[Résolu] Injection de code

[WawaSeb]

Bonsoir gegebear,

 

Vundo est toujours présent : Exécution d'un script personnalisé pour Combofix

• Ouvre le bloc-note et colles-y les lignes écrites en citation ci-dessous :

  File::
  C:\WINDOWS\system32\ssqqoli.dll
  C:\WINDOWS\system32\iloqqss.dll
  C:\WINDOWS\system32\ddayw.dll
  C:\WINDOWS\system32\wyadd.dll
  C:\WINDOWS\system32\odrsifki.dll
  C:\WINDOWS\system32\fxrltreq.dll
  C:\WINDOWS\system32\rutaljiv.dll
  C:\WINDOWS\system32\wyadd.bak2
   
  Folder::
  C:\VundoFix Backups
   
  Registry::
  [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E7C4CF50-EC5B-4E1D-9544-979744613816}]
  [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqqoli]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
  "{79C29CCC-C25C-49CA-BD86-C3BE791F2E58}"=-
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "SearchIndexer"=-

   
  
• Enregistre-le en lui donnant le nom CFScript
  
• Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
  
  
• Poste le résultat et un nouveau rapport HijackThis !
  

 

Bon travail !

[gegebear]

combofix

ComboFix 07-09-21.2 - "G‚rard" 2007-09-29 11:44:42.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.778 [GMT 2:00]

* Created a new restore point

 

FILE::

C:\WINDOWS\system32\ssqqoli.dll

C:\WINDOWS\system32\iloqqss.dll

C:\WINDOWS\system32\ddayw.dll

C:\WINDOWS\system32\wyadd.dll

C:\WINDOWS\system32\odrsifki.dll

C:\WINDOWS\system32\fxrltreq.dll

C:\WINDOWS\system32\rutaljiv.dll

C:\WINDOWS\system32\wyadd.bak2

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\VundoFix Backups

C:\VundoFix Backups\rutaljiv.dll.bad

C:\VundoFix Backups\vijlatur.ini.bad

C:\WINDOWS\system32\odrsifki.dll

C:\WINDOWS\system32\wyadd.bak2

 

.

((((((((((((((((((((((((((((( Fichiers créés 2007-08-28 to 2007-09-29 ))))))))))))))))))))))))))))))))))))

.

 

2007-09-28 21:41 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-09-27 21:24 <REP> d-------- C:\Program Files\SpywareBlaster

2007-09-26 22:48 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2007-09-26 18:11 84,032 --a------ C:\WINDOWS\system32\ttbhypti.dll

2007-09-26 06:23 <REP> d-------- C:\Deckard

2007-09-24 21:55 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet

2007-09-20 08:42 664 --a------ C:\WINDOWS\system32\d3d9caps.dat

2007-09-19 00:11 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Last.fm

2007-09-18 21:07 88 -r-hs---- C:\WINDOWS\system32\A9A4E84B48.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-09-29 11:54 --------- d-------- C:\Program Files\SpeedFan

2007-09-29 11:50 81984 --a------ C:\WINDOWS\system32\bdod.bin

2007-09-24 22:35 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\ZoomBrowser

2007-09-23 23:40 5902 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys

2007-09-18 20:55 --------- d-------- C:\Program Files\Fichiers communs\Corel

2007-08-28 12:00 626688 --a------ C:\WINDOWS\system32\msvcr80.dll

2007-08-28 12:00 548864 --a------ C:\WINDOWS\system32\msvcp80.dll

2007-08-28 12:00 1101824 --a------ C:\WINDOWS\system32\mfc80.dll

2007-08-26 12:06 --------- d--h----- C:\Program Files\InstallShield Installation Information

2007-08-26 11:44 --------- d-------- C:\Program Files\NVIDIA Corporation

2007-08-18 18:09 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy

2007-08-17 17:25 356352 --a------ C:\WINDOWS\system32\nvusmb.exe

2007-08-17 17:25 356352 --a------ C:\WINDOWS\system32\NVUNINST.EXE

2007-08-17 17:25 356352 --a------ C:\WINDOWS\system32\nvumctl.exe

2007-08-17 17:25 356352 --a------ C:\WINDOWS\system32\nvuide.exe

2007-08-17 17:25 356352 --a------ C:\WINDOWS\system32\nvugart.exe

2007-08-17 17:25 356352 --a------ C:\WINDOWS\system32\nvuenet.exe

2007-08-17 17:25 356352 --a------ C:\WINDOWS\system32\nvudisp.exe

2007-08-17 16:23 8478720 --a------ C:\WINDOWS\system32\nvcpl.dll

2007-08-17 16:23 81920 --a------ C:\WINDOWS\system32\nvwddi.dll

2007-08-17 16:23 81920 --a------ C:\WINDOWS\system32\nvmctray.dll

2007-08-17 16:23 753664 --a------ C:\WINDOWS\system32\nvcplui.exe

2007-08-17 16:23 6842208 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys

2007-08-17 16:23 6746112 --a------ C:\WINDOWS\system32\nvoglnt.dll

2007-08-17 16:23 6344704 --a------ C:\WINDOWS\system32\nvdisps.dll

2007-08-17 16:23 5860736 --a------ C:\WINDOWS\system32\nv4_disp.dll

2007-08-17 16:23 5509120 --a------ C:\WINDOWS\system32\nvdispsr.dll

2007-08-17 16:23 466944 --a------ C:\WINDOWS\system32\nvshell.dll

2007-08-17 16:23 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll

2007-08-17 16:23 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll

2007-08-17 16:23 442368 --a------ C:\WINDOWS\system32\nvappbar.exe

2007-08-17 16:23 425984 --a------ C:\WINDOWS\system32\keystone.exe

2007-08-17 16:23 36864 --a------ C:\WINDOWS\system32\nvcodins.dll

2007-08-17 16:23 36864 --a------ C:\WINDOWS\system32\nvcod.dll

2007-08-17 16:23 3629056 --a------ C:\WINDOWS\system32\nvvitvsr.dll

2007-08-17 16:23 360448 --a------ C:\WINDOWS\system32\nvapi.dll

2007-08-17 16:23 3551232 --a------ C:\WINDOWS\system32\nvvitvs.dll

2007-08-17 16:23 335872 --a------ C:\WINDOWS\system32\nvwrses.dll

2007-08-17 16:23 335872 --a------ C:\WINDOWS\system32\nvwrsel.dll

2007-08-17 16:23 3334144 --a------ C:\WINDOWS\system32\nvgames.dll

2007-08-17 16:23 327680 --a------ C:\WINDOWS\system32\nvwrsfr.dll

2007-08-17 16:23 327680 --a------ C:\WINDOWS\system32\nvwrsesm.dll

2007-08-17 16:23 327680 --a------ C:\WINDOWS\system32\nvrshe.dll

2007-08-17 16:23 327680 --a------ C:\WINDOWS\system32\nvrsar.dll

2007-08-17 16:23 323584 --a------ C:\WINDOWS\system32\nvwrspt.dll

2007-08-17 16:23 323584 --a------ C:\WINDOWS\system32\nvwrsit.dll

2007-08-17 16:23 319488 --a------ C:\WINDOWS\system32\nvwrsptb.dll

2007-08-17 16:23 319488 --a------ C:\WINDOWS\system32\nvwrsnl.dll

2007-08-17 16:23 3166208 --a------ C:\WINDOWS\system32\nvgamesr.dll

2007-08-17 16:23 315392 --a------ C:\WINDOWS\system32\nvwrsru.dll

2007-08-17 16:23 315392 --a------ C:\WINDOWS\system32\nvwrshu.dll

2007-08-17 16:23 311296 --a------ C:\WINDOWS\system32\nvwrsde.dll

2007-08-17 16:23 307200 --a------ C:\WINDOWS\system32\nvexpbar.dll

2007-08-17 16:23 303104 --a------ C:\WINDOWS\system32\nvwrstr.dll

2007-08-17 16:23 303104 --a------ C:\WINDOWS\system32\nvwrssl.dll

2007-08-17 16:23 303104 --a------ C:\WINDOWS\system32\nvwrsfi.dll

2007-08-17 16:23 299008 --a------ C:\WINDOWS\system32\nvwrssk.dll

2007-08-17 16:23 299008 --a------ C:\WINDOWS\system32\nvwrsno.dll

2007-08-17 16:23 294912 --a------ C:\WINDOWS\system32\nvwrssv.dll

2007-08-17 16:23 294912 --a------ C:\WINDOWS\system32\nvwrspl.dll

2007-08-17 16:23 294912 --a------ C:\WINDOWS\system32\nvwrsda.dll

2007-08-17 16:23 286720 --a------ C:\WINDOWS\system32\nvwrseng.dll

2007-08-17 16:23 286720 --a------ C:\WINDOWS\system32\nvwrscs.dll

2007-08-17 16:23 286720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll

2007-08-17 16:23 2854912 --a------ C:\WINDOWS\system32\nvmoblsr.dll

2007-08-17 16:23 282624 --a------ C:\WINDOWS\system32\nvwrsar.dll

2007-08-17 16:23 282624 --a------ C:\WINDOWS\system32\nvrsfr.dll

2007-08-17 16:23 282624 --a------ C:\WINDOWS\system32\nvrses.dll

2007-08-17 16:23 282624 --a------ C:\WINDOWS\system32\nvrsel.dll

2007-08-17 16:23 278528 --a------ C:\WINDOWS\system32\nvwrshe.dll

2007-08-17 16:23 278528 --a------ C:\WINDOWS\system32\nvrsit.dll

2007-08-17 16:23 278528 --a------ C:\WINDOWS\system32\nvrsde.dll

2007-08-17 16:23 274432 --a------ C:\WINDOWS\system32\nvrspt.dll

2007-08-17 16:23 274432 --a------ C:\WINDOWS\system32\nvrsnl.dll

2007-08-17 16:23 274432 --a------ C:\WINDOWS\system32\nvrsesm.dll

2007-08-17 16:23 270336 --a------ C:\WINDOWS\system32\nvrsru.dll

2007-08-17 16:23 266240 --a------ C:\WINDOWS\system32\nvrsptb.dll

2007-08-17 16:23 266240 --a------ C:\WINDOWS\system32\nvrsja.dll

2007-08-17 16:23 262144 --a------ C:\WINDOWS\system32\nvrsko.dll

2007-08-17 16:23 258048 --a------ C:\WINDOWS\system32\nvrstr.dll

2007-08-17 16:23 258048 --a------ C:\WINDOWS\system32\nvrssl.dll

2007-08-17 16:23 258048 --a------ C:\WINDOWS\system32\nvrssk.dll

2007-08-17 16:23 258048 --a------ C:\WINDOWS\system32\nvrshu.dll

2007-08-17 16:23 253952 --a------ C:\WINDOWS\system32\nvrssv.dll

2007-08-17 16:23 253952 --a------ C:\WINDOWS\system32\nvrspl.dll

2007-08-17 16:23 253952 --a------ C:\WINDOWS\system32\nvrsno.dll

2007-08-17 16:23 253952 --a------ C:\WINDOWS\system32\nvrsda.dll

2007-08-17 16:23 249856 --a------ C:\WINDOWS\system32\nvrsfi.dll

2007-08-17 16:23 249856 --a------ C:\WINDOWS\system32\nvrscs.dll

2007-08-17 16:23 245760 --a------ C:\WINDOWS\system32\nvrseng.dll

2007-08-17 16:23 2441216 --a------ C:\WINDOWS\system32\nvwssr.dll

2007-08-17 16:23 2371584 --a------ C:\WINDOWS\system32\nvwss.dll

2007-08-17 16:23 229376 --a------ C:\WINDOWS\system32\nvmccs.dll

2007-08-17 16:23 225280 --a------ C:\WINDOWS\system32\nvrszhc.dll

2007-08-17 16:23 212992 --a------ C:\WINDOWS\system32\nvwrsja.dll

2007-08-17 16:23 196608 --a------ C:\WINDOWS\system32\nvwrsko.dll

2007-08-17 16:23 188416 --a------ C:\WINDOWS\system32\nvmccss.dll

2007-08-17 16:23 1703936 --a------ C:\WINDOWS\system32\nvwdmcpl.dll

2007-08-17 16:23 167936 --a------ C:\WINDOWS\system32\nvwrszht.dll

2007-08-17 16:23 163840 --a------ C:\WINDOWS\system32\nvwrszhc.dll

2007-03-10 13:55:56 88 --sh--r C:\WINDOWS\system32\ACFECF7FFA.sys

.

 

((((((((((((((((((((((((((((( snapshot_2007-09-28_215231.53 )))))))))))))))))))))))))))))))))))))))))

.

----atw 16,384 2007-09-29 09:51:27 C:\WINDOWS\Temp\Perflib_Perfdata_6fc.dat

.

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BDMCon"="C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe" [2007-04-17 13:23]

"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-04-04 18:07]

"DAEMON Tools"="D:\Program Files\Utilitaires\DAEMON Tools\daemon.exe" [2006-11-12 12:48]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-09-25 20:11]

"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 23:32]

"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 23:31]

"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-03 23:32]

"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-03 23:32]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]

"WinampAgent"="D:\Program Files\Lecteur\Winamp\winampa.exe" [2007-05-15 00:22]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-08-17 16:23]

"nwiz"="nwiz.exe" [2007-08-17 16:23 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-08-17 16:23]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Steam"="" []

"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-04-19 07:39]

"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09]

"NVIDIA nTune"="C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-04-04 14:20]

 

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\

BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-04-01 09:02:38]

Last.fm Helper.lnk - D:\Program Files\Lecteur\Last.fm\LastFMHelper.exe [2007-08-14 19:45:01]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"appinit_dlls"=sockspy.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk

backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys

R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys

R1 Uim_IM;UIM Drive Backup Image Plugin;C:\WINDOWS\system32\Drivers\Uim_IM.sys

R1 UimBus;Universal Image Mounter Controller;C:\WINDOWS\system32\DRIVERS\UimBus.sys

R3 NVR0Dev;NVR0Dev;\??\C:\WINDOWS\nvoclock.sys

S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys

S3 ovt519;D-Link VGA Webcam;C:\WINDOWS\system32\Drivers\ov519vid.sys

S3 RIOUNIV;Rio universal USB driver;C:\WINDOWS\system32\Drivers\RIOUNIV.sys

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-09-29 01:18:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"

.

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-29 11:54:27

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-09-29 11:57:21 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-09-29 11:57

C:\ComboFix2.txt ... 2007-09-28 21:54

.

--- E O F ---

 

hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:08:38, on 29/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\system32\PSIService.exe

C:\WINDOWS\system32\RioMSC.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Softwin\BitDefender10\vsserv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender10\bdagent.exe

D:\Program Files\Utilitaires\DAEMON Tools\daemon.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

D:\Program Files\Lecteur\Winamp\winampa.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Google\Google Talk\googletalk.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

D:\Program Files\Lecteur\Last.fm\LastFMHelper.exe

D:\Program Files\Utilitaires\Docks\yz_dck0083\YzDock.exe

C:\Program Files\SpeedFan\speedfan.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "D:\Program Files\Utilitaires\DAEMON Tools\daemon.exe" -lang 1036

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Lecteur\Winamp\winampa.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Raccourci vers YzDock.exe.lnk = D:\Program Files\Utilitaires\Docks\yz_dck0083\YzDock.exe

O4 - Startup: SpeedFan (2).lnk = C:\Program Files\SpeedFan\speedfan.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Last.fm Helper.lnk = D:\Program Files\Lecteur\Last.fm\LastFMHelper.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Program Files\Téléchargement\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Program Files\Téléchargement\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1173493485229

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AF0DB01F-F32F-4F87-BDA7-48916BF78427}: NameServer = 212.27.32.176,212.27.32.177

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

O23 - Service: RIO Mass Storage C (RioMSC) - Digital Networks North America, Inc. - C:\WINDOWS\system32\RioMSC.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Gravage\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

--

End of file - 9639 bytes

 

merci

[WawaSeb]

Bonjour gegebear,

 

*** Super, tu l'as eu ! ***

 

 

1) Relance HijackThis, ferme toutes les autres fenêtres et fixe la ligne suivante :

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

 

2) Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir...

1. Télécharge la dernière version de Java Runtime Environment (JRE) 6.
   
2. Descends sur la page jusqu'à "Java Runtime Environment (JRE) 6u2, The Java SE Runtime Environment (JRE) allows end-users to run Java applications".
   
3. Clique sur "Download", à droite
   
4. Coche la case et accepte la license
   
5. La page se recharge
   
6. Clique sur le lien pour télécharger l'installation hors ligne [Windows] et enregistre le fichier sur ton bureau
   
7. Ferme tous tes programmes (surtout les navigateurs Internet)
   
8. Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA
   
9. Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)".
   
10. Clique sur le bouton "modifier / supprimer"
    
11. Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA
    
12. Redémarre ta machine
    
13. Après le reboot, clique sur jre-6u2-windows-i586-p.exe pour installer la nouvelle version... suis les instructions à l'écran
    

# Rencontres-tu encore des problèmes avec ta machine ?

# Si oui, lesquels ?

 

Bonne après-midi !

[WawaSeb]

Re-bonjour gegebear,

 

*** Peux-tu encore faire ceci stp ? (Pour tous les experts qui travaillent à développer des outils...) ***

 

 

1) Compresse le fichier C:\WINDOWS\system32\ttbhypti.dll (ttbhypti.zip)

 

2) Renomme C:\WINDOWS\system32\ttbhypti.dll en ttbhypti_old.dll

 

3) Rends-toi sur cette page-ci

• Clique sur Parcourir
  
• Sélectionne le fichier ttbhypti.zip
  
• Clique ensuite sur Ouvrir
  
• Dans le cadre destiné à l'équipe de MAD, tu peux mettre "Fichier suspect, probable variante de Vundo - WawaSeb"
  
• Clique sur le bouton Envoyer
  

Un immense MERCI pour ton aide apportée !

[gegebear]

Bonjour gegebear,

 

*** Super, tu l'as eu ! ***

 

Tour le mérite revient à toi, je n'ai fait que suivre tes instructions

 

Merci encore infiniment

 

J'ai effectué la tache que tu m'a demandé d'executer avec HiJackThis et installé la nouvelle version de Java, après avoir désinstallé les précédentes.

 

# Rencontres-tu encore des problèmes avec ta machine ?

# Si oui, lesquels ?

 

Je ne rencontre pas pour le moment de problèmes: les erreurs sur Supercopier2 et Speedfan ont disparues.

Kerio ne détecte plus aucune tentative d'injection de code.

 

Tout semble fonctionner correctement

 

[gegebear]

Re-bonjour gegebear,

 

*** Peux-tu encore faire ceci stp ? (Pour tous les experts qui travaillent à développer des outils...) ***

1) Compresse le fichier C:\WINDOWS\system32\ttbhypti.dll (ttbhypti.zip)

 

2) Renomme C:\WINDOWS\system32\ttbhypti.dll en ttbhypti_old.dll

 

3) Rends-toi sur cette page-ci

• Clique sur Parcourir
  
• Sélectionne le fichier ttbhypti.zip
  
• Clique ensuite sur Ouvrir
  
• Dans le cadre destiné à l'équipe de MAD, tu peux mettre "Fichier suspect, probable variante de Vundo - WawaSeb"
  
• Clique sur le bouton Envoyer
  

Un immense MERCI pour ton aide apportée !

 

C'est fait

 

Je te remercie beaucoup pour ton aide précieuse

[WawaSeb]

Bonjour gegebear,

 

*** Encore un super grand merci pour l'envoi du fichier ! ***

 

Je suis ravi d'avoir pu t'aider...

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

1) Voici une liste de recommandations personnelles pour éviter de te faire infecter :

1. Garde une version de Windows légale et à jour
   
2. Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections)
   
3. Evite les sites douteux, illégaux, pornographiques, ...
   
4. Méfie-toi des programmes gratuits (financés par...)
   
5. Fuis le Peer To Peer (Kazaa, Bearshare, ...)
   
6. Garde un Antivirus à jour !
   
7. Ne clique jamais sur des liens non annoncés dans une messagerie instantannée
   
8. N'ouvre jamais de pièce jointe non prévue dans un mail !
   

 

2) Tu peux dénoncer ton infection :

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

********************************************************************************

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

Ton infection principale : Vundo

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

canned de Malekal_morte : http://www.malekal.com/

 

 

Plus d'info sur le topic d'Ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

3) Tu peux également éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets)

 

#

Ouvre ton premier po

s

t

#

Clique

s

ur le bouton

Editer

--->

Edition compl

è

te

#

Ajoute [R

é

s

olu] au titre de ton

s

ujet

 

En espérant de tout coeur que tu ne te feras plus infecter...