MS-DOS dans le bon vieux temps !).


    Si ça peux aider quelqu'un ...


    Merci de l'aide.


    A +

Leaders

Catégories

Defenders of the month