Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infecté : forum de la dernière chance ...


gato456

Messages recommandés

Et pour terminer un nouveau Hijack This. En le survolant j'ai noté que mon fichier hosts a sauté. Pas bien grave je le referai, à moins qu'il ne soit en backup quelque part ?

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:39:53, on 01/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Reflection\rtsserv.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe

C:\Program Files\HPQ\SHARED\HPQWMI.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\vexcmdxw.dll (file missing)

O2 - BHO: (no name) - {4478BC11-4C04-46A5-FDF4-03264228416D} - C:\WINDOWS\system32\zuuefyb.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: (no name) - {67270207-b9ee-4d26-9270-860fdb060ca1} - C:\WINDOWS\system32\ixt0.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {9B6CF9EE-F082-44BC-8C4B-71C2661CF0A5} - C:\WINDOWS\system32\vturs.dll (file missing)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"

O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM

O4 - HKLM\..\Run: [DELETED_zhognyj.dll] C:\WINDOWS\system32\rundll32_DELETED.exe C:\WINDOWS\system32\zhognyj_DELETED.dll,pnpxkgg

O4 - HKLM\..\Run: [DELETED_Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon_DELETED.exe /Consumer

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O15 - Trusted Zone: www.airfrance.fr

O15 - Trusted Zone: www.certifyexpress.com

O15 - Trusted Zone: learning1.americas.cpqcorp.net

O15 - Trusted Zone: *.dell.com

O15 - Trusted Zone: www.geoportail.fr

O15 - Trusted Zone: http://www4.itrc.hp.com

O15 - Trusted Zone: *.hp.com

O15 - Trusted Zone: www.hpsmartlearning.com

O15 - Trusted Zone: http://aiedownload.intel.com

O15 - Trusted Zone: http://downloadfinder.intel.com

O15 - Trusted Zone: *.prometric.com

O15 - Trusted Zone: www.radiofrance.fr

O15 - Trusted Zone: *.simcms

O15 - Trusted Zone: *.smaj02afk351n

O15 - Trusted Zone: http://www.sonyericsson.com

O15 - Trusted Zone: *.vmhost1

O15 - Trusted Zone: *.vmhost2

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687

O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: winwly32 - winwly32.dll (file missing)

O21 - SSODL: expatriates - {1a01a98c-4f25-42e1-971a-185cf63569b2} - C:\WINDOWS\system32\tpedvf.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe

O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing)

Lien vers le commentaire
Partager sur d’autres sites

Invité Laurent_62

Mes excuses à Laurent_62 au passage...

 

Avec la lenteur du forum ce soir, et la rapidité des répliques ici-même, je n'ai jamais vu les posts #2, 3, 4 et 5 avant de poster.

 

Je dois quitter pour deux ou trois heures, donc je reviendrai consulter les rapports un peu plus tard.

 

Bonne nuit donc :P

 

[Edit]Semblerait que nous ayons posté en même temps... Le rapport de VundoFix est bon. À plus tard pour la suite[/Edit]

 

Bonsoir Qc001,

Pas de soucis pour moi, je laisse faire et regarde !

Tu es tout excusé.

 

@bientôt et bonne continuation à tous deux

 

Laurent

Lien vers le commentaire
Partager sur d’autres sites

Mes excuses à Laurent_62 au passage...

 

Avec la lenteur du forum ce soir, et la rapidité des répliques ici-même, je n'ai jamais vu les posts #2, 3, 4 et 5 avant de poster.

 

Je dois quitter pour deux ou trois heures, donc je reviendrai consulter les rapports un peu plus tard.

 

Bonne nuit donc :P

 

[Edit]Semblerait que nous ayons posté en même temps... Le rapport de VundoFix est bon. À plus tard pour la suite[/Edit]

 

 

Et bien je vais faire pareil ... j'ai une 1/2 heure pour rentrer chez moi, je n'ai pas encore mangé, et les zeuilles commencent à fatiguer :P

 

 

Je n'ai pas Internet chez moi : refus jusqu'à présent mais ça va changer à Noël pour ma fille, difficile de faire autrement :P Bref, j'ai donc prévenu un voisin chez qui j'irai me connecter demain vers Midi ou en fin d'AM.

 

A demain donc, et un grand merci pour votre aide :P

 

Eric

 

"Just Do It"

Lien vers le commentaire
Partager sur d’autres sites

:P Laurent

 

gato456 : les outils ont bien bossé, et là SDFix nous a détecté une "hyper bestiole" ; c'est un rootkit vraiment astucieux et bien caché celui-là.. et en plus il protège les infections... :P

 

On le vire ;

===============

 

Télécharge ce fichier (par ejvindh)

http://www.uploads.ejvindh.net/rustbfix.exe

...et sauvegarde-le sur ton Bureau.

 

Double clique rustbfix.exe afin de lancer l'outil.

Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).

Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

 

**Il restera du boulot, mais ça devrait aller mieux :P

Modifié par Qc001
Lien vers le commentaire
Partager sur d’autres sites

Allez, si, une dernière info avant de quitter.

 

Il reste sous c:\windows\system32 certaines dll qui était datée du 30/11, que j'avais trouvées suspectes (nom zarbi, n'existent pas sur d'autres XP SP2, dates, ...) et qui sont maintenant datées de mon dernier reboot, notemment : zuuefyb.dll, khffcyx.dll ou même ismini.exe. Je me demande s'il ne faudrait pas les supprimer ?

 

13/10/2006 13:36 64 000 BUILTIN\Administrateurs nwapi32.dll

13/10/2006 13:36 65 536 BUILTIN\Administrateurs nwwks.dll

13/10/2006 13:36 145 920 BUILTIN\Administrateurs nwprovau.dll

16/10/2006 11:40 121 856 KALAMANGA\esaubignac xpsp3res.dll

20/10/2006 11:50 8 406 KALAMANGA\esaubignac jupdate-1.4.2_12-b03.log

04/11/2006 14:14 1 245 696 KALAMANGA\esaubignac msxml4.dll

30/11/2006 15:28 72 704 KALAMANGA\esaubignac drvwak.dll

30/11/2006 15:28 70 656 KALAMANGA\esaubignac zuuefyb.dll

30/11/2006 16:07 88 340 KALAMANGA\esaubignac ctcnarbc.exe

30/11/2006 16:59 6 144 KALAMANGA\esaubignac ismini.exe

30/11/2006 17:24 <REP> KALAMANGA\esaubignac components

30/11/2006 19:48 <REP> KALAMANGA\esaubignac dustbin

01/12/2006 16:07 143 KALAMANGA\esaubignac mcrh.tmp

01/12/2006 16:59 <REP> BUILTIN\Administrateurs CatRoot2

01/12/2006 17:20 1 158 BUILTIN\Administrateurs wpa.dbl

01/12/2006 19:49 <REP> BUILTIN\Administrateurs drivers

01/12/2006 23:35 24 576 KALAMANGA\esaubignac VundoFixSVC.exe

01/12/2006 23:37 122 214 BUILTIN\Administrateurs ckpNotify.log

01/12/2006 23:41 951 770 BUILTIN\Administrateurs PerfStringBackup.INI

01/12/2006 23:41 53 098 BUILTIN\Administrateurs perfc009.dat

01/12/2006 23:41 64 052 BUILTIN\Administrateurs perfc00C.dat

01/12/2006 23:41 380 684 BUILTIN\Administrateurs perfh009.dat

01/12/2006 23:41 445 672 BUILTIN\Administrateurs perfh00C.dat

 

Et comme par hasard ils appartiennent à mon compte. Dans components on trouve flx0.dll et flx7.dll.

Qu'en pensez vous ?

 

Encore merci à tous les 2 et à demain

 

Eric

Lien vers le commentaire
Partager sur d’autres sites

:P Laurent

 

gato456 : les outils ont bien bossé, et là SDFix nous a détecté une "hyper bestiole" ; c'est un rootkit vraiment astucieux et bien caché celui-là.. et en plus il protège les infections... :P

 

On le vire ;

===============

 

Télécharge ce fichier (par ejvindh)

http://www.uploads.ejvindh.net/rustbfix.exe

...et sauvegarde-le sur ton Bureau.

 

Double clique rustbfix.exe afin de lancer l'outil.

Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).

Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

 

**Il restera du boulot, mais ça devrait aller mieux :P

 

 

... j'avais pas vu ta réponse ... j'ai mis trop de temps à préparer mon précédent post.

Bon je télécharge et j'exécute.

 

Par contre faut-il exécuter en mode sans échec ou bien en mode "normal" ?

Modifié par gato456
Lien vers le commentaire
Partager sur d’autres sites

Salut :P

 

Je suis dans la bouffe, mais je prends une minute pour te répondre...

 

Te lances l'outil en mode Normal ; il redémarrera la bécane lui-même, une ou deux fois.

 

Bon succès !

 

 

.... bon appétit donc :P

 

Je te poste les derniers results puis je me sauve pour de bon, manger également mais aussi prendre une bonne :P et faire un gros :P

 

Avenger.txt

 

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\cvs^xndm

 

*******************

 

Script file located at: \??\C:\Documents and Settings\unjscdte.txt

Script file opened successfully.

 

Script file read successfully

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Driver PE386 unloaded successfully.

Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

 

pelog.txt

 

************************* Rustock.b-fix -- By ejvindh *************************

02/12/2006 0:43:32,40

 

 

******************* Pre-run Status of system *******************

 

Rootkit driver PE386 is found. Starting the unload-procedure....

Examine the Avenger-logfile in order to assess the success of the unload-procedure

 

Rustock.b-ADS attached to the System32-folder:

:lzx32.sys 70504

Total size: 70504 bytes.

Attempting to remove ADS...

system32: deleted 70504 bytes in 1 streams.

 

 

******************* Post-run Status of system *******************

 

Rustock.b-driver on the system: NONE!

 

Rustock.b-ADS attached to the System32-folder:

No streams found.

 

 

******************************* End of Logfile ********************************

 

et pour terminer Hijack This

 

Logfile of HijackThis v1.99.1

Scan saved at 00:51:33, on 02/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Reflection\rtsserv.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe

C:\WINDOWS\NOTEPAD.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\HPQ\SHARED\HPQWMI.exe

C:\Program Files\HijackThis\HijackThis.exe

\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\vexcmdxw.dll (file missing)

O2 - BHO: (no name) - {4478BC11-4C04-46A5-FDF4-03264228416D} - C:\WINDOWS\system32\zuuefyb.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: (no name) - {67270207-b9ee-4d26-9270-860fdb060ca1} - C:\WINDOWS\system32\ixt0.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {9B6CF9EE-F082-44BC-8C4B-71C2661CF0A5} - C:\WINDOWS\system32\vturs.dll (file missing)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"

O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM

O4 - HKLM\..\Run: [DELETED_zhognyj.dll] C:\WINDOWS\system32\rundll32_DELETED.exe C:\WINDOWS\system32\zhognyj_DELETED.dll,pnpxkgg

O4 - HKLM\..\Run: [DELETED_Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon_DELETED.exe /Consumer

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O15 - Trusted Zone: www.airfrance.fr

O15 - Trusted Zone: www.certifyexpress.com

O15 - Trusted Zone: learning1.americas.cpqcorp.net

O15 - Trusted Zone: *.dell.com

O15 - Trusted Zone: www.geoportail.fr

O15 - Trusted Zone: http://www4.itrc.hp.com

O15 - Trusted Zone: *.hp.com

O15 - Trusted Zone: www.hpsmartlearning.com

O15 - Trusted Zone: http://aiedownload.intel.com

O15 - Trusted Zone: http://downloadfinder.intel.com

O15 - Trusted Zone: *.prometric.com

O15 - Trusted Zone: www.radiofrance.fr

O15 - Trusted Zone: *.simcms

O15 - Trusted Zone: *.smaj02afk351n

O15 - Trusted Zone: http://www.sonyericsson.com

O15 - Trusted Zone: *.vmhost1

O15 - Trusted Zone: *.vmhost2

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687

O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: winwly32 - winwly32.dll (file missing)

O21 - SSODL: expatriates - {1a01a98c-4f25-42e1-971a-185cf63569b2} - C:\WINDOWS\system32\tpedvf.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe

O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing)

 

 

A demain

 

Eric

Lien vers le commentaire
Partager sur d’autres sites

Me revoilà :P

 

Il nous reste tout un ménage à faire, alors je vais essayer de (presque) tout mettre dans ce post.

 

Juste pour info : il y avait une autre infection présente sur ta bécane qui me fait frémir à tout coup (vue par AntiVir) :

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll

[DETECTION] Is the Trojan horse TR/PSW.Sinowal.D.3

 

Cette bestiole permet au pirate distant de dérober tes infos bancaires (# de comptes, mots de passe) et # de carte de crédit. Elle installe un keylogger. Impossible de savoir si le pirate a eu le temps d'avoir accès à ta bécane... Ce que tu devrais faire : aviser sans plus tarder ton institution bancaire de cette situation, et ne plus transiger online avec cet ordi avant d'avoir tout nettoyé. Si la banque te change les mots de passe / # de comptes, ne pas les utiliser sur cet ordi avant d'avoir terminé le nettoyage.

 

Voilà pour les mauvaises nouvelles... :P

 

Je regarde également ton post #15 et les fichiers en rouge : plusieurs sont liés à un Desktop Hijack (une autre infection !!). Je m'occupe d'elle aussi.

 

Tu veux me rendre un petit service ? Ça serait sympa... J'aimerais que tu uploades un fichier lié à Vundo, qui n'a pas été détecté par VundoFix ; le créateur de l'outil est constamment à la recherche de nouveaux fichiers, alors ça pourrait aider à améliorer l'outil. Voici la manip, toute simple, et Merci :P

 

S'il vous plaît, aller ici pour uploader un fichier douteux pour analyse.

  • "Your Username:" - Entrez votre pseudo sur ce forum
  • "Topic Where File Was Requested:" - Copiez-collez le lien vers cette discussion-ci
  • "File(s) To Submit:" - Bouton "Parcourir..." pour naviguer vers ce nom de fichier :
     
    C:\WINDOWS\system32\zuuefyb.dll
     
     
  • "Comments Or Further Info:" - Écrire ceci :
     
    "Mark wanted me to send this "Klone" for analysis. Thanks !"
     
     
  • Cliquez sur Send File

Voilou.

 

Au ménage maintenant :P

=========================

 

Afin de voir tous les fichiers/dossiers cachés dans Windows XP :

  1. Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau.
  2. Double-clique sur le Poste de Travail
  3. Du menu Outils, clique Options des dossiers...
  4. De la nouvelle fenêtre, choisis l'onglet Affichage
  5. Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système
  6. Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés
  7. Décoche la case Masquer les extensions des fichiers dont le type est connu
  8. Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Télécharge ATF Cleaner par Atribune sur ton Bureau. Ne le lance pas tout de suite.

 

Prière d'imprimer, ou de coller ces instructions dans un fichier texte, à nouveau.

 

Redémarre en mode Sans Échec.

 

Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes :

 

-------------------------

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\vexcmdxw.dll (file missing)

O2 - BHO: (no name) - {4478BC11-4C04-46A5-FDF4-03264228416D} - C:\WINDOWS\system32\zuuefyb.dll

 

O2 - BHO: (no name) - {67270207-b9ee-4d26-9270-860fdb060ca1} - C:\WINDOWS\system32\ixt0.dll (file missing)

 

O2 - BHO: (no name) - {67270207-b9ee-4d26-9270-860fdb060ca1} - C:\WINDOWS\system32\ixt0.dll (file missing)

 

O2 - BHO: (no name) - {9B6CF9EE-F082-44BC-8C4B-71C2661CF0A5} - C:\WINDOWS\system32\vturs.dll (file missing)

 

O4 - HKLM\..\Run: [DELETED_zhognyj.dll] C:\WINDOWS\system32\rundll32_DELETED.exe C:\WINDOWS\system32\zhognyj_DELETED.dll,pnpxkgg

O4 - HKLM\..\Run: [DELETED_Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon_DELETED.exe /Consumer

 

O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe

 

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

 

O20 - Winlogon Notify: winwly32 - winwly32.dll (file missing)

O21 - SSODL: expatriates - {1a01a98c-4f25-42e1-971a-185cf63569b2} - C:\WINDOWS\system32\tpedvf.dll (file missing)

----------------------------

 

Clique sur "Fix checked", puis ferme HijackThis! Demeure en mode Sans Échec jusqu'à nouvel ordre.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Via l'Explorateur Windows, recherche et supprime ces fichiers, si présents :

 

C:\WINDOWS\system32\zuuefyb.dll <<

C:\WINDOWS\system32\autoupdatev2.exe <<

C:\WINDOWS\system32\zhognyj_DELETED.dll <<

 

Et ceux-ci, si présents :

 

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll <<

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm0000*.dll << (où * est un chiffre)

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm0000*.exe << (où * est un chiffre)

 

Si erreurs ou problèmes, prends-en note. Ferme l'Explorateur.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

  • Double-clique ATF-Cleaner.exe afin de lancer le programme.
    Sous l'onglet Main, choisis : Select All
    Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Redémarre en mode Normal.

 

Télécharge SmitfraudFix de S!Ri sur ton bureau

  • Ne double clique pas dessus !! Fais un clic droit sur le fichier et choisis "extraire tout"
  • Un nouveau dossier chercher va être créé nommé Smitfraudfix.
  • Ouvre le et double-clique sur Smitfraudfix.cmd
  • Une fenêtre va s'ouvrir, choisis l'option 1
  • Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
  • Le rapport est également sauvegardé ici : C:\rapport.txt

Ne pas lancer l'option #2, ou toutes autre option sans l'avis d'un conseiller.

 

Colle un nouveau log HijackThis! en plus de celui de SmitfraudFix s'il te plait.

 

Je serai absent une bonne partie de la journée, alors prière de ne pas m'attendre sur le board ! Je reviendrai dès que possible :P

Modifié par Qc001
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...