ZLOB et CONHOOK.hl

oliv2tours · le 15 novembre 2007

bonjour à tous, je suis infecté par les trojan zlob et conhook.hl . j'ai téléchargé quelques anti-spy que les internautes conseillaient sur divers forum mais en vain... ils sont toujours là, et m'affichent des pages internet me vantant qqes super anti spy.. Ce problème à l'air très courant en ce moment mais , si j'ai bien compris, il faut connaitre le logiciel hidjack pour s'en sortir. Si qqn pouvait m'aider ce serait gentil.

Thanos · le 15 novembre 2007

salut et bienvenue

1) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

Enregistre HJTInstall.exe sur ton bureau
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriel > > http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

oliv2tours · le 15 novembre 2007

BONJOUR; voici le rapport hijack :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:44:51, on 15/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\gaelle\Bureau\sécurité\test.exe.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: {a3ecdd42-17d3-569b-4df4-a3e4138eabf1} - {1fbae831-4e3a-4fd4-b965-3d7124ddce3a} - C:\WINDOWS\system32\parwgyaw.dll

O2 - BHO: (no name) - {4CE3625D-9B64-4533-A6D7-84B55DDDE9A1} - C:\WINDOWS\system32\gebca.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\frgtxpdg.dll

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\frgtxpdg.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [249486fd] rundll32.exe "C:\WINDOWS\system32\edhvvpui.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\WINDOWS\System32\shdocvw.dll (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\WINDOWS\System32\shdocvw.dll (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com

O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www8.photoweb.fr/telechargement/Photoweb_uploader.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase8300.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/webplayer/stage6/...erInstaller.cab

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader4.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://83.206.186.41/activex/AxisCamControl.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoreflex.com/tools/ImageUplo...geUploader3.cab

O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/...loadcontrol.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C9FDBCD7-464D-484F-8FD1-E4B0C830563B}: NameServer = 212.151.136.242 212.151.137.170

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00F3470.dat

O20 - Winlogon Notify: frgtxpdg - C:\WINDOWS\SYSTEM32\frgtxpdg.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--

End of file - 6327 bytes

Thanos · le 17 novembre 2007

salut

Désolé pour la réponse tardive!

On va utiliser le programme suivant stp >

Télécharge combofix.exe de sUBs

Assure toi que tous les programmes sont fermés avant de lancer le fix!
Fait un double clique sur combofix.exe.
Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
Tape sur la touche 1 pour démarrer le scan.
Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
Si le rapport est trop long, poste le en deux fois.

Une fois ceci fait, lance ce scan rapide et poste le rapport aussi >

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.

Note: une fois le scan terminé, tu verras Internet Explorer s'ouvrir sur cette page > http://upload.malekal.com, clique sur Parcourir et Sélectionne le fichier C:\upload_moi... puis clique sur Envoyer le fichier. En images ici > http://www.malekal.com/tuto_upload_fichiers.php

Si ca fonctionne, tu verras s'afficher un message > Upload réussi.

Si tu reçois un message d'erreur ferme la page internet et continue.

@++

Modifié le 17 novembre 2007 par charles ingals

oliv2tours · le 17 novembre 2007

voici le 1er rapport combofix.

ComboFix 07-11-08.1 - gaelle 2007-11-17 18:00:47.1 - NTFSx86

Running from: C:\Documents and Settings\gaelle\Bureau\ComboFix.exe

.

Incapable d'obtenir les privilèges Système

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\pack.epk

C:\WINDOWS\system32\acbeg.bak1

C:\WINDOWS\system32\acbeg.bak2

C:\WINDOWS\system32\acbeg.ini

C:\WINDOWS\system32\acbeg.ini2

C:\WINDOWS\system32\acbeg.tmp

C:\WINDOWS\system32\avqotexp.dllbox

C:\WINDOWS\system32\boaciuh.dat

C:\WINDOWS\system32\boaciuh.exe

C:\WINDOWS\system32\boaciuh_nav.dat

C:\WINDOWS\system32\boaciuh_navps.dat

C:\WINDOWS\system32\frgtxpdg.dllbox

C:\WINDOWS\system32\gebca.dll

C:\WINDOWS\system32\stera.log

C:\WINDOWS\system32\tyqyuxmy.dllbox

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\LEGACY_DOMAINSERVICE

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-17 to 2007-11-17 ))))))))))))))))))))))))))))))))))))

.

2007-11-17 17:58 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-11-17 14:55 <REP> d-------- C:\Documents and Settings\gaelle\Application Data\Agnitum

2007-11-17 14:53 436,992 --a------ C:\WINDOWS\system32\drivers\SandBox.sys

2007-11-17 14:53 198,544 --a------ C:\WINDOWS\system32\drivers\afw.sys

2007-11-17 14:52 <REP> d-------- C:\WINDOWS\system32\Filt

2007-11-17 14:52 <REP> d-------- C:\Program Files\Agnitum

2007-11-17 14:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Agnitum

2007-11-17 13:10 <REP> d-------- C:\Program Files\Avira

2007-11-15 15:41 <REP> d-------- C:\Program Files\CCleaner

2007-11-15 14:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2007-11-15 08:45 2,050 --a------ C:\WINDOWS\system32\tmp.reg

2007-11-15 08:34 <REP> d-------- C:\Documents and Settings\gaelle\Application Data\Grisoft

2007-11-15 08:33 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-11-14 23:47 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau

2007-11-14 23:47 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2007-11-14 23:47 <REP> d---s---- C:\Documents and Settings\Administrateur\UserData

2007-11-14 23:47 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles

2007-11-14 23:47 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer

2007-11-14 23:47 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris

2007-11-14 23:47 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2007-11-14 22:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2007-11-14 08:36 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll

2007-11-06 11:13 83,008 --a------ C:\WINDOWS\system32\oafdvngh.dll

2007-11-05 09:36 83,008 --a------ C:\WINDOWS\system32\slkeixot.dll

2007-11-04 14:36 <REP> d-------- C:\VundoFix Backups

2007-10-26 11:27 3,413 --a------ C:\WINDOWS\mozver.dat

2007-10-25 16:00 0 --a------ C:\WINDOWS\nsreg.dat

2007-10-25 15:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2007-10-24 12:14 <REP> d-------- C:\Documents and Settings\gaelle\Application Data\Delivery

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-11-16 09:26 --------- d-----w C:\Program Files\eMule

2007-11-06 13:12 --------- d-----w C:\Documents and Settings\gaelle\Application Data\dvdcss

2007-10-25 16:15 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-10-19 19:04 --------- d-----w C:\Documents and Settings\gaelle\Application Data\DivX

2007-09-28 16:08 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe

2007-09-28 16:07 43,528 -c----w C:\WINDOWS\system32\drivers\pxhelp20.sys

2007-09-26 19:27 --------- d-----w C:\Documents and Settings\gaelle\Application Data\Zylom

2007-09-17 13:29 --------- d-----w C:\Program Files\Windows Live Safety Center

2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll

2006-12-16 16:39 44,440 -c--a-w C:\Documents and Settings\gaelle\Application Data\GDIPFONTCACHEV1.DAT

2000-11-28 17:34 122,880 -c--a-r C:\WINDOWS\inf\AGFA\Message.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AdslTaskBar"="stmctrl.dll" [2003-09-29 10:42 C:\WINDOWS\system32\stmctrl.dll]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-17 15:09]

"OutpostMonitor"="C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" [2007-11-14 19:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Authentication Packages"= msv1_0 C:\WINDOWS\system32\gebca.dll

R1 SandBox;SandBox;C:\WINDOWS\system32\DRIVERS\SandBox.sys

R2 acssrv;Agnitum Client Security Service;C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe

R2 ECBatteryDRV;ECBatteryDRV;C:\WINDOWS\system32\drivers\ECBatteryDRV.sys

R2 ECMonitorDRV;ECMonitorDRV;C:\WINDOWS\system32\drivers\ECMonitorDRV.sys

R2 ECUtilityDRV;ECUtilityDRV;C:\WINDOWS\system32\drivers\ECUtilityDRV.sys

R2 HotCPUDRV;HotCPUDRV;C:\WINDOWS\system32\drivers\HotCPUDRV.sys

R2 WinBootDRV;WinBootDRV;C:\WINDOWS\system32\drivers\WinBootDRV.sys

R3 {5C8B2B62-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-A;C:\WINDOWS\system32\drivers\A311.sys

R3 {5C8B2B65-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-B;C:\WINDOWS\system32\drivers\A310.sys

R3 afw;Agnitum firewall driver;C:\WINDOWS\system32\DRIVERS\afw.sys

R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;C:\WINDOWS\system32\DRIVERS\DP83815.SYS

R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\system32\DRIVERS\stmatm.sys

R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\system32\DRIVERS\torususb.sys

S3 ASWFilt;ASWFilt;C:\WINDOWS\system32\Filt\ASWFilt.dll

S3 FA312;Pilote de la carte Fast Ethernet FA330/FA312/FA311 NETGEAR;C:\WINDOWS\system32\DRIVERS\FA312nd5.sys

.

**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-17 18:21:44

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2007-11-17 18:24:27 - machine was rebooted

.

--- E O F ---

oliv2tours · le 17 novembre 2007

et voici le 2eme:

ComboFix 07-11-08.1 - gaelle 2007-11-17 18:51:23.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.753 [GMT 1:00]